Словарная атака на пароль из нескольких слов
Боюсь, еще один вопрос с паролем...
Я читал о надежности пароля и так далее, и у меня есть вопрос о словарных атаках на пароль, если вы, дамы и господа, любезно ответите.
Насколько я могу судить по документации, которую я читал, просто примените атаку по словарю, сравнив хэш пароля с хэшами, сгенерированными из списка слов, с дополнительными модификациями, такими как замены o-0, 1-1 e-3 и изменения кожуха.
Теперь, поправьте меня, если я ошибаюсь, если я добавляю слово с солью, то это значительно усложняет пароль, так что атака по словарю с меньшей вероятностью будет успешной.
Кроме того, если я создам пароль, который состоит из двух случайно выбранных слов из длинного списка, перемежающегося со случайными числами и пунктуацией, у меня должен быть надежный пароль, который человеку относительно легко запомнить, или я говорю здесь бессмысленно?
Например, мой генератор паролей создает пароль "14Simplified%^Cheese96", с которым нужно согласиться, его гораздо проще запомнить, чем "sl&TcReq!/U9K6%-SN$8Ca".
Теперь для всех проверок надежности паролей, которые я нашел и имел доступ, оба пароля имеют рейтинг "Сильный", "Очень сильный" или, в случае проверки Microsoft, "Лучший", но насколько хорош первый пароль. учитывая что оно основано на двух словах?
2 ответа
Безопасность всегда является компромиссом - хотя использование совершенно случайных паролей даст вам больше битов энтропии, это также увеличивает риск того, что пользователи напишут ее в заметках после публикации (в результате возникает иллюзия безопасности, поскольку самое слабое место не будет в Надежность пароля больше); парольнуюфразу (из нескольких слов) с несколькими символами легче запомнить, но при этом она обеспечивает достаточную энтропию. Вам нужно убедиться, что в списке, который вы используете, есть длинные слова (которые не входят в число наиболее распространенных 1000 слов).
Конечно, "достаточно ли это безопасно" зависит от того, что вы защищаете - определенно недостаточно надежно для Fort Knox, но этого будет достаточно, например, для учетной записи IM.
Если бы кто-то знал, как работает ваш генератор паролей, было бы довольно легко закодировать словарную атаку, которая могла бы его использовать.
Если кто-то не знает, как это работает или что используемый им пароль сгенерирован таким образом, я не думаю, что он будет уязвим для атаки по словарю.