Quanto dovrebbe durare la mia password di sistema?

1

Nelle prime versioni di Mac OS X, sono stati utilizzati solo i primi 8 caratteri di qualsiasi password. Più tardi Apple ha aumentato quel numero.

Un sistema di password appropriato memorizza un hash non la password effettiva. In tal caso, una password / passphrase più lunga è generalmente migliore in modo da aumentare la possibilità di generare un valore hash non già calcolato in anticipo. Presumo che Apple stia utilizzando questa tecnica di hash per autenticare gli utenti di accesso al sistema.

Mavericks, qual è il numero massimo di caratteri in una passphrase utilizzata dall'account utente di Apple?

    
posta Basil Bourque 15.01.2014 - 04:34
fonte

3 risposte

3

Ho testato password fino a 480 caratteri (in OS X versione 10.8.5) e le ho usate tutte; intorno al 480 il comando passwd ha avuto un piccolo problema nell'impostazione delle password, ma era leggermente incoerente, quindi non sono sicuro che sia un limite reale. Non ho eseguito il test dell'interfaccia System Prefs, perché non consente di incollare le password e non riesco a digitare qualcosa così a lungo (due volte!). Fondamentalmente, userà tutto il possibile per scrivere.

    
risposta data 15.01.2014 - 08:22
fonte
2

L'hash (salato e allungato) della password di accesso è memorizzato in /var/db/dslocal/nodes/Default/users/username.plist in 10.7 e versioni successive. Se sei preoccupato che qualcuno possa leggere l'hash (ad esempio avviando in modalità utente singolo) e quindi utilizzare uno strumento di cracking come DaveGrohl per capire la password, OS X ha utilizzato PBKDF2 dal 10.8, che limita gli strumenti di cracking a una decina di tentativi al secondo per core.

Ci sono voluti circa dieci minuti per indovinare una password casuale di tre caratteri sul mio iMac:

$ sudo dave -u $USER
-- Loaded PBKDF2 (Salted SHA512) hash...
-- Starting attack

-- Found password : 'y8d'
-- (incremental attack)

Finished in 879.274 seconds / 31,385 guesses...
35 guesses per second.

A meno che non si esegua un attacco distribuito, è attualmente poco pratico craccare anche una password casuale di otto caratteri composta da lettere ASCII minuscole e numeri ASCII. A 40 ipotesi al secondo, occorrerebbero circa 36 ^ 8/40 / (86400 * 365) ≈ 2000 anni per testare tutte le opzioni.

    
risposta data 15.01.2014 - 20:32
fonte
1

In realtà la memorizzazione degli hash è un modo TERRIBILE per memorizzare "in modo sicuro" le password. Per natura gli hash sono impossibili da "invertire", ma ciò non impedisce di generare un grande tavolo (chiamato tabella arcobaleno ) che memorizza le coppie di hash in testo semplice. Con questa tabella è possibile cercare un hash e vedere le relative password in chiaro in chiaro.

Il modo accettato di memorizzare le password è il metodo hash e salt. Un sale è una stringa grande e casuale che viene combinata con la password prima che venga calcolato un hash. Ciò rende l'input dell'hash troppo grande per essere precalcolabile in modo plausibile in una tabella arcobaleno. Alla fine, le uniche cose memorizzate in un database di password corretto sono hash e sali (i sali possono essere memorizzati in testo in chiaro, poiché non sono affatto utili per invertire gli hash).

Fondamentalmente, non è necessario avere una lunga password per proteggersi dagli attacchi delle tabelle arcobaleno, poiché i sali lo fanno per te.

Computerphile ha creato un ottimo YouTube Video per la memorizzazione delle password.

Per quanto riguarda la password sicura, uno degli approcci migliori è usare 4-6 parole di media lunghezza, non correlate, REALI (senza bisogno di simboli / numeri). Ciò garantisce una password sufficientemente lunga, che non è facile da indovinare, ed è soprattutto memorabile (quindi non sarai mai tentato di scriverlo su una nota adesiva).

TL; DR:

    
risposta data 15.01.2014 - 06:41
fonte

Leggi altre domande sui tag