1. Dom
  2. Pytanie i odpowiedź
  3. Dlaczego hasła z powtarzającymi się łańcuchami są słabe?

Dlaczego hasła z powtarzającymi się łańcuchami są słabe?

2009-08-25 16 views
8

Wiele stron internetowych posiada hasło siłę sprawdzania narzędzie, która powie Ci, jak silne hasło jestDlaczego hasła z powtarzającymi się łańcuchami są słabe?

Powiedzmy mam

st4cK0v3rFl0W

która zawsze rozpatrywana jest bardzo silny, ale kiedy robię

st4cK0v3rFl0Wst4cK0v3rFl0W

nagle staje się bardzo słaby. Słyszałem również, że gdy hasło ma tylko małą powtarzającą się sekwencję, jest znacznie słabsze.

Ale jak drugi może być słabszy od pierwszego, gdy jest dwa razy dłuższy?

Źródło

2009-08-25 Jakub Arnold

+3

Długość hasła tylko zwiększa bezpieczeństwo hasła przed atakami typu brute-force. W rzeczywistości jest to ostatnia deska ratunku. –

+0

Myślę, że większość takich narzędzi siły hasła jest bezcelowa. – Gumbo

+1

Byłoby miło, gdybyś mógł opublikować link z tego miejsca. –

Odpowiedz

10

Wygląda na to, że sprawdzanie siły hasła jest błędne. Myślę, że to nie jest duży problem, ale powtarzające się silne hasło nie jest słabsze niż oryginalne hasło.

Źródło

2009-08-25 11:47:53

+0

Jest to raczej odwrotnie: im dłuższy jest passwort, tym trudniejszy. – Gumbo

+1

Po pewnym momencie (który ciągle się porusza z możliwościami sprzętowymi, ale w tej chwili oceniam na około 8 znaków, bez przetwarzania równoległego), nie staje się on bardziej bezpieczny (w sensie praktycznym), ponieważ nie może być brutalnie wymuszony tak czy inaczej. Inne wektory ataku ignorują długość wejścia, ponieważ nie próbują odtworzyć wejścia lub ponieważ próbują pracować wstecz z wyjścia. Lub dlatego, że idą za tobą, użytkownik, aby powiedzieć złej osobie hasło. –

+0

Entropia hasła to prawdopodobnie tylko kilka bitów na literę, więc, aby być bezpiecznym, umieściłbym minimalną bezpieczną długość trochę wyżej - powiedzmy, około 11 znaków (i nawet z doskonałą siłą-na znak na co najmniej 7 znaków). W każdym razie twój punkt jest dobrze przyjęty; rozsądnie silne hasło jest praktycznie nie do zniesienia, jeśli jest uszkodzone, to nie jest brutalną siłą, nawet * jeśli * atakujący ma hash hasłem. –

0

Zgaduję, że może wygenerować bardziej "oczywisty" skrót.

Na przykład abba -> a737y4gs, ale abbaabba -> 1y3k1y3k, przyznał, że jest to głupi przykład, ale chodzi o to, że powtarzanie wzorów w kluczu sprawi, że hasz będzie mniej "losowy".

Źródło

2009-08-25 11:43:46 Sint

+5

Wątpliwości. Funkcje skrótu zwykle nie działają w ten sposób :-) – Joey

+1

Czy nie są dostępne funkcje mieszania generujące bardzo różne wyniki dla podobnych wejść? –

+0

Jak już powiedziałem, jest to głupi przykład. :) Żadne funkcje skrótu nie będą tak słabe. Ponownie .. – Sint

2

Domyślam się, że musisz wpisać swoje hasło dwa razy, używając klawiatury, więc może to, jeśli ktoś jest przed tobą, może to zauważyć.

Źródło

2009-08-25 11:47:10

3

Domyślam się, że po prostu trywialne jest sprawdzenie, czy ktoś atakuje twoje hasło. Sprawdzenie każdego hasła podwojonego i potrojonego to tylko podwójna lub potrójna praca. Jednak uwzględnienie większej liczby znaków w haśle, takich jak znaki interpunkcyjne, zwiększa złożoność brutalnego wymuszania hasła znacznie bardziej.

Jednak w praktyce prawie wszystkie nieoczywiste (czytaj: nieprzepuszczalne dla ataków słownikowych [tak, co obejmuje 1337 określenie słowa słownika]) hasło z 8 lub więcej znakami można uznać za rozsądnie bezpieczne. Zwykle jest to znacznie mniej pracy, aby socjotechnikować go od ciebie w jakiś sposób lub po prostu użyć keyloggera.

Źródło

2009-08-25 11:48:33 Joey

2

Algorytm jest uszkodzony.

Albo używa wykrywania dubletu i natychmiastowo zapisuje go jako zły. Lub oblicza siłę, która jest w pewnym sensie w stosunku do długości łańcucha, a powtarzany ciąg jest słabszy niż porównywalny całkowicie losowy ciąg o równej długości.

Źródło

2009-08-25 11:48:45 u0b34a0f6ae

1

To może być usterka sprawdzania hasła hasła - rozpoznaje wzór ... Wzór nie jest dobry dla hasła, ale w tym przypadku jest to wzorzec na złożonym łańcuchu ... Inny powód może być ten wskazany przez odpowiedź z Wael Dalloul: Someone can see the repeated text when you type it. Każdy szpiegujący ma dwie szanse na zobaczenie, co wpisujesz ...

Źródło

2009-08-25 11:53:51 awe

0

Podczas gdy w rzeczywistości ten jeden jest prawdopodobnie silniejszy, myślę, że mogą pojawić się potencjalne słabości, gdy wejdziesz w gąszczu, jak działa szyfrowanie i szyfry. ... prawdopodobnie ...

Poza tym, powtórzę inne odpowiedzi, które sprawdzanie wytrzymałości nie bierze pod uwagę wszystkich aspektów.

Tylko myśl ...

Źródło

2009-08-25 12:21:33

1

Najlepszy powód, dla którego mogłem wymyślić, pochodzi z Electronic Authentication Guide opublikowanego przez NIST. Daje to ogólną regułę kciuka, jak oszacować entropię w haśle.

Długość to tylko jedno kryterium dla entropii. Istnieje również zestaw znaków hasła, ale nie są to jedyne kryteria. Jeśli czytasz dokładnie badania Shannona na temat haseł wybranych przez użytkownika, zauważysz, że wyższa entropia jest przypisana do początkowych bitów, a mniejsza entropia do drugiej, ponieważ całkiem możliwe jest wnioskowanie o kolejnych bitach hasła z poprzedniego.

Nie oznacza to, że dłuższe hasła są złe, tylko długie hasła ze słabym wyborem znaków są tak samo słabe jak krótkie hasła.

Źródło

2009-08-25 12:53:42

Powiązane problemy

 Powiązane problemy