Nhiều trang web có mật khẩu mạnh kiểm tra công cụ, mà nói với bạn như thế nào mạnh mật khẩu của bạn làTại sao mật khẩu lặp lại yếu?
phép nói rằng tôi có
st4cK0v3rFl0W
mà luôn luôn coi siêu mạnh, nhưng khi tôi làm
st4cK0v3rFl0Wst4cK0v3rFl0W
nó đột nhiên siêu yếu. Tôi cũng nghe nói rằng khi mật khẩu chỉ có chuỗi lặp lại nhỏ, nó yếu hơn nhiều.
Nhưng làm thế nào để thứ hai có thể yếu hơn cái thứ nhất, khi nó dài gấp hai lần?
Âm thanh như trình kiểm tra độ mạnh mật khẩu bị thiếu. Nó không phải là một vấn đề lớn, tôi cho rằng, nhưng một mật khẩu mạnh lặp đi lặp lại không phải là yếu hơn so với mật khẩu ban đầu.
Nó hoàn toàn ngược lại: Đoạn mã dài hơn, nó càng dài. – Gumbo
Sau một thời điểm nhất định (liên tục di chuyển với các khả năng phần cứng, nhưng tôi ước tính khoảng 8 ký tự vào lúc này, tính toán song song) nó trở nên không an toàn hơn (trong điều kiện thực tế), vì nó không thể bị ép buộc dù sao. Các vector tấn công khác bỏ qua độ dài đầu vào vì chúng không cố gắng tạo lại đầu vào, hoặc vì chúng cố gắng làm việc ngược từ đầu ra. Hoặc bởi vì họ theo sau bạn, người dùng nói với người xấu mật khẩu. –
Entropy của mật khẩu có thể chỉ là một vài bit cho mỗi chữ cái, vì vậy, để an toàn, tôi đặt độ dài an toàn tối thiểu cao hơn một chút - khoảng 11 ký tự (và thậm chí với sức mạnh tuyệt vời cho mỗi char ít nhất 7 ký tự). Trong mọi trường hợp, quan điểm của bạn được thực hiện tốt; một mật khẩu mạnh mẽ hợp lý là hầu như không thể tránh khỏi, nếu nó bị hỏng, nó không phải bởi bạo lực ngay cả * nếu * kẻ tấn công có băm mật khẩu. –
Tôi đoán là nó có thể tạo ra một băm "rõ ràng" hơn. Ví dụ abbaabba -> a737y4gs, nhưng abbaabba -> 1y3k1y3k, được cấp này là một ví dụ ngớ ngẩn, nhưng ý tưởng là các mẫu lặp lại trong khóa sẽ làm cho băm xuất hiện ít "ngẫu nhiên" hơn.
Tôi đoán vì bạn cần nhập mật khẩu của mình hai lần bằng cách sử dụng bàn phím, vì vậy, có thể nếu một số ở trước mặt bạn có thể nhận thấy nó.
Tôi đoán là nó đơn giản là tầm thường để kiểm tra ai đó tấn công mật khẩu của bạn. Thử mỗi mật khẩu tăng gấp đôi và tăng gấp ba lần chỉ là gấp đôi hoặc gấp ba lần công việc. Tuy nhiên, bao gồm nhiều ký tự có thể có trong mật khẩu, chẳng hạn như dấu chấm câu, làm tăng độ phức tạp của brute-buộc mật khẩu của bạn nhiều hơn nữa. Tuy nhiên, trên thực tế, hầu như không rõ ràng (đọc: không thấm vào các cuộc tấn công từ điển [có, bao gồm 1337xóa từ điển]) mật khẩu có từ 8 ký tự trở lên có thể được coi là an toàn hợp lý. Nó thường là ít hơn nhiều công việc để xã hội kỹ sư nó từ bạn một cách nào đó hoặc chỉ sử dụng một keylogger.
Thuật toán bị hỏng.
Hoặc sử dụng phát hiện đôi và ngay lập tức viết nó là xấu. Hoặc tính toán cường độ theo một cách nào đó liên quan đến chiều dài chuỗi và chuỗi lặp lại yếu hơn chuỗi ngẫu nhiên có thể so sánh được với độ dài bằng nhau.
Có thể có lỗi do trình kiểm tra bước sóng mật khẩu - nó nhận dạng mẫu ... Mẫu không tốt cho mật khẩu, nhưng trong trường hợp này là mẫu trên chuỗi phức tạp ... Một lý do khác có thể là người được chỉ ra bằng câu trả lời từ Wael Dalloul: Someone can see the repeated text when you type it. Bất kỳ gián điệp đều có hai cơ hội nhìn thấy những gì bạn nhập ...
Trong khi thực tế dài hơn có thể mạnh hơn, tôi nghĩ có thể có những điểm yếu tiềm ẩn khi bạn xâm nhập vào mã hóa và mật mã. .. có thể ...
Ngoài ra, tôi sẽ lặp lại các phản hồi khác mà trình kiểm tra độ mạnh mà bạn đang sử dụng không tính đến tất cả các khía cạnh rất chính xác.
Chỉ là một ý tưởng ...
Lý do tốt nhất mà tôi có thể nghĩ đến, xuất phát từ số Electronic Authentication Guide, do NIST xuất bản. Nó đưa ra một quy tắc chung chung về cách ước tính entropy trong một mật khẩu.
Độ dài chỉ là một tiêu chí cho entropy. Có bộ ký tự mật khẩu cũng được tham gia, nhưng đây không phải là tiêu chí duy nhất. Nếu bạn đọc nghiên cứu của Shannon về mật khẩu người dùng được lựa chọn chặt chẽ, bạn sẽ nhận thấy rằng entropy cao hơn được gán cho các bit ban đầu và entropy ít hơn, vì có thể suy ra các bit kế tiếp của mật khẩu từ trước đó.
Điều này không có nghĩa là mật khẩu dài hơn là xấu, chỉ mật khẩu dài có lựa chọn ký tự kém có khả năng yếu như mật khẩu ngắn hơn.
Độ dài mật khẩu chỉ làm cho mật khẩu an toàn hơn chống lại các cuộc tấn công bạo lực. Trong thực tế, đây là một phương sách cuối cùng. –
Tôi nghĩ rằng hầu hết các công cụ sức mạnh mật khẩu như vậy là vô nghĩa. – Gumbo
Thật tuyệt nếu bạn có thể đăng liên kết từ nơi bạn nghe thấy. –