Password complesse? Meglio le frasi, secondo l'FBI

L'FBI diffonde un comunicato in cui afferma che è meglio utilizzare frasi come password, piuttosto che password corte e complesse. Una questione di facilità di memorizzazione, ma anche di maggiore difficoltà nel craccare password lunghe
di Riccardo Robecchi pubblicata il 25 Febbraio 2020, alle 18:21 nel canale Security
53 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoUsando la logica: password lunghe hanno entropia maggiore solo se consideriamo ogni singolo carattere.
Cosa succede se invece, per il bruteforcing, si usa un dizionario? Ogni termine conterebbe come un singolo carattere e frasi da 4-5 parole potrebbero equivalere a 4-5 caratteri di una password classica.
Sbaglio? Sarebbe così difficile creare un bruteforcing basato su dizionario?
nel caso la cosa non vi avesse ancora raggiunto...
sì più lunghezza più entropia ma c'è un ma:
un algoritmo di brute forcing potrebbe essere ottimizzato tale per cui se superati 3 caratteri (lettere) consecutive, al posto di fare brute forcing di tutte le lettere e numeri per le successive si potrebbe utilizzare parole pescate dal dizionario.
Es: questa_pwd_robusta, dopo aver letto 'que' potrebbe cominciare a scorrere in dizionario per capire che parole inizia per que e provare tutte quelle. le parole che iniziano per que sono poche comparate con il numero (62^3)/2 che sono il numero medio di test per 3 caratteri a...z A...Z 0..9
cercare di capire come ottimizzare l'algo per i caratteri speciali non è semplice ma una cosa che va fatta sicuramente è provare a fare queste sostituzioni/prove 4=a, 1=i... insomma quelle corrispondenze numeri/lettere classiche
l'unica soluzione è fare si che il carattere successivo di una pwd sia imprevedibile e certamente usare una parola di dizionario riduce notevolmente il numero di confronti necessari
appunto chi la vuole cambiare? :xd
è molto meglio una pwd del genere BfO1UyfcLK2b8KoTQJx8 piuttosto che una fatta di parole e lettere di lunghezza maggiore... non serve un genio a capirlo
Ilgatttosimangialagattta
credo sia più forte della tua ma si ricorda molto facilmente
sì più lunghezza più entropia ma c'è un ma:
un algoritmo di brute forcing potrebbe essere ottimizzato tale per cui se superati 3 caratteri (lettere) consecutive, al posto di fare brute forcing di tutte le lettere e numeri per le successive si potrebbe utilizzare parole pescate dal dizionario.
Es: questa_pwd_robusta, dopo aver letto 'que' potrebbe cominciare a scorrere in dizionario per capire che parole inizia per que e provare tutte quelle. le parole che iniziano per que sono poche comparate con il numero (62^3)/2 che sono il numero medio di test per 3 caratteri a...z A...Z 0..9
cercare di capire come ottimizzare l'algo per i caratteri speciali non è semplice ma una cosa che va fatta sicuramente è provare a fare queste sostituzioni/prove 4=a, 1=i... insomma quelle corrispondenze numeri/lettere classiche
l'unica soluzione è fare si che il carattere successivo di una pwd sia imprevedibile e certamente usare una parola di dizionario riduce notevolmente il numero di confronti necessari
appunto chi la vuole cambiare? :xd
è molto meglio una pwd del genere BfO1UyfcLK2b8KoTQJx8 piuttosto che una fatta di parole e lettere di lunghezza maggiore... non serve un genio a capirlo
Non credo che funzioni come nei film, che indovini una lettera alla volta e una lucetta verde ti dice che è giusta...
La password, per forzarla, devi indovinarla tutta intera in un colpo...
Non c'è modo di sapere se ci sono tre lettere consecutive, e solo dopo decidere di usare un dizionario...
Più semplice di così...
...
Anche perché così potrei fare i bruteforce a mano
Fai due allora...
Io la uso per il mio conto deposito dove puoi accedere in modo definitivo solo dopo aver confermato tramite notifica push su smartphone abilitato.
Una volta dentro poi, se fossi un'hacker al massimo puoi trasferire soldi sul C/C da cui hai aperto inizialmente il conto e che non puoi cambiare se prima non ti identifichi.
Questo per dire che la password alla fine, in certi servizi serve solo per accedere al primo livello. Contano le protezioni che ci sono dopo.
Certo si possono fare i bruteforce con le parole, ma trovato il problema, trovata la soluzione
Passw0rdKeyw0rdM0tdepass
Tre lingue e le parole non sono tali.
Comunque esistono anche le non parole. Cioè sequenze di grafemi o sillabe grammaticalmente legali, ma che non hanno un significato.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".