Quand je mets ceci dans un mot de passe, est-ce que cela garantit quasiment qu'il ne sera jamais forcé brutalement?

Une attaque par force brute sur un mot de passe a tendance à se produire de deux manières: soit un attaquant obtient une base de données de mots de passe hachés, soit un attaquant tente de se connecter à un système en direct avec un nom d'utilisateur (ou un autre identifiant de compte) et un mot de passe. Une méthode courante d'attaque des bases de données de mots de passe hachés consiste à utiliser un ensemble précalculé de valeurs et de hachages appelé table arc-en-ciel. Voir Que sont les tables arc-en-ciel et comment sont-elles utilisées? Une table arc-en-ciel n'est pas une attaque par force brute pure car elle utilise moins que le domaine complet des entrées possibles. Puisqu'une véritable force brute utilise une attaque toutes les entrées possibles, qu'il s'agisse d'une attaque sur une base de données de mots de passe hachés ou d'une connexion système en direct, aucune sélection de jeu de caractères ou combinaison de différents ensembles ne fera aucune différence dans une attaque par force brute. Les véritables attaques par force brute sont rares. Les attaques de table arc-en-ciel sont plus courantes et l'utilisation d'une valeur d'un ensemble inhabituel sera une défense efficace contre de nombreuses attaques de table arc-en-ciel.

Ai-je raison de penser que les attaquants ne jugeront jamais utile de vérifier les caractères non clavier? Est-ce même quelque chose dont ils sont conscients?

Il y a des attaquants qui utiliseront des ensembles d'entrées inhabituels pour essayer d'attaquer des mots de passe, mais je soupçonne qu'ils sont rares. Tout attaquant raisonnablement sophistiqué a pensé à des choses comme les caractères non clavier, et la plupart prennent la décision économique de s'attaquer aux cibles les plus faciles. Il existe de nombreuses cibles avec des mots de passe médiocres et faibles, donc les attaquants conçoivent des attaques pour ces mots de passe faibles. Donc, oui, de nombreux attaquants (mais pas tous) considèrent que les mots de passe forts ne «valent pas leur temps».

avec un seul caractère non clavier quelque part dans votre mot de passe, vous n'aurez jamais à vous soucier garder le reste du mot de passe fort.

Non. La force est une mesure ou une résistance aux attaques. Si votre mot de passe est un seul caractère non clavier, il est plus faible qu'un mot de passe de 33 caractères minuscules. La longueur en bits est une mesure importante de la force du mot de passe. Bits au lieu de caractères, car les calculs cryptographiques comme les hachages sont effectués en bits et non en caractères. Un jeu de caractères, comme le jeu de caractères non clavier, n'est qu'un élément dans la création de mots de passe forts, il n'est pas fort en soi.

Donc, parce que je devais savoir, j'ai généré une table arc-en-ciel NTLM en utilisant le caractère non imprimé alt 0160 (et non représenté par le clavier) 0161-0164. Le tableau a reconnu le caractère non imprimable en hexadécimal.

La table a pu reconnaître le caractère non imprimé après avoir vidé le hachage. (C'était un compte factice avec un mot de passe de 4 caractères à des fins de démonstration)

Cela ressemble à quelque chose comme:

Donc, même si ce n'est pas impossible, je n'avais rien dans ma boîte à outils qui allait reconnaître cela. La plupart des gens avec des tables arc-en-ciel sont soit de la source communautaire, soit ont une raison spécifique de les créer.

J'ai rarement vu des gens utiliser ces caractères, mais il est parfaitement logique de créer quelques tableaux supplémentaires à inclure en fonction de l'engagement: £ ¥ ¡et quelques autres signes de ponctuation qui ne sont utilisés que dans non langues anglaises. La recherche sur les claviers du monde entier pour les personnages les plus courants et la recherche de personnages qui ne sont pas représentés dans l'US-104 va me donner un bon départ. Mais encore une fois, ce jeu de tables lorsqu'il est fait est basé sur 1 chose: l'utilisation courante. Si ce n'est pas souvent fait, il est probablement plus facile de trouver un autre moyen de contourner le contrôle.

Pour parler d'une force brute basée sur une entrée directe, la même chose s'applique. Quiconque l'inclut dans le jeu de caractères pour l'entrée peut le faire. Ce n'est tout simplement pas normal de le faire.

Donc, d'une manière détournée, ce que je dis, c'est que oui, cela le rend moins sensible au forçage brutal, mais pas impossible.

- Modifier -

Pour une perspective de nombres réels sur la génération de table:

Le jeu de caractères de base que j'ai empilé pour NTLM tient dans un lecteur de 750 Go les nombres I ' Je l'ai fait si je voulais en créer un nouveau: (supérieur + inférieur + nombre + caractères d'impression = environ 96 caractères)
Durée de génération 9 j 22 h (si trop élevé, augmenter le nombre de tables)
Chaîne unique count 6,094,373,862
Taille de la table 90,81 Gio (97,509,981,789 Bytes)
Taille totale 726,51 Gio (780 079 854 310 octets)

Ce n'est pas optimal, mais à titre de comparaison, les mêmes paramètres (en fait un peu plus de paramètres 8 tables au lieu de 4 en utilisant rtc) sur l'impression complète + non impression + ensemble ascii sans clavier (191 caractères) équivaut à (avec compression)
Temps de génération 395 y (si le nombre de tables est trop élevé)
Nombre de chaînes uniques 4,823,766,839,375
Taille de la table 57,03 Tio (62 708 968 911 909 octets) Taille totale 14,20 PiB (15 990 787 072 536 668 octets

Essentiellement 2 ordres de grandeur de plus si vous utilisez tout l'espace de caractères ascii que les fenêtres accepteront comme entrée de mot de passe. Je devrai attendre un peu pour ces 20 pétaoctets Seagate avant de s'engager sur la voie de cette table. Et les processeurs doivent accélérer si je veux que la table se termine avant que 8 générations d'entre moi aient vécu et moururent.

Un attaquant n'a qu'à étendre le jeu de caractères qu'il utilise pour forcer brutalement n'importe quel mot de passe, quels que soient les caractères qu'il contient. Cela dit, plus ce paramètre est grand, plus il a besoin de temps à passer.

La recommandation habituelle est que si vous ajoutez des lettres minuscules, des majuscules, des chiffres et des symboles, le tout en ascii, le jeu de caractères que vous utilisez est suffisamment grand pour empêcher suffisamment le bruteforcing. Si vous allez au-delà de l'ensemble ascii, vous pouvez également regarder des caractères grecs ou russes - la chose unicode non imprimable et aléatoire est un peu trop loin à mon avis.

Vous pouvez le faire bien sûr, mais il y a un risque: sinon: toutes les applications, et en particulier les sites et les bases de données, ne sont pas compatibles avec l'encodage UTF, ou des choses différentes de l'iso-8859-1. Cela signifie que votre mot de passe peut ne pas être accepté par une application / un site, ou pire encore, être accepté mais être gâché sur le chemin de la base de données, de sorte que vous ne puissiez pas le vérifier. Malheureusement, toutes sortes de bizarreries peuvent survenir lorsque vous fournissez une entrée non-ascii à une application qui ne l'attend pas, en particulier dans les champs de nom d'utilisateur et de mot de passe.

Utiliser Alt + #### (quatre chiffres) équivaut (pour la résistance aux attaques) à avoir les quatre chiffres comme caractères de mot de passe, là où vous ajoutez votre "caractère spécial". Les chiffres dans les mots de passe ne sont pas une chose totalement nouvelle.

"Les attaquants ne le considéreront jamais" est la base de toutes les faiblesses. Les attaquants le prendront en considération; ils y ont même pensé avant vous. Si vous comptez sur la stupidité des attaquants, vous ne vaincrez que des attaquants stupides - ceux qui sont les moins dangereux de toute façon.

Sur une note plus pratique, les caractères spéciaux vous rendront la vie plus difficile lorsque vous essayez pour utiliser un appareil qui n'offre pas la saisie de caractères Alt (par exemple un mot de passe sur un site Web, auquel vous souhaitez accéder depuis votre smartphone).

Comme cela a été dit dans d'autres réponses, la force du mot de passe réside dans sa taille. Vous pouvez appuyer sur les touches Alt + 0 + 1 + 6 + 0 pour obtenir un caractère inhabituel, mais vous n'obtenez alors qu'un caractère sur 5 frappes. En prenant ceci comme une estimation approximative, vous pouvez obtenir 12, peut-être 13 bits d'entropie à partir d'un caractère spécial; vous auriez pu en obtenir plus (au-dessus de 20) si vous aviez utilisé ces 5 frappes sur des caractères alphanumériques.

En bref, il est plus utile d'utiliser 5 caractères sur le clavier à la place - vous en avez beaucoup plus pour votre argent , si vous pardonnez le jeu de mots.

En supposant un support UTF-8 solide (éliminant ainsi d'autres problèmes d'encodage), un écueil potentiel des mots de passe non-ASCII est la normalisation Unicode.

Les caractères comme ö peuvent être représentés de plusieurs manières, c'est-à-dire comme un seul ö caractère ou comme deux points de code: o+¨

En général, les ordinateurs ne les considèrent pas comme égaux, même s'ils le sont vraiment.

En conséquence, une implémentation naïve qui ne normalise pas la saisie du mot de passe avant la vérification peut ne pas accepter le mot de passe pässwørd si vous parvenez à le saisir sous une forme normalisée différemment lorsque vous définissez le mot de passe .

Si la sécurité est basée uniquement sur une croyance / hypothèse qu'un attaquant n'utilisera pas la technique X, c'est une sécurité assez faible. Il faut supposer qu'un attaquant le sait.

Comme aux échecs, faites le coup le plus fort comme si votre adversaire connaissait vos intentions.

Si l'extension du jeu de caractères utilisé dans votre mot de passe le rend plus fort, il rend également la saisie difficile et ne garantit pas à 100% contre les attaques.

Plus important encore, l'utilisation de caractères rares vous expose situations où vous connaissez le mot de passe mais ne pouvez pas l'utiliser. Imaginez ne pas pouvoir utiliser un outil de récupération car il n'est pas compatible avec votre mot de passe, ou ne pas pouvoir consulter votre boîte aux lettres depuis l'ordinateur ou le smartphone de quelqu'un d'autre.

En résumé: contre une attaque de style dictionnaire / arc-en-ciel, ils ont tendance à être TRÈS sûrs car un seul personnage non typable vous fera sortir de tous les schémas courants, mais contre une véritable attaque par force brute, ils peuvent être beaucoup plus faible que d'utiliser vos 2 à 5 autres frappes de manière normale. Donc, la stratégie optimale à mon avis est de les combiner. Faites en sorte que votre mot de passe ait trop de caractères pour être découvert par une véritable attaque par force brute dans un délai humain raisonnable, et incluez un caractère Alt-% pour laisser tomber la «popularité» de votre mot de passe au-delà de ce qui est considéré comme une supposition éclairée valable. Cela peut rendre votre mot de passe aussi sûr qu'une chaîne réellement générée de manière aléatoire, mais plus facile à mémoriser. Assurez-vous simplement que le caractère aléatoire que vous utilisez n'est pas susceptible d'avoir une signification dans un langage de programmation ou un ensemble de clavier étranger tel que ces caractères amusants vraiment bas sur la table alternative: ☺, ☻, ♥, ♦, ♣, ♠, ◘, ↕, etc.