De nombreux sites Web ont outil de vérification de la force de mot de passe , qui vous indique à quel point votre mot de passe est fort permet de dire que j'ai qui est Toujours considéré comme super fort, mais quand je fais il est soudainement super faible. J'ai également entendu dire que lorsque le mot de passe a juste une petite séquence répétée, elle est beaucoup plus faible. Mais peut-être que la seconde peut-elle être plus faible que la première, quand elle est deux fois plus longue?
8 Réponses :
Je suppose que cela peut générer un hachage plus "évident".
Par exemple ABBA -> A737Y4GS, mais Abbaabba -> 1y3k1y3k, accordé ceci est un exemple idiot, mais l'idée est que répéter les modèles de clé rendrait le hasch moins "aléatoire".
Les fonctions de hachage ne sont-elles pas effectuées pour générer une sortie très différente pour des intrants similaires?
Comme je l'ai dit, c'est un exemple idiot. :) Aucune fonction de hachage ne serait aussi faible. Encore une fois ..
Les fonctions de hachage (utilisées pour les haubes de mot de passe au moins) sont conçues pour générer des résultats très différents pour toutes les entrées et avoir des résultats non prévisibles pour les intrants modifiés.
Là encore, il y a (CRC32, etc.). Ils ne sont pas conçus pour les mots de passe de hachage, ils sont conçus comme des contrôles de santé rapide. MD5, SHA *, etc. sont les hayes généralement utilisées pour le hachage de mot de passe et affichent les propriétés que j'ai décrites.
Je suppose que parce que vous devez taper votre mot de passe deux fois en utilisant le clavier, donc pour cela peut-être si quelqu'un est devant vous pouvez le remarquer.
On dirait que le vérificateur de force de mot de passe est défectueux. Je suppose que ce n'est pas un gros problème, mais un mot de passe fort répété n'est pas plus faible que le mot de passe d'origine.
C'est plutôt le contraire: plus le passwort est long, plus c'est plus fort.
Après un certain point (qui bouge constamment avec des capacités matérielles, mais que j'aurais une estimation d'environ 8 caractères pour le moment, Sans Computing parallèle) Il ne devient pas plus sûr (en termes pratiques), car il ne peut pas être brut forcé de toute façon . D'autres vecteurs d'attaque ignorent la longueur des entrées, car elles n'essayent pas de recréer l'entrée ou d'essayer de travailler à l'envers à partir de la sortie. Ou parce qu'ils vont après vous, l'utilisateur de dire à la mauvaise personne du mot de passe.
L'entropie d'un mot de passe est susceptible de ne être que quelques bits par lettre. Donc, pour être en sécurité, je placerais la longueur minimale de sécurité un peu plus haut - disons, environ 11 caractères (et même avec une excellente force-par caractère au moins 7 caractères). En tout cas, votre point est bien pris; Un mot de passe raisonnablement puissant est pratiquement sans surveillable, s'il est cassé, il n'est pas par force brute même si l'attaquant a le hachage du mot de passe.
Bien sûr, la plupart des utilisateurs n'auront pas une intuition raisonnable de l'entropie globale de leur mot de passe, donc un estimateur de force de mot de passe - si cela fonctionnerait - n'est pas vraiment une mauvaise idée.
Je suppose que c'est simplement trivial de vérifier que quelqu'un attaque votre mot de passe. Essayer chaque mot de passe a doublé et triplé n'est que double ou tripler le travail. Cependant, y compris plus peut-être des caractères dans un mot de passe, tels que des marques de ponctuation, augmente la complexité de la brute-forçant votre mot de passe beaucoup plus.
Cependant, dans la pratique, presque toutes les personnes non évidentes (lire: imperméables aux attaques de dictionnaires [Oui, cela inclut 1337IFIER un mot de passe de dictionnaire]) avec 8 caractères ou plus peut être considéré comme raisonnablement sécurisé. Il y a généralement beaucoup moins de travail à l'ingénieur social de vous d'une manière ou d'une autre, utilisez simplement un keylogger.
L'algorithme est cassé.
utilise une détection de doublet et l'écrit immédiatement comme mauvais. Ou calcule une force qui est d'une certaine manière relative à la longueur de la chaîne et la chaîne répétée est plus faible que la chaîne totalement aléatoire comparable de longueur égale.
Ce pourrait être une faille par le correcteur de mot de passe - il reconnaît un motif ... Un motif n'est pas bon pour un mot de passe, mais dans ce cas, il s'agit d'un motif sur une chaîne complexe ... une autre raison peut être la On a signalé par réponse de
tandis que dans la pratique, le plus long est probablement plus fort, je pense qu'il peut y avoir des faiblesses potentielles lorsque vous entrez dans la Nitty Gritty de la façon dont le cryptage et les chiffrements fonctionnent ... éventuellement ...
Autre que cela, j'aurais écho aux autres réponses que vous utilisez la force de votre utilisation ne prend pas en compte tous les aspects de manière très précise.
Juste une pensée ...
La meilleure raison que je puisse penser, vient du Guide d'authentification électronique , publié par NIST. Il donne une règle de pouce générale sur la façon d'estimer l'entropie dans un mot de passe.
La longueur n'est qu'un critère pour entropie. Il y a le jeu de caractères de mot de passe qui est également impliqué, mais ce ne sont pas les seuls critères. Si vous lisez de près les recherches de Shannon sur les mots de passe sélectionnés par l'utilisateur, vous remarquerez que l'entropie supérieure est attribuée à des bits initiaux et et moins d'entropie à celui-ci, car il est tout à fait possible d'inférer les prochains bits du mot de passe de la précédente. < / p>
Cela ne veut pas dire que les mots de passe plus longs sont mauvais, mais que les mots de passe longs avec une mauvaise sélection de caractères sont tout aussi susceptibles d'être faibles que des mots de passe plus courts.
La longueur du mot de passe ne fait qu'un mot de passe est plus sûr des attaques de force brute. En réalité, c'est beaucoup un dernier recours.
Je pense que la plupart de ces outils de force de mot de passe sont inutiles.
Ce serait bien si vous pouviez poster un lien d'où vous l'avez entendu.
@ALCEU: Si vous me parlez, alors c'est de simples maths. Collisions de hachage générant / en regardant sur la longueur de l'entrée. Les attaques de dictionnaires sont tout aussi rapides, peu importe la longueur des mots du dictionnaire. Les attaques sur les calculs impliquées dans le hachage ne sont à nouveau (vraiment) dépendant de la longueur d'entrée.
Si vous prenez une exception à la dernière partie, des attaques de force brute étant un dernier recours, alors d'autres mathématiques le prouveront aussi. Nous supposerons 64 caractères (les caractères de base64) pour avoir un jeu d'entrée simple et une longueur de mot de passe définie de 8 caractères (il y a encore plus d'options si vous avez 6-8 caractères). 64 ** 8 = 281 474 976 710 656 (~ 281 trillions). En supposant que nous ayons un algorithme extrêmement optimisé et un ordinateur haut de gamme à notre disposition, et nous pouvons exécuter quelque 50 000 mots de passe une seconde. Brute-forcer ce mot de passe prendra 178,51 ans.
Je ne vois pas pourquoi cela devrait être super utilisateur ... c'est une question utile pour un programmeur de connaître la réponse à! =)
Je ne pense pas que cela appartient à Super User. Ceci est aussi bon d'une question que tout!