Question:
Le fait de saisir mon mot de passe deux fois le rendra-t-il plus sûr? Ou en tapant chaque caractère deux fois?
user82913
2016-02-01 23:40:18 UTC
view on stackexchange narkive permalink

Si je tape mon mot de passe deux fois (comme: PwdThingPwdThing ), OU si je tape chaque caractère deux fois (comme: PPwwddTThhiinngg ) cela le rendra beaucoup plus sûr qu'il ne l'est déjà?

Supposons qu'il comporte déjà 8 ou 9 caractères, composés de majuscules et de minuscules, de chiffres et d'un ou plusieurs caractères spéciaux.

(Supposons également que je n'ai dit à personne que Je le fais de cette façon, même si je viens de dire au monde ... Doh!)

Je demande parce que je voudrais plus de sécurité d'une manière dont je me souvienne encore, et ce serait un changement facile faire et rappeler. Merci.

Plus maintenant puisque votre sécurité par l'obscurité a disparu. J'ai inclus les deux formats et les ai ajoutés à mes dictionnaires. Merci!
Si l'alorgrithme de craquage est mauvais, alors oui.
Onze réponses:
Anti-weakpasswords
2016-02-02 10:41:32 UTC
view on stackexchange narkive permalink

Essayons de sauter la théorie et de passer directement à la pratique.

Taper deux fois (ou N fois) le même mot vous aidera-t-il considérablement?

  • John the Ripper Jumbo a une variété de "règles simples" à ce sujet

    • d duplicate: "Fred" -> "FredFred"

    • f reflètent: "Fred" -> "FredderF"

  • attaque basée sur les règles oclHashcat a des règles simples juste pour cela aussi

    • d Dupliquer le mot entier dp @ ssW0rd p @ ssW0rdp @ ssW0rd

    • pN Ajouter dupliqué mot N fois p2 p @ ssW0rd p @ ssW0rdp @ ssW0rdp @ ssW0rd

    • Refléter f Mot en double inversé fp @ ssW0rd p @ ssW0rddr0Wss @ p

  • Par conséquent, non, ce peu d'intelligence est si commun qu'il est inclus explicitement dans les deux ensembles de règles communs déjà pour une utilisation seule ou en combinaison avec d'autres règles.

OU tapez chaque caractère deux fois

  • John the Ripper Jumbo a un exemple spécifique à ce sujet dans le docu mentation

    • XNMI extrait la sous-chaîne NM de la mémoire et l'insère dans le mot courant en I est la règle de base

    • "<4X011X113X215" (dupliquer chaque caractère d'un mot court) est l'exemple de la documentation pour couvrir exactement votre cas pour les mots de passe courts

.

  • L'attaque basée sur les règles oclHashcat a des règles simples juste pour ces types d'attaques

    • q Dupliquer chaque caractère qp @ ssW0rd pp @ @ ssssWW00rrdd

    • zN Duplique le premier caractère N fois z2 p @ ssW0rd ppp @ ssW0rd

    • ZN Duplique le dernier caractère N fois Z2 p @ ssW0rd p @ ssW0rddd

    • XNMI Insérer une sous-chaîne de longueur M à partir de la position N du mot enregistré en mémoire à la position I lMX428 p @ ssW0rd p @ ssw0rdw0

  • Par conséquent, non, encore une fois, c'est une intelligence tellement courante qu'elle est explicitement appelée dans les deux principaux produits de cracking open source.

Supposons qu'il comporte déjà 8 ou 9 caractères, composés de majuscules et minuscules, de chiffres et d'un ou plusieurs caractères spéciaux.

Les autres règles de ces produits couvrent très probablement tout ce que vous faites déjà, et il est également probable que la combinaison que vous avez soit déjà incluse dans un ensemble de règles appliqué à une liste de mots de cracking raisonnable.

  • oclHashcat est livré à lui seul avec vingt-cinq fichiers différents remplis de .rules, dont d3ad0ne.rule avec plus de 35 000 règles, dive.rule avec plus de 120 000 règles, etc.

  • un grand nombre de listes de mots sont disponibles, dont certaines peuvent inclure votre mot de passe exact - la liste de mots Openwall à elle seule contient un seul fichier de 500 Mo de plus de 40 millions de mots, y compris les mots mutilés

  • et je connais personnellement à la fois de petites et très bonnes listes de mots (phpbb, etc.) et d'énormes listes de mots complètes avec littéralement des milliards d'entrées, occupant plusieurs gigaoctets d'espace au total .

Comme pour tout le monde, vous devez utiliser try randomness ou quelque chose comme une phrase entière qui vaut une anecdote personnelle qui n'utilise PAS de mots dans un top 5000 liste de mots anglais courants, et utilise des mots longs et inhabituels (pour forcer des attaques combinatoires en utilisant des dictionnaires beaucoup plus grands).

Recherchez spécifiquement, par exemple, les mots sélectionnés au (bon) hasard inclus dans Liste des dictionnaires ispell anglais fous d'Ubuntu qui ne sont pas inclus dans le dictionnaire ispell anglais standard, par exemple.

@nocomprende Pour certaines personnes, c'est agréable. Pour la plupart des gens, c'est très rentable.
Mike Ounsworth
2016-02-01 23:56:02 UTC
view on stackexchange narkive permalink

Security.StackExchange est plein de questions proposant des stratégies de mot de passe "home-brew". La réponse courte est toujours la même: faire quelque chose pour différencier votre mot de passe des attaques par dictionnaire standard est une bonne chose - tant que

  1. Très peu d'autres personnes sur la planète utilisent également votre stratégie . Si votre stratégie "home-brew" s'avère courante - comme remplacer "a" par "@" - alors elle sera incluse dans les attaques par dictionnaire standard et vous reviendrez à la case départ.

  2. Vous n'êtes pas personnellement ciblé. Si vous êtes une cible de grande valeur suffisante pour que les attaquants essaient spécifiquement de casser votre compte, alors tout modèle que vous utilisez est une responsabilité car une fois qu'ils connaissent votre modèle (par exemple, à partir de vos mots de passe divulgués lors de fuites précédentes ) puis ils construiront des dictionnaires basés sur votre modèle.

Une autre tendance avec ce type de question ici sur infosec, c'est que quelqu'un fait inévitablement référence à XKCD, alors voilà. N'oubliez pas que les ordinateurs sont bons pour rechercher des bases de données et générer des listes basées sur des modèles. En utilisant une stratégie simple comme "doubler chaque lettre", ou " les initiales du refrain de ma chanson préférée", etc., vous utilisez une stratégie facile à deviner pour les ordinateurs. La meilleure pratique pour élaborer une stratégie de mot de passe simple est toujours la suivante: non . Utilisez un gestionnaire de mots de passe comme LastPass pour générer et mémoriser un mot de passe aléatoire de 32 caractères pour vous. Si vous insistez pour avoir quelque chose que vous pouvez mémoriser, la meilleure pratique suivante est le logiciel de dés.

Si vous voulez défier toutes les bonnes pratiques et inventer votre propre schéma, alors je recommanderais quelque chose de basé sur les émotions plutôt que sur les modèles, ou quelque chose qui peut être extrait de vos informations personnelles. Par exemple, un mot de passe basé sur "les sites Web que j'aime" ou "les émissions de télévision que je regarde" serait facile à deviner pour quiconque ayant accès à votre activité sur Internet, mais "des choses qui me rappellent ______" pour lequel vous choisissez un ______ très différent chaque mot de passe peut être difficile à deviner. (Si je réfléchissais un peu plus longtemps à ce schéma, je pourrais probablement dire que même cela est assez facile à deviner, mais le fait est que c'est toujours mieux que quelque chose de purement basé sur des motifs.)

enter image description here

Si je comprends bien, un gestionnaire de mots de passe est soit une application sur mon ordinateur (qui peut être sécurisée ou non) soit sur un appareil portable (qui pourrait être volé, pourrait ne pas être sécurisé et que je devrais alors emporter partout). Apparemment, il n'existe aucun moyen convivial pour rendre les ordinateurs plus sûrs ou ... enfin, plus conviviaux. L'approche technologique pour améliorer l'expérience utilisateur de l'ordinateur consiste donc à ajouter plus de technologie. Vous pouvez déjà voir que cela ne se terminera pas bien, alors peut-être devrions-nous trouver une autre façon pour les humains d'utiliser les ordinateurs en toute sécurité sans ajouter de choses à leur vie?
Je reconnais que les gestionnaires de mots de passe manquent de convivialité. Il n'y a pas d'arguments, mais ils fonctionnent et sont plus sûrs que de rendre un mot de passe si complexe que vous ne vous en souvenez plus. En fin de compte, nous devons supprimer complètement les mots de passe et passer entièrement à l'authentification par clé publique / biométrique, mais le monde n'est pas prêt pour cela. En attendant, des choses comme les gestionnaires de mots de passe et le changement de la perception du public de _passwords_ à _passphrases_ est un bon début.
@MikeOunsworth Comment utiliser les données biométriques pour se débarrasser complètement des mots de passe?
@Maurycy Je ne suis pas sûr car les offres commerciales sont encore assez basiques, mais "déverrouiller par empreinte digitale" ou "déverrouiller par balayage de l'iris" nous donne une idée de ce qui s'en vient. L'idée principale est que la biométrie contient beaucoup plus de bits d'entropie que tout ce que vous pouvez taper facilement. Même argument pour les jetons / cartes avec des clés publiques: beaucoup plus d'entropie que vous ne pouvez mémoriser. Les technologies candidates existent pour des mots de passe obsolètes, mais aucune d'entre elles n'est suffisamment mature pour une utilisation grand public. C'est pourquoi nous continuons à discuter de la faiblesse et de la stupidité des mots de passe: P
En parlant de "les initiales du refrain de ma chanson préférée": il y avait une histoire où quelqu'un a ouvert un livre au hasard sur son étagère, choisi une page au hasard et utilisé une phrase aléatoire sur cette page comme mot de passe de Bitcoin brainwallet, * et il se sont fait deviner * (et ils ont perdu tous leurs bitcoins).
@MikeOunsworth Mais vous ne pouvez pas changer les morceaux de votre doigt si quelqu'un renifle les données que vous envoyez, sans oublier que nous ne calculons pas vraiment une valeur à partir de l'image du doigt mais utilisons l'image pour vérifier quelques points stockés dans la base de données pour vous assurer qu'ils correspondent (ne PAS mentionner que les gens ont fréquemment des problèmes de déverrouillage des empreintes digitales après un exercice, ou dans d'autres cas pas extrêmement rares). Je suppose que cela relève un peu de «pas assez mature», mais je trouve peu probable que vous puissiez résoudre leur inchangeabilité. Je pourrais imaginer une empreinte digitale utilisée pour déverrouiller ma base de données Keepass!
@Maurycy Oui, j'imagine une puce de numérisation d'empreintes digitales sur votre carte mère qui libère une clé SSH vers le système d'exploitation, où vous pouvez faire pivoter votre clé SSH quotidiennement si vous le souhaitez. Cependant, je ne suis pas un expert en biométrie, donc j'en devine autant que vous.
@Maurycy Je me souviens avoir découvert que le gouvernement américain permettra en fait aux gens d'obtenir un nouveau numéro de sécurité sociale si leur identité a été volée. J'ai été surpris. Bien sûr, le gouvernement tient des registres de l'ancien numéro, car votre histoire doit continuer d'exister. Je suppose que les données biométriques seraient comme la partie ID utilisateur, publiquement connue, sans raison de la changer. Quelque chose d'autre devrait servir d'aspect "mot de passe" privé et non divulgable (même par moi). Mon ADN ou quelque chose.
@nocomprende Sauf qu'il est encore plus facile d'obtenir votre ADN que vos empreintes digitales ou votre iris scan. C'est en partie la raison pour laquelle les mots de passe fonctionnent réellement - dans le meilleur scénario, vous pouvez les garder dans votre tête et personne ne peut les forcer (du moins encore).
@Maurycy Je pense que la CIA a quelque chose à dire à ce sujet: p
N'utilisez jamais quelque chose comme secret d'authentification ce que vous ne pouvez pas changer et ce que vous répandez partout. En d'autres termes: veuillez ne pas utiliser la biométrie comme secret d'authentification.
@Noir à qui s'adresse ce commentaire? Si vous lisez les commentaires, ce que je propose est une puce biométrique sur votre carte mère qui libérerait une clé SSH pour le système d'exploitation. Vous êtes libre de modifier cette clé aussi souvent que vous le souhaitez.
@MikeOunsworth Mais si quelqu'un veut s'introduire dans ce stockage protégé, c'est le même scénario que de casser le lecteur d'empreintes digitales d'un smartphone. La protection de la clé SSH avec une phrase de passe forte a le même effet, mais vous pouvez modifier la phrase de passe.
@Noir Je m'opposais à ce que vous disiez "se répandre" puisque les données biométriques ne quittent pas l'appareil, mais je vois votre point de vue qu'avec un jeton physique (c'est-à-dire une carte à puce), vous pouvez détruire la carte et en obtenir une nouvelle, mais si quelqu'un obtient mon empreinte digitale, puis tous les scanners d'empreintes digitales que j'utilise à l'avenir sont également vulnérables. Juste.
@Maurycy poursuivant le thème XKCD ... https://imgs.xkcd.com/comics/security.png
Je suppose que personne ne se rend compte que les 9 premières lettres du premier mot de passe de la bande dessinée représentent en fait un Pokémon ... pas étonnant qu'il soit facile à deviner :)
@MikeOunsworth,, vous pouvez également lire ["Your Unhashable Fingerprints Secure Nothing"] (http://hackaday.com/2015/11/10/your-unhashable-fingerprints-secure-nothing/).
@Wildcard Merci pour ce lien, c'est un excellent article. Je me sens maintenant ridicule pour mes commentaires précédents.
Tom Leek
2016-02-02 00:05:24 UTC
view on stackexchange narkive permalink

En général, non, doubler le mot de passe n'augmente pas (ou ne diminue pas) considérablement votre sécurité. Ce qu'il double, c'est votre effort de frappe. Le fait de doubler votre mot de passe peut diminuer votre sécurité s’il vous incite à choisir un mot de passe de base plus court / plus simple afin que votre saisie ne soit pas trop lourde.

En termes généraux, la sécurité du mot de passe vient de son caractère aléatoire, c'est à dire combien l'attaquant ne sait pas. Dans le cas du "doublement", il s'agit d'une information d'un bit (c'est-à-dire si vous l'avez appliquée ou non), donc, mathématiquement parlant, c'est un peu plus d'entropie. Ce n'est pas beaucoup. Taper huit caractères supplémentaires pour gagner un peu d'entropie est maigre; ce n'est pas une bonne affaire.

Tous les trucs spirituels partagent le même problème fondamental: ils sont spirituels. Ils comptent sur le fait que l'attaquant est stupide, incompétent ou archaïque. Cela ne vaut pas en pratique, sauf contre les attaquants qui sont vraiment stupides, incompétents et archaïques - les dieux savent qu'ils sont nombreux, mais ce n'est pas un gros problème, car ils ne sauraient pas quoi faire de votre mot de passe. Les attaquants dont vous devriez vous inquiéter sont les plus intelligents, qui peuvent infliger des dommages importants à vos actifs numériques en peu de temps; ces attaquants intelligents ne seront pas vraiment découragés par votre astuce de doublage de mot de passe.

Pensez à lire cette fameuse question pour obtenir des informations sur ce qui rend un mot de passe "fort", en particulier le les mathématiques d'entropie dans cette réponse.

C'est plus d'un bit, à moins qu'au moins 50% des gens ne doublent leur mot de passe.
@immibis: ah, c'est le piège. Faire quelque chose que "la plupart des gens ne feront pas" n'est pas la même chose que faire quelque chose que "l'attaquant n'essaiera pas en premier parce que la plupart des gens ne le font pas". Prétendre que vous gagnez plus d'un bit en doublant votre mot de passe, c'est parier sur l'indifférence ou l'incompétence de l'attaquant. Malheureusement, cela ne vaut pas pour les attaquants les plus dangereux, qui sont après vous, personnellement.
De plus, le domaine est très dynamique. Par exemple. si la plupart des attaquants essaient les mots de passe par ordre alphabétique, les utilisateurs commencent à commencer leurs mots de passe par «zzz». Bientôt, les attaquants s'adaptent et commencent à faire l'énumération dans l'ordre inverse. Ou dans l'ordre aléatoire, ce qui garantit les attaquants contre les pires cas. Essayer de jouer des tours en fonction du comportement moyen de l'attaquant a tendance à se retourner contre lui. La notion d'entropie est ce qui reste lorsque l'attaquant sait parfaitement comment vous générez des mots de passe - ainsi, l'entropie est la seule base solide pour la sécurité des mots de passe.
Je pense que les hackers travaillent trop dur. Ils devraient juste essayer un travail ordinaire, c'est beaucoup plus facile!
J'aime votre point sur huit lettres pour gagner un peu de sécurité. Comparez à un mot anglais aléatoire de 8 lettres, qui vous rapporterait peut-être 10 ou 12 bits d'entropie.
Dewi Morgan
2016-02-02 08:09:07 UTC
view on stackexchange narkive permalink

Mon cracker de mot de passe essaie déjà de doubler les lettres, de doubler les mots, d'inverser et de doubler les mots, de retourner et de doubler la casse des mots ...

... et bien d'autres.

Oui. Le doublement ajoute un peu à la difficulté: environ quatre bits, en tête. Cela me prendrait seize fois plus de temps à craquer qu'une attaque par dictionnaire brut avec des remplacements de lettres.

Mais j'aurais finalement BAdpA55 !! 22AqbA8.

Alors, quelle stratégie vaincrait votre cracker de mot de passe?
La stratégie que tout le monde recommande: une longue chaîne * vraiment aléatoire *. Et utiliser un fichier de clés ou un autre type d'authentification en même temps, si possible, j'aime moi-même les gestionnaires de mots de passe (j'utilise LastPass mais je n'ai pas vraiment fait de revue de ce qui existe, je viens d'utiliser le premier produit qui a fonctionné. Plusieurs de mes amis ne jurent que par divers autres produits). Mais ce qui m'inquiète à leur sujet, c'est que vous avez alors un seul point de défaillance: un mot de passe protège tous les autres.
C'est pourquoi je préconise que le "vrai" mot de passe soit quelque chose que personne ne sait, y compris vous. C'est toi. Votre chien connaîtrait un imposteur en environ 500 millisecondes. C'est ce dont nous avons besoin. Et, si le chien était dupé, il serait très en colère quand il le découvrirait. Nous avons donc besoin d'ordinateurs intelligents, dotés de capacités sensorielles complètes et aussi puissants qu'un gorille. Attends une minute...
@no comprende: Et puis vous rentrez ivre à la maison et votre chien ne vous reconnaît pas (parce que vous sentez drôle, et parlez drôle, et marchez drôle, et agissez drôle; en ce qui concerne le chien, vous n'êtes pas "vous". scénario se produit en fait assez souvent IRL). Et * ça devient complètement fou *. Qu'as-tu entraîné exactement le chien à faire aux intrus? Oups. (En d'autres termes, votre scénario est construit sur la prémisse invalide "les faux négatifs ne se produisent jamais.")
user1751825
2016-02-02 06:18:00 UTC
view on stackexchange narkive permalink

Les humains sont des créatures étonnamment prévisibles. La façon dont nous pensons n'est pas aussi unique que nous aimerions le croire. Il y a de fortes chances que toute chose intelligente à laquelle vous pouvez penser pour rendre votre mot de passe plus sûr ait déjà été pensée par beaucoup d'autres personnes, et les pirates sont bien conscients de toutes ces astuces.

La seule façon faire un mot de passe correctement sécurisé, c'est le rendre long et aléatoire. Supprimez la faillibilité humaine de l'équation. Si un mot de passe est si complexe que vous ne pouvez pas le mémoriser, alors il peut être suffisamment sécurisé.

Les gestionnaires de mots de passe sont extrêmement utiles. Ils vous permettent de rendre chaque mot de passe que vous utilisez unique et chaque mot de passe complètement aléatoire.

Vous devez évidemment vous assurer que la base de données de votre gestionnaire de mots de passe est sécurisée et n'est pas accessible à distance.

Alors, la réponse est de protéger les mots de passe et le logiciel avec un autre mot de passe et plus de logiciel? J'ai deux ponts à New York pour te vendre ...
Les services nécessitant des mots de passe sécurisés sont accessibles à distance. Mon programme de gestion de mots de passe ne l'est pas.
Evan Steinbrenner
2016-02-02 04:02:14 UTC
view on stackexchange narkive permalink

Il y a beaucoup de facteurs, mais cela dépend finalement du type de piratage de mot de passe contre lequel vous essayez de vous protéger. Contre un piratage par force brute, augmenter la longueur du mot de passe rendra le piratage plus difficile. En supposant que leur hachage n'est pas horrible, un mot de passe décent de 8 ou 9 caractères devrait déjà être très difficile voire impossible à craquer par force brute. Cela signifie que le doubler en tapant chaque caractère deux fois ou en tapant le même mot de passe deux fois ne fait vraiment pas grand-chose.

Une fois que votre mot de passe est suffisamment long pour être protégé contre une attaque par force brute, vous devez commencer à vous inquiéter. attaques de dictionnaire, attaques combinées et autres choses comme ça. L'une ou l'autre des choses que vous suggérez serait facile à inclure dans une attaque basée sur des règles et toute valeur de sécurité supplémentaire dépendra du fait que cela n'est pas fait couramment et n'est pas inclus dans leur ensemble de règles.

Voici un excellent article qui confirme votre point de vue: [lien] (http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/).
SethWhite
2016-02-03 03:25:02 UTC
view on stackexchange narkive permalink

Lien vers la démo d'entropie du mot de passe zxcvbn.

Selon zxcvbn, les statistiques de votre mot de passe initial:

Normal: PwdThing 

  Estimations: 100 / heure: 5 mois (attaque en ligne étranglée) 10 / seconde: 58 minutes (attaque en ligne non bloquée) 10k / seconde: 35 secondes (attaque hors ligne, hachage lent, nombreux cœurs) 10B / seconde: moins d'un seconde (attaque hors ligne, hachage rapide, nombreux cœurs)

Doublé: PwdThingPwdThing 

  temps d’évaluation: 100 / heure: 9 mois (attaque en ligne limitée) 10 / seconde: 2 heures (attaque en ligne sans limitation) 10k / seconde: 1 minute (attaque hors ligne, hachage lent, nombreux cœurs) 10B / seconde: moins d'une seconde (attaque hors ligne, hachage rapide, nombreux cœurs

Lettre doublée: PPwwddTThhiinngg 

  temps de prédiction: 100 / heure: siècles (attaque en ligne étranglée) 10 / seconde: siècles (attaque en ligne sans limitation) 10k / seconde: siècles (attaque hors ligne, hachage lent, nombreux cœurs) 10B / seconde: 12 jours (attaque hors ligne, hachage rapide, nombreux cœurs)

zxcvbn n'est peut-être pas parfait, mais j'ai l'impression que cela vous donne une assez bonne estimation approximative de la force de votre mot de passe. Jouez avec pour obtenir un joli mot de passe mémorable avec une note élevée.

Je préfère les phrases à utiliser comme mots de passe. Ils sont longs, difficiles à deviner et faciles à retenir.

EX: "Mon deuxième fruit préféré, le lundi, c'est la mangue!" (espaces inclus là où cela est autorisé)

Si vous craignez que la brute de la NSA ne force votre mot de passe ... j'irais avec les mots de passe générés dont tout le monde parle.

Bien qu'il s'agisse d'une excellente comparaison des différentes options, elle ne prend pas en compte le modèle connu. Si le modèle est connu, il n'y a aucune différence entre "PwdThing" et "PPwwddTThhiinngg". L'élément requis est que le modèle de mot de passe est gardé secret avec le contenu du mot de passe.
Apparemment, la meilleure solution est de détruire les attaquants.
user98946
2016-02-02 04:40:12 UTC
view on stackexchange narkive permalink

Deux choses rendent un mot de passe plus sûr: la longueur et le caractère aléatoire. Donc, la réponse à votre question est définitivement Oui , vous augmentez la sécurité de votre mot de passe.

Mais en général, votre mot de passe initial n'est pas super sécurisé car il utilise des mots qui peuvent être trouvés dans un dictionnaire. Et, le doublement n'est qu'un motif répétitif qu'un algorithme de craquage peut facilement faire aussi. Donc, non seulement doublez votre mot de passe, assurez-vous que ce que vous doublez ne sont pas des mots réels.

Bien, j'ai dit dans la question: "* Supposons qu'il y ait déjà 8 ou 9 caractères, composés de majuscules et minuscules, de chiffres et d'un ou plusieurs caractères spéciaux. *" Je suppose que la longueur uniforme du mot de passe est le gros cadeau que je tapé 2x, non? Je veux dire, beaucoup de gens font probablement ça. 50% de tous les mots de passe sont de longueur égale ...
Oui, désolé, je n'ai pas lu assez attentivement. Mais encore, plus c'est long, mieux c'est. Je préfère les mots de passe> 12 caractères (y compris les éléments que vous mentionnez).
"50% de tous les mots de passe sont de longueur égale ..." Puis-je vous demander ce que vous pensez que ce pourcentage DEVRAIT être?
@JKimball "40% de toutes les absences des employés ont lieu les lundis et vendredis! C'est un scandale!" (extrait d'une bande dessinée de Dilbert)
user98942
2016-02-02 02:30:08 UTC
view on stackexchange narkive permalink

ajouter de la longueur à un mot de passe augmente considérablement la sécurité d'un mot de passe donc je pense que taper votre mot de passe deux fois ou doubler chaque caractère est mieux que de ne pas le faire et d'utiliser un mot de passe plus court de 8 ou 9 caractères. Reportez-vous à ce lien pour en savoir plus sur la façon dont l'augmentation de la longueur du mot de passe améliore considérablement sa sécurité: https://www.grc.com/haystack.htm

Je n'achète pas leur prémisse de base. Leur prémisse est «Une fois qu'une recherche exhaustive de mot de passe commence, le facteur le plus important est la longueur du mot de passe! Ce n'est pas réaliste: qui fait des recherches exhaustives !? Les crackers de mots de passe du monde réel font des listes de dictionnaires, et si cela échoue, ils font des permutations de listes de dictionnaires, et si cela échoue, ils construisent des e-mails de phishing (ou spear-phishing). En guise de contre-exemple, ce site soutiendrait que «mot de passe» est nettement plus fort que «passw» en raison de sa longueur, bien que ce soit la première chose que toute attaque par dictionnaire essaiera.
silentcallz
2016-02-02 06:16:21 UTC
view on stackexchange narkive permalink

La longueur du mot de passe est toujours un facteur clé dans la sécurité du mot de passe, mais essayez également d'améliorer le contenu, doubler le mot de passe peut aider contre la pratique des attaques HYDRA / Dictionary

hdunn
2016-02-03 17:51:43 UTC
view on stackexchange narkive permalink

@SethWhite - je crois que vous avez donné la réponse la plus précise.

De nombreux utilisateurs ne comprennent pas les avenues et les méthodes utilisées pour casser un mot de passe. Il existe également des mesures de sécurité supplémentaires telles que le blocage de port pour les appelants http / ftp inconnus. Quelqu'un de plus expérimenté devrait expliquer.

Seth montre qu'il existe au moins quatre façons différentes de casser un mot de passe à la dure. Le moyen le plus simple est de hameçonner, de regarder sous le clavier, les notes autocollantes sur le moniteur pour un bout de papier, etc.

Les mots de passe ne sont qu'une partie de ce qui protège vos données contre les attaques. Votre mot de passe (phrase clé) est utilisé pour générer une séquence binaire longue (code machine) aléatoire qui ne peut être décodée qu'avec votre mot de passe et l'algorithme logiciel qui l'a codé. Donc, quiconque essaie simplement de deviner cette séquence binaire (HASH) sur les données de base (sans utiliser le logiciel de décodeur utilisé par une page de connexion) devra essayer de commencer au hasard par le premier octet jusqu'à ce qu'il devine au hasard tous les octets. C'est ce que Seth montre comme force Brute et vous avez besoin de beaucoup de temps et de nombreux cœurs pour des longueurs de HASH de 64 128 256 512 octets. Le temps de piratage augmente de façon exponentielle avec la longueur. La longueur du HASH est basée sur la taille du mot de passe, donc un mot de passe plus long HASH un temps de force brute plus long.

Je crois que Wikileaks a mis plusieurs mois à casser le code, mais la plupart des HASH peuvent être brisés. Je pense que les hacks du centre de services de données étaient des attaques de dictionnaire où le pirate a utilisé le logiciel de décodage de connexion pour deviner les mots de passe. Les attaques par dictionnaire ont donc généralement une sorte d'accès au système sur lequel se trouvent vos données, pas seulement les données.

Par exemple, si je comprends bien, l'attaque en ligne limitée se déplace via une connexion http, éventuellement prise en charge par un cookie piraté (petit programme généralement utile installé par les serveurs Web) à "Dictionary attack your system".

Conclusion: de longs mots de passe aléatoires ("PPwwddTThhiinngg" compte) aident beaucoup à arrêter les deux types d'attaques. La longueur et la complexité du mot de passe doivent refléter le danger des attaques par dictionnaire et la sensibilité aux informations stockées.

P.S. Ma famille me déteste parce que notre réseau domestique sans fil est protégé par une phrase clé aléatoire de 128 octets.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...