Kysymys:
Kuinka luotettava salasanan vahvuuden tarkistaja on?
iijj
2011-03-24 14:13:32 UTC
view on stackexchange narkive permalink

Olen testannut Microsoftin työkalun, joka on saatavana täällä, joka testaa salasanan voimakkuuden ja arvioi ne. Salasanalle, kuten "aion syödä lounasta tänä iltana", työkalu pitää sen vahvuutena "PARAS" ja salasanalle, kuten "th1 $ .v4l", sen arvoksi "Medium".

Mietin, kuinka tärkeä salasanan pituus todella on. Tässä tapauksessa ensimmäinen salasana on parempi heidän työkalunsa mukaan, mutta onko se todella parempi? Se perustuu sanakirjasanoihin, eikä siinä ole numeroiden ja muiden merkkien yhdistelmiä välilyöntien lisäksi, ja se näyttää olevan erittäin helppo murtaa (ottaen huomioon raakaa voimaa).

Onko työkalulla etusija pituudelle todellisen voimakkuuden sijaan?

Ihmettelen, onko kukaan rakentanut Markov-malliin perustuvaa raakaa voimanvalmistajaa läpilyönteille.
NTLM: lle ja MD5: lle on jo saatavilla sateenkaaripöytiä, joiden avulla kaikki 8 merkin pituiset salasanat voidaan murtaa käyttämällä kaikkia näppäimistön merkkejä. Sarja "alempi alfa, numerot ja symbolit" on vain 400 Gt, koko tilaa varten tarkoitettu noin 600 Gt.
[Asiaankuuluva XKCD] (http://xkcd.com/936/).
@StephenPaulger, Haluatko tarkentaa, kuinka "markov-malliin perustuva raakavakaaja" toimii?
@Pacerier Markov-ketjut voivat tallentaa taajuussanoja, joita käytetään yhdessä, joten jos aloitat salasanailmauksen sanalla, voit ensin kokeilla todennäköisemmin liitettyjä sanoja. Se on nopein, mitä voin yrittää selittää, mitä tarkoitin, on monia asioita, jotka kuvaavat käsitettä verkossa, jos haluat tietää enemmän.
Vanhan säikeen elvyttäminen lisäämällä vanha viittaus, mutta: _Castelluccia, Claude & Dürmuth, Markus & Perito, Daniele.(2012).Mukautuvat salasanan vahvuusmittarit Markov-malleista.
Kolmetoista vastused:
#1
+60
AviD
2011-03-24 15:10:24 UTC
view on stackexchange narkive permalink

"Ei harkita raakaa voimaa" - juuri nämä työkalut mittaavat.
Ilmeisesti he eivät kokeile sosiaalista suunnittelua tai yrittävät selvittää, onko käyttäjän ensimmäisen tyttöystävän koiran syntymäpäivä. Hyökkääjä saattaa tietää sen, mutta nämä työkalut eivät tiedä.

Se, mitä he tekevät, on yksinkertaisesti vaikea murskata työkalun murtaa. Edes salasanan entropia, joka on sukupolven menetelmän attribuutti, on vain arvio siitä, kuinka kauan oikean salasanan löytäminen vaatii bruteforcing-työkalun.
On selvää, että entropia vaikuttaa tähän, mutta se on merkitystä vain yhteensä entropialla, ei merkkiä kohden. Joten kyllä, jos jokaisella merkillä on paljon yhtä todennäköisiä vaihtoehtoja, se lisää entropiaa, mutta pituus voi olla vieläkin tärkeämpi osa salasanan purkamattomassa nostamalla merkkiä kohti entropia merkille korkeammalle voimalle merkin mukaan Kreivi. Tämä tekee paljon korkeammasta kokonais entropiasta , mikä on ainoa tärkeä asia.

Joten, sinun tapauksessasi - kyllä, 32-merkkinen vain aakkosellinen salasana on paljon vahvempi kuin 8-merkkinen välimerkkisalasana.


Yritän tehdä matematiikkaa tässä vähän: (korjaa minut, kun olen väärässä):

Jos oletetaan, että tavallinen näppäimistö on yhdysvaltalainen , on 85 mahdollista tulostettavaa merkkiä (mahdollisesti voi kaapata vielä muutama, mutta päästää nyt toistamiseen): pienet kirjaimet + isot kirjaimet + numerot + tavalliset välimerkit + välilyönti.
Tämä antaa ~ 6,3 bittiä voimaa per merkki; 8 merkin pituudella salasana antaa sinulle ~ 50,4 bitin vahvuuden.
Huomaa todella vahva ... Vaikka heitämme vielä muutama "erikoismerkki", et aio päivittää sitä kovin paljon.

Nyt 32 merkkiä, vain aakkosmerkkejä sisältävä salasana ...
Oletetaan vain pienet ja isot kirjaimet (vaikka et käyttänyt yhtään) ja välilyönti (U + 32). Ei edes numeroita ...
Tämä antaa sinulle 54 mahdollista merkkiä, noin ~ 5,8 bittiä merkkiä kohden. 32 merkin pituisena se on yli 185 bittiä. huomattavasti vahvempi. Ja se on jopa ilman numeroita, jotka yleensä hyväksytään jopa "yksinkertaisissa" salasanamalleissa.


Bruce Schneier kertoo usein, kuinka pitkille mieleenpainuville tunnuslauseille vaihtaminen olisi paljon turvallisempaa kuin lyhyet, satunnaistetut, oudon näköiset salasanat.
Nyt näet miksi.

Mikä oli menetelmäsi laskea bittivoimakkuus merkkiä kohden?
@SteveS - Laskin triviaalin laskelman siitä, kuinka monta mahdollisuutta on hyväksyttävällä alueella (jokaiselle merkille, 85 | 54 mahdollisuutta), ja käänsin sen kuinka moneksi bitiksi tarvitaan näiden mahdollisuuksien esittäminen. Tämä oli tosin melko karkea arvio, taka-lautasliinatyyppinen laskelma, ei kovin laboratorion arvoinen (siis likiarvot), mutta mielestäni se on silti suhteellisen edustava.
Erinomainen vastaus @AviD. Jos vain useammat ihmiset tekisivät matematiikan (ja ohjelmistotoimittajat lopettaisivat mielivaltaisen "Anteeksi, salasanasi on oltava 8-16 merkin välillä" kokorajoitus, olisin paljon onnellisempi mies.
Liite A käy läpi samat laskelmat. http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf
@Graham erittäin mielenkiintoinen. Tällä asiakirjalla on tosiasiallisesti erilaisia ​​tuloksia, lähinnä siksi, että tarkoitin täysin satunnaista merkkien valintaa, kun taas NIST-asiakirja ottaa älykkäästi käyttäjän valinnan huomioon - ts. Ei satunnainen ja siten vähemmän bittiä entropiaa merkkiä kohden. Mielestäni NIST-asiakirja on oikeampi kuin vastaukseni täällä - mutta silti se ei ole riittävä, jos olet menossa niin, myös käyttäjän tieto tulisi ottaa huomioon, ei vain kieliominaisuudet. Siinä vaiheessa kyse ei kuitenkaan ole enää entropiabiteistä ... ja siitä huolimatta tämä q oli nimenomaan bruteforceista ...
Laskelma on enemmän kuin 6,3 bittiä * 8 merkkiä vs. 7 satunnaista sanaa, esimerkiksi 2048 (11 bittiä), eli 50-jotain vs. 77 bittiä entropiaa. Sinun on jopa ajettava pois joitain bittejä salasanasta kieliopin huomioon ottamiseksi. OTOH, sinun on raaputtava melko vähän bittiä perinteisestä salasanasta, jos haluat sen olevan mieleenpainuva. Katso myös http://xkcd.com/936/ - analyysin tulos, 28 vs. 44 bittiä, on oikeastaan ​​varsin tarkka.
@tdammers olet tietysti oikeassa, jos analysoit salasanaa sanaryhmänä (tai jopa oikeana lauseena), mutta kuten huomasin, käsittelin sitä kirjasarjana, ilman kielioppia jne. alkuperäinen kysymys. Katso myös edelliset kommentit, NIST-laskelmat uudelleen ...
Alkuperäinen kysymys on "tarkistaako se pituuden vai vahvuuden", ja vastaus on "molemmat". Hyvä salasana on silti vahvempi kuin hyvä lyhyt salasana, vaikka käsittelisit sitä sanajonona, ei merkkeinä. Ja tietysti kieliopillisesti järkevällä kuusisanaisella tunnuslauseella on alempi entropia kuin kuudella satunnaisesti valitulla englanninkielisellä sanalla; kuuluisan elokuvan lainauksen valitseminen vähentää entropiaa entisestään.
Jälleen olen ehdottomasti samaa mieltä kanssasi, @tdammers,, että tunnuslause olisi vahvempi riippumatta. OP kuitenkin kysyi * työkaluista *, ja nämä työkalut eivät liity siihen sanajonona, vaan pitkään kirjainsarjana. Kuten mainitsit, olet oikeassa siinä, että käsittelet sitä kieliopillisesti oikeena lauseena, puhumattakaan oikeista sanakirjaan perustuvista sanoista, laskisi entropia ja että kyseinen entropia on edelleen korkeampi kuin yksinkertaisen salasanan.
#2
+17
user502
2011-03-24 17:58:34 UTC
view on stackexchange narkive permalink

Olet huolestunut siitä, että koska tunnuslause käyttää sanakirjasanoja, se voi olla helpompi murtaa kuin jotain, joka on pakotettava julmaksi.

tl; dr: Tämä on pätevä teoreettinen huolenaihe, mutta juuri nyt se ei ole käytännöllinen huolenaihe.

"Aion syödä lounasta tänään" on viisisanainen lause, joka käyttää sanoja englannin kielellä yleisimmistä 5000: sta. Naivisti sen arvaaminen on isomorfista arvaamalla 5-kirjaiminen salasana 5000 kirjaimen aakkosessa, mikä on 3x10 ^ 18 mahdollisuutta. Se on suunnilleen sama kuin 10-merkkinen salasana, jossa käytetään isoja ja pieniä kirjaimia, numeroita ja symboleja.

Riittävän älykäs halkeiluohjelma voi tietysti vähentää tätä huomattavasti. Lause on tavallinen englanninkielinen proosa, joka noudattaa niin tiukkoja sääntöjä, että sen informaation entropianopeus on noin 1 bitti kirjainta kohti. Se tarkoittaa, että lauseessasi on 33 bittiä entropiaa, mikä tekee siitä vain yhtä monimutkaisen kuin täydellisen satunnainen salasana, jossa on 5 tulostettavaa ASCII-merkkiä.

Se ei ole kovin monimutkaista.

Tämän hyödyntämiseksi monimutkaisuuden puutteen vuoksi tarvitset erikoistuneen "englanninkielisen salasanan crackerin", joka voisi optimoida jotain markov-ketjun mallinnusta ytimiksi GPGPU-prosessointia varten. Parhaan tietoni mukaan mikään sellainen ei ole edes kehitteillä tällä hetkellä. Joten ellei joku, jolla on resursseja kyseisen ohjelmiston luomiseen, haluaa salasanaa, sinun pitäisi olla turvassa jonkin aikaa.

Erittäin tärkeää tälle on myös se, että ellei hyökkääjä tiedä salasanasi olevan näin muotoiltu, se ei ole työkalu, jota he käyttäisivät. Jopa suhteellisen pienen mahdollisen salasanamäärän kanssa on äärimmäisen paljon ajaa läpi "joka tapauksessa" - etenkin verkkoyhteyden kautta.
On tärkeää huomata, että jos kirjoitan tarkoituksella väärin yhden sanan, kuten "lounas" kuin "lunnch", monimutkaisuus kasvaa valtavasti.
Lisääntynyt, kyllä, mutta ei "valtavasti".Hyökkääjän on vain sisällytettävä joitain yleisiä virheitä sanakirjaan.Jos lisäät keskimäärin yhden kirjoitusvirheen / kirjoitusvirheen sanaa kohti, se kaksinkertaistaa sanakirjan koon ja lisää vielä yhden entropian sanaa kohti.Joten se on jokin arvo, mutta ei niin paljon kuin vain siirtyminen lauseesta todella satunnaisiin sanoihin.
Mielestäni tämä vastaus voisi käyttää joitain päivityksiä, asiat ovat muuttuneet viimeisten 8 vuoden aikana.Nämä ovat tosiasiallisesti noin 1600 sanaa, mutta mikä tärkeintä: https://github.com/initstring/passphrase-wordlist ... näyttää siltä, että ihmiset ovat alkaneet kehittää työkaluja ei-satunnaisten salasanojen murtaamiseen.
#3
+15
Jeff Atwood
2011-08-11 10:08:19 UTC
view on stackexchange narkive permalink

Entropia on outo mitattava asia.

NIST Special Publication 800-63, Electronic Authentication Guideline sisältää oppaita salasanan vahvuuden arvioimiseksi:

Entropia vaihtelee suuresti riippuen siitä, valitseeko käyttäjä salasanan vai onko se luotu satunnaisesti. Tilastollisesti käyttäjän valitseman salasanan ensimmäisen merkin arvaaminen on vaikeaa, mutta toisen arvaaminen on vielä helpompaa ja kolmas vielä helpompaa. NIST-ohjeet antavat ensimmäiselle merkille 4 bittiä entropiaa käytettäessä 94 näppäintä, jotka ovat käytettävissä tavallisilla näppäimistöillä, mutta vain 2 bittiä jokaiselle seuraavalle seitsemälle merkille jne.

Satunnaisesti valitut salasanat eivät näy malleja, joten jokaisella merkillä on sama entropiataso, noin 6,6 bittiä.

Tämä tarkoittaa, että käyttäjän valitsemassa kahdeksan merkin salasanassa on 18 bittiä entropiaa, kun taas samanpituisessa satunnaisessa salasanassa on noin 52,7 bittiä.

Toisin sanoen, jos pystyt selvittämään salasanani kolme ensimmäistä merkkiä, ovat

Awe

Sitten seuraavan merkin, joka on s , kertoimet ovat tavallaan, paljon korkeammat kuin *.

Joten kun sanomme, että salasanamerkki voi olla mikä tahansa merkki, se ei ole totta; useimmat ihmiset käyttävät sanoja, joissa on vahvat kuviot ja vähentävät implisiittisesti seuraavien merkkien mahdollista joukkoa - tuottaen siten salasanan, jolla on alempi entropia (satunnaisuus).

#4
+14
hpavc
2011-03-24 14:37:45 UTC
view on stackexchange narkive permalink

En ole varma, kuinka "aion syödä lounasta tänään" on sanakirjan haavoittuva, seitsemän sanan lause. Missä "th1 $ .v4l" on kaksisanainen lause, jossa on merkkiliitos, ja merkkien korvaaminen on jotain, jota salasanan halkeamat ovat käsitelleet ikuisesti, näyttää siltä.

Muutamat salasanatestaajat käyttävät cracklib + ajaxia kuin testit pieni sääntöpohja "this.val" -salasanasi karsimiseksi.

Joten mitä sanot tarkalleen? Onko ensimmäinen salasana turvallisempi, vaikka se koostuu tavallisista sanakirjasanoista, joissa ei ole muita erikoismerkkejä?
@iijj, on täsmälleen oikea - pituus on tärkeämpää.
#5
+8
nealmcb
2011-05-22 22:22:34 UTC
view on stackexchange narkive permalink

Kysymys salasanan vahvuustarkistimien luotettavuudesta ulottuu myös tarkistimen suojaukseen yleensä. On pelottavaa nähdä online-salasanan vahvuusmittareiden lisääntyminen. Altistat salasanasi turhaan jollekin Internetin sivustolle! Jopa paikalliset salasanatarkistussovellukset voivat olla ikäviä. Väitteisiin, joiden mukaan sivusto käyttää javascriptiä eikä koskaan lähetä salasanaa Internetissä, ei voida luottaa. Joitakin salasanan vahvuustestaussivustoja ylläpitävät varmasti mustat hatut, jotka vain lisäävät ne sanakirjoihinsa kaiken muun tiedon kanssa, jonka he voivat kerätä sinusta. Muita sivustoja ylläpitävät ihmiset, joilla on hyvät aikomukset, mutta mahdollisesti huonot toteutukset, kuten haavoittuva palvelin tai https: n puute. Ja vielä muut ovat alttiita "viranomaisten" hyökkäyksille, joilla on tapoja pakottaa sivusto paljastamaan esim. tiettyjen IP-osoitealueiden lähettämät salasanat.

Ehdotan, että jokainen, joka käyttää tällaista sivustoa, ei koskaan lähetä salasanaa, jota hän aikoo todella käyttää.

Katso, mistä kaipaat asiaa, että todennäköisesti aiot jo käyttää sivustoa. Salasanan vahvuuden tarkistimen lisääminen ei lisää riskiäsi. Jos he todella ovat harhaanjohtavia, he eivät vain salaa salasanaasi ja ota sitä, ei tarvita kokonaista "Salasanan vahvuuden tarkistajaa" ...
@dan - selvennykseksi puhun kolmannen osapuolen isännöimästä koodista, johon alkuperäiset viestit ja muut ovat viitanneet. Tietenkin, jos sivusto, johon luon salasanan, tarjoaa oman tarkistajan (jota he isännöivät, turvallisesti jne.), Niin hyökkäyspintaa on vain lisää, mutta samalla sivustolla.
#6
+7
Rory Alsop
2011-03-24 15:27:29 UTC
view on stackexchange narkive permalink

Pituus on melkein kaikki, kun yritetään puolustautua raakojen voimien hyökkäyksiltä.

Jopa salasanan halkeamat sallivat 1337 puhuvan tyylin korvaamisen, joten esimerkissä vertaat tehokkaasti 7 sanan tunnuslause ja 2 sanan tunnuslause.

Niin kauan kuin sinulla on pitkiä tunnuslauseita (joissa pitkän määritelmä voi vaihdella tarpeidesi mukaan, mutta kertoimien tekemiseksi on oltava vähintään 13 merkkiä) sateenkaaren pöydän hyökkäys minimaalinen) pakotat hyökkääjän kokeilemaan muita hyökkäyksen muotoja, kuten sosiaalinen suunnittelu; selvittää missä kirjoitit salasanan; pitämällä kissasi panttivangina jne.

#7
+7
Thomas Pornin
2013-02-03 21:13:27 UTC
view on stackexchange narkive permalink

Teoriassa "salasanan vahvuusmittarit" eivät toimi . Työkalu näkee vain salasanan luomisprosessin lopputuloksen, kun taas salasanan "vahvuus" on todella prosessin ominaisuus. Katso lisätietoja tästä vastauksesta ja sitten vastauksesta.

Paras salasanan vahvuusmittarisovellus voi antaa sinulle kuinka paljon aikaa se olisi ottanut rikkoa salasanasi - toisin sanoen se olettaa, että hyökkääjä käyttää täsmälleen samaa koodia eikä tiedä sinusta mitään muuta. Tämä ei ole kohtuullinen oletus käytännössä: hyökkääjä, kun hän hyökkää sinua vastaan, on hyvin, nimenomaan sinun jälkeesi. Salasanamittariin turvaaminen on kuin rukoileminen, että kaikki hyökkääjät ovat epäpäteviä: se on eräänlainen "uskon harppaus".

#8
+5
Mark Davidson
2011-03-24 14:24:33 UTC
view on stackexchange narkive permalink

Tarkasteltaessa kyseisen Microsoft-työkalun Javascriptia näyttää siltä, ​​että sillä on vain rajoitettu luettelo sanakirjasanoista (katso rivit 264 eteenpäin js-tiedostossa), joten se saattaa selittää miksi salasanasi saa korkeampi luokitus kuin ehkä sen pitäisi.

Suosittelen henkilökohtaisesti tätä salasanan vahvuustesteriä, joka antaa hyvän erittelyn salasanasi muodostavista elementeistä ja kertoo kuinka sitä voidaan parantaa. Se arvioi salasanasi "aion syödä lounasta tänään" 56%: lla ja toisen salasanasi "th1 $ .v4l" 74%: lla, mikä vaikuttaa realistisemmalta.

Tämä työkalu ei kuitenkaan käytä mitään sanalista ollenkaan - tunnuslauseesi on merkitty vain sen vuoksi, että kaikki ovat pieniä kirjaimia, kun taas "aion syödä lounasta tänään!" saa 98%. Voit tehdä omat johtopäätöksesi siitä, kuinka hyödyllisiä% ikäluokitukset ovat.

Mitä tulee halkeiluaikakassan pituuden vaikutuksiin tämä artikkeli. Huomaa, että sen takaisku vuodesta 2009 lähtien, ja GPGPU-pohjaiset salasanan halkaisijat voivat nyt hallita 10 ^ 9 / s (artikkelin "F-luokan" korkein hyökkäystaso) yhdessä peli- / työasema-PC: ssä 500 dollarin GPU: lla kortti.

Näyttää hyvältä työkalulta, kiitos. Tarkoittaako kokonaispisteet sitä, että sitä on vaikeampi murtaa?
muu kuin se, että se vaatii salasanan kirjoittamista lomakkeeseen http ...
@Yaur testaaja ei lähetä salasanaasi verkon kautta lainkaan. Se arvioi vahvuuden käyttämällä paikallisesti suoritettua JavaScriptiä.
@Mark Davidson, joka on vaikea tarkistaa ja jotain, joka olisi tehtävä jatkuvasti.
@Yaur olen eri mieltä. Vahvistus on melko yksinkertaista, käytä firebug-verkon valvontatilaa ja voit katsella kaikkea toimintaa sivustolle ja sieltä. Voit myös seurata sitä wiresharkilla.
@Yaur Voit vaihtoehtoisesti käyttää jotain sellaista kuin `pwqcheck` Linuxissa ja tarkistaa lähdekoodi manuaalisesti.
Salasanan laadun arvioiminen on erittäin vaikeaa. Suosittelemasi tarkistaja antoi "Erittäin vahva" / "97%" salasanalle "Koira söi kotitehtäviä!" ... Ehkä google-haku salasanalle olisi parempi mittari? Tuo "salasana" antaa 6000 osumaa, joten se ei todennäköisesti ole niin suuri: http://lmgtfy.com/?q=%22Dog+ate+homework!%22
FYI, ehdottamasi salasanan vahvuustyökalu kertoi minulle "Password1!"oli "vahva".(Mikä se ei selvästikään ole; itse asiassa se on niin heikko, että voisin todennäköisesti murtaa sen muutaman sekunnin manuaalisella arvauksella.) Kuten muut kommentoijat ovat huomauttaneet, salasanan voimakkuuden arviointi on _paljon_ vaikeampi kuin näytät tarkoittavan.
#9
+4
CogitoErgoCogitoSum
2012-02-03 17:51:26 UTC
view on stackexchange narkive permalink

Näin äskettäin sanomalehdessä sarjakuvan. Tai ehkä se oli sarjakuvan digitaalinen kopio verkossa, en muista.

Se havainnollisti tätä keskustelua. Ja selitän sinulle nyt sen esittämää asiaa:

Pelkästään siksi, että salasana on lyhyt, se ei tarkoita sen helppoa arvata, kuten tapauksessa "th1 $ .v4l". Mutta vain se, että salasana on pitkä, ei tarkoita myöskään sen helppoa arvaamista, kuten tapauksessa "aion syödä lounasta tänään".

Tosiasia on, ettei vakava ihmis hakkeri istuu siellä ja arvaa salasanasi. He saattavat käyttää sanakirjaa, mutta sanakirjat eivät sisällä kaikkia mahdollisia lauseita. Pelkät sanat.

Hakkerit tekevät niin (kun he ovat tyhjentäneet tyypillisen WORDS-sanakirjan), ovatko he yleensä tietokoneen käymässä järjestelmällisesti läpi kaikki mahdolliset yhdistelmät. Alku loppuu. Jos heidät pakotetaan tätä polkua pitkin, mitä lyhyempi salasana, sitä huonompi. Mitä pidempään, sitä parempi. Riippumatta siitä, onko numeroita tai symboleja. Numeroilla ja symboleilla on merkitystä vain ihmisille, jotka muistavat ja ihmiset arvaavat. Tietokoneelle ne ovat sama asia ... 1: n ja 0: n sekvenssi ... eikä sillä ole väliä.

Tee itsellesi palvelus. Pidä se pitkä, mutta yksinkertainen. Lyhyt ja monimutkainen saattaa maksaa hakkereille aikaa, mutta pitkä ja yksinkertainen tekee saman. Kysymys kuuluu, haluatko salasanan, joka on helppo muistaa tai vaikea muistaa?

#10
+3
Vishwanath Dalvi
2011-03-25 10:30:06 UTC
view on stackexchange narkive permalink

Kaikki salasanan vahvuuden tarkistustyökalut varmistavat, kuinka paljon vaivaa salasanan löytäminen raakaa voimaa ja sanakirjahyökkäystä käyttämällä.

kuten jos verrataan tuloksia molemmilla salasanoilla.

http://www.passwordmeter.com/

"th1 $ .v4l" on

Vahva salasana ja 74%

"aion syödä lounasta tänään" on

Hyvä salasana 56%

tämän salasanan purkaminen vie vähemmän aikaa raakaa voimaa käyttämällä.

http://www.passwordmeter.com/ on hyvä työkalu salasanatilastoihin, mutta lopullinen vahvuusluku ei ole hyvä. Harkitse salasanaa: "11111111111111111111111111111111111111133333336666666666546546644646". Pisteet on 0%. Se on hölynpölyä. Pidän työkalusta http://password-checker.online-domain-tools.com/. Sen avulla voit tehdä myös sanakirjan tarkistuksen.
#11
+3
Daniel Miladinov
2011-12-28 08:55:46 UTC
view on stackexchange narkive permalink

No, jos määrität salasanan vahvuuden sen vaikeudeksi tai halkeilun todennäköisyydeksi, niin salasanan vahvuus on melkein vasta-intuitiivisesti enemmän sen pituuden funktio kuin sen vaikeus muistaa.

Kun potentiaalinen hyökkääjä ei tiedä mitään salasanastasi ja voi käyttää salasanan murtamiseen vain raakaa voimaa, pidemmän salasanan, joka on paljon helpompi muistaa, kuten

"aion syödä lounasta tänään"

kestää enemmän aikaa murtamiseen kuin

"th1$.v4l"

yksinkertaisesti siksi, että on enemmän merkkejä, jotka hyökkääjän olisi arvattava oikein järjestyksen saamiseksi murtamaan salasana. Pidemmät salasanat tarjoavat suuremman hakutilan tyhjentämiseksi, anna neulallesi (salasanallesi) paljon suurempi heinäsuovasta piiloutua.

#12
+3
Kevin Li
2014-04-19 04:56:31 UTC
view on stackexchange narkive permalink

Salasanan voimakkuuden voi arvioida vain sinä yksin tai joku muu, jos kerrot heille, miten luot salasanasi. Esimerkiksi, jos käytän satunnaista salasanageneraattoria joka käyttää 50 merkkiä ja salasanani on 8 merkkiä pitkä, salasanani on yksi noin 3,9 × 10 13 tai 2 45 joukossa. Jos käytän kiinalaisia ​​pininyinipohjaisia ​​salasanoja ja salasanani on 4 sanan lause, kun otetaan huomioon, että kukin sana on pienempi kuin mahdollinen 2050, salasanani on yksi mahdollisista 1,8 × 10 13 . Kiinalaisen merkin keskimääräinen Pinyin-romanisointi on noin 3-4 merkkiä pitkä, mikä tekee "4-sanaisesta" salasanasta noin 16 merkkiä. Silti tämä Pinyin-salasana on heikompi kuin 50-merkkijoukosta luotu 8-merkkinen salasana.

Jos hyökkääjä tietää, miten salasana luotiin (sanokaamme tutkimalla muutamilta varastettuja yksinkertaisen tekstin salasanoja) tietyn henkilön tietämättömät sivustot), heillä on tarvittavat tiedot raa'an pakottamisen vaikeuttamiseksi paljon ! Koska he tietävät, että et enää käytä kaikkia näppäimistön mahdollisia merkkejä, ne voivat poistaa mahdottomat yhdistelmät ja säästää aikaa.

Ajattele seuraavan kerran, kun luot salasanan, algoritmista / menetelmästä. käyttämällä sellaisen luomiseen. Luo 21-merkkinen salasana 72-merkkisestä joukosta salasana turvallisen avulla ( + - = _ @ # $% ^ &<> / ~ \? AbcdefghijkmnopqrstuvwxyzandABCDEFGHJKLMNPQRTUVWXY346789 hanki noin 1,0 × 10 39 mahdollista yhdistelmää tai 130-bittistä suojausta.

Kymmenen satunnaista valintaa neljän tuhannen tavallisen sanan luettelosta antaa suunnilleen saman salasanan entropian, mutta on silti helppo kirjoittaa tai kirjoittaa, jos tarvitset.Pituudella on valtava ero, vaikka vain pienillä ASCII-kirjaimilla.
#13
+1
Ajedi32
2019-02-19 23:15:47 UTC
view on stackexchange narkive permalink

Salasanan vahvuuden tarkistimet eivät yleensä ole kovin luotettavia. Heillä on tapana luottaa liian yksinkertaisiin laskelmiin, joissa oletetaan, että hyökkääjät vain yrittävät arvailla salasanasi kokeilemalla kaikkia mahdollisia merkkikombinaatioita, mikä on käytännössä harvoin totta.

Todellisuudessa motivoitunut hyökkääjä voi keksiä kaikenlaisia ​​erilaisia ​​strategioita salasanasi arvaamiseksi, joista osaa ei ole koskaan ohjelmoitu harkitsemaan salasanan vahvuuden tarkistusta.

Esimerkiksi salasana "! QAZXSW @ #EDC "saattaa näyttää melko satunnaiselta, kunnes huomaat, että kirjoitin sen painamalla hyvin yksinkertaista näppäinkuviota tavallisella englanninkielisellä näppäimistöllä. Hyökkääjä, joka käyttää näppäimistöasettelupohjaisten salasanojen arvaamiseen tarkoitettua ohjelmaa, voi helposti murtaa tällaisen salasanan muutamassa minuutissa. (Ja todellakin, olenko ollut Pwnedin Pwned-salasanojen tarkistaja osoittaa, että tätä tarkkaa salasanaa on jo käytetty ja murskattu useita kertoja.) Vastaavasti "aion syödä lounasta tänään" saattaa tuntua vahvalta tyypilliseltä salasanan vahvuuden tarkistaja, mutta hyökkääjä voi helposti murtaa sen käyttämällä ohjelmaa, joka on suunniteltu arvaamaan yleisiä englanninkielisiä lauseita.

On salasanan vahvuuden tarkistimia, jotka ovat parempia tällaisissa asioissa kuin muut (esimerkiksi ZXCVBN pystyy havaitsemaan yllä antamani näppäimistökuvioihin perustuvan salasanan ja antamaan realistisemman vahvuusarvion), mutta lopulta ei aina voida kertoa, kuinka vahva salasana on vain analysoimalla itse salasana . Ei ole turvallista olettaa, että vain siksi, että käyttämäsi salasanan vahvuuden tarkistaja ei osaa arvata menetelmää, jolla valitsit salasanasi, hyökkääjä, joka yrittää arvata salasanasi, ei. Tämä oletus tunnetaan nimellä "epäselvyyden suojaus", ja sen katsotaan olevan huono käytäntö, johon tietoturva-yhteisössä voi luottaa.

Mitä sinun pitäisi sen sijaan tehdä? Valitse salasanasi satunnaisesti , mieluiten käyttämällä satunnaisuuden lähdettä, kuten noppaa, jota ihmisen luonnolliset puolueet eivät voi heikentää. Tällä tavoin, vaikka oletat, että hyökkääjä tietää tarkalleen kuinka olet luonut salasanasi, voit silti helposti laskea, kuinka monta arvausta hyökkääjän tulisi kokeilla ennen salasanasi oikein arvailua.

Diceware on hyvä esimerkki tällaisesta menetelmästä salasanojen luomiseen. Neljä satunnaista Diceware-sanaa vie keskimäärin 7776 4 / 2 = ~ 1,83 kvadriljoonaa arvausta, jotta hyökkääjä voisi arvata, vaikka he tietäisivät salasanasi tarkka luettelon alkaen. Salasanahallinnan tuottamat salasanat ovat vahvoja samoista syistä.

Lisätietoja salasanojen turvallisesta valitsemisesta suosittelen Thomas Porninin vastausta kohtaan "XKCD # 936: Lyhyt monimutkainen salasana" tai pitkä sanakirjan tunnuslause? ", jossa käsitellään yksityiskohtaisesti salasanan entropiaa ja kuinka satunnaisesti luodun salasanan vahvuus lasketaan.



Tämä Q & A käännettiin automaattisesti englanniksi.Alkuperäinen sisältö on saatavilla stackexchange-palvelussa, jota kiitämme cc by-sa 2.0-lisenssistä, jolla sitä jaetaan.
Loading...