Использование определенного вида чисел делают хороший пароль?
Специальные числа (трансцендентное число, первые несколько элементов определенные последовательности и так далее...) делают хорошие пароли с точки зрения повреждения грубой силы?
Править: Почему я спрашиваю это?
Мой друг составляет список немногих рекомендаций о том, как люди на его рабочем месте должны выбрать пароли. Из того, что он сказал мне, он использовал "стандартный" сначала (Вы знаете, "выберите свой пароль из одной до шести букв и двух чисел..."), и пришел к выводу, что большинство людей просто игнорирует те рекомендации, и просто использует пароли как "пароль", "дата рождения"...
Таким образом, он решил изобрести список более интересных рекомендаций, надеясь, что он заставит людей, по крайней мере, уделять ему некоторое внимание. И таким образом, мы начали думать на том, что поставить список, который мог оказаться полезным.
8 ответов
Это не должно действительно делать к большой части различия в типичной грубой силе, кто-то, вероятно, просканирует для - [a-z] + [A-Z] + [0-9], подразумевая, что Ваше число будет найдено.
Извините, Вы действительно не предоставили достаточно подробной информации на серии номеров, которую Вы будете использовать, но здесь являетесь некоторым генералом, советуют -
Когда дело доходит до паролей длинный НАМНОГО лучше и что еще более важно незабываем, например:
thisismyverylongbutcomplexpasswordphrasethaticanremember
(This is my very long but complex password phrase that i can remember)
Это имеет 56 символов, и даже только использующий [a-z] (нижний регистр), он имеет (если я не сделал свою математику неправильно) - 1.7318388839216286227999402745695e+79 комбинации.
Если у Вас просто был нормальный пароль, позволяет, говорят,
myP@55w0rd123456
(my password 123456)
Это имеет 16 символов, и существует возможность, которую Вы забудете - что касается грубой силы - использующий [a-z] [A-Z] [0-9] [Символы], (говорящий в среднем 170, который включает более чем 100 символов), давая в общей сложности 4.8661191875666868481e+35
Очевидно, наличие комбинации очень длинного, но сложного пароля является лучшим, но это легко забыть и может взять к долго для ввода. что бы ни случилось, хакеру потребуется серьезно долгое время к грубой силе.
Так или иначе это - просто общее руководство, но я надеюсь, что оно помогло Вам даже при том, что я непосредственно не сказал о Вашем фактическом вопросе.
-
1Если (как я) Вы склонны делать большой ввод ошибок, длинный пароль как этот может действительно разрушить Ваше утро. – itsadok 01.11.2009, 10:27
-
2@Arjan, да, но вероятно, что сталкивающийся пароль не будет в таблице радуги, главным образом потому что это могло содержать "untypeable" символы, которые обычно не учитываются при использовании грубой силы – R. Martinho Fernandes 01.11.2009, 13:42
-
3, я не назвал бы таблицы радуги грубой силой, но возможно я неправ там. Но по той самой причине ("untypeable" символы [..] обычно не учитываются при использовании грубой силы), я одобрил бы короче, сложные пароли по долгим простым паролям. – Arjan 01.11.2009, 19:58
-
4Однако, с помощью таблиц радуги или нет, Вы правы относительно этого не, все сталкивающиеся пароли можно было бы попробовать грубой силой. Но даже в том ограниченном наборе 26 символов будет, в среднем, (26^56 / 2^160) = 1.18e+31 коллизии. (Но хорошо, это на самом деле не только, о каких символах кто-то использует в пароле, но также и о том, что система позволяет и осуществляет, как это хранит пароли, и к тому, какие данные взломщик имеют доступ.) углы обзора – Arjan 02.11.2009, 11:11
С точки зрения грубой силы нет такой вещи как "хороший" пароль, кроме максимизировать ключевое пространство. Грубая сила будет брать в среднем настолько долго при использовании специальных чисел, как она будет иначе.
В ответ на Ваше редактирование: это кажется, что Вы пытаетесь получить людей далеко от паролей, которые могут быть предположены легко с атакой с подбором по словарю или социальной инженерией (например, дата рождения). Вы могли бы рассмотреть обеспечение некоторых паролей, которые легко помнить, что это не упадет на эти нападения легко. Один веб-сайт, который я видел, обеспечивает пароли, составленные из двух небольших слов, разделенных числом, например: hair123car, pole18dog, и т.д... Вы могли генерировать их легко со списком маленьких (символ 3-5) слова и генератор чисел. Они не могли бы быть очень сильными паролями, но они тарифицируют лучше, чем "пароль", и они более хороши для пользователя, чем "$0mEh4rDP@sSw0rD".
-
1Если тот веб-сайт не был настроен некоторым счастливым хакером для начала, то все еще какая-либо реализация грубой силы, вероятно, придумает тот же механизм на некотором этапе атаки перебором...? – Arjan 01.11.2009, 20:02
-
2, Это, конечно, менее безопасно, чем абсолютно случайный пароль, но это не упадет на простую атаку с подбором по словарю. Существует компромисс, который должен быть сделан между случайностью и удобством использования, особенно рассмотрев базу пользователей. – Jimmy 01.11.2009, 21:33
Они вводят к созданию паролей трудно для взламывания, должен выбрать один за пределами 'пространства поиска', которое могло бы использоваться потенциальным взломщиком. Выбор первых 10 цифр пи мог бы быть очень плохим выбором, если Ваше имя для входа в систему является 'любителем пи' или 'геометрией' или что бы то ни было.
Wil прав. При прочих равных условиях длинный пароль более труден взломать это более короткое. Но если у меня есть специальный knowlegde - который мог бы быть знанием, которое Вы непреднамеренно обеспечиваете через другие каналы - затем у меня есть хороший шанс (в конечном счете) взламывания моего пути в. Человек, который взломал учетную запись Yahoo Sarah Palin's, смог узнать ответ на ее вопросы о безопасности путем исследования их онлайн.
Если у меня будет физический доступ к Вашей машине, то ничто не будет долгое время не пускать меня, если Ваш весь жесткий диск не будет зашифрован. Я могу приблизиться к 95% компьютеров на планете с живым CD, начальной загрузкой от этого, и у меня есть доступ к (почти) каждому ресурсу на поле, никакой требуемый пароль.
Один простой способ протестировать это самостоятельно состоял бы в том, чтобы создать документ в Word (или новый zipfile в Winzip) и пароль файл. Теперь загрузите одну из многих бесплатных программ взламывания пароля и посмотрите, сколько времени она берет для взламывания файла. Я сделал несколько из них в последнее время (по законным причинам работы, люди, уезжающие незамедлительно, оставив позади важные файлы с неизвестными паролями).
Бросок основанного на словаре взломщика в файле с простым паролем берет миллисекунды для взламывания. Принуждение скота файл с шестью числовыми паролями цифры (особенно, когда Вы знаете ее числовое) занимает несколько секунд, оно действительно, не имеет значения, как математически затеняют Ваше число, взломщик грубой силы просто пробует их всех.
После того как Вы расширяетесь до слов несловаря больше чем с шестью символами с соединением типов символов (нижний регистр, верхний регистр, числа, клавиатурные символы, специальные символы), потраченное время повышается экспоненциально.
Если Вы действительно хотите быть безопасными, Вы не хотите использовать любое слово из словаря в Вашем пароле; даже если Вы заменяете весь "a", или "s" с "5" или "e" с "3", и т.д. Если это - слово из словаря, это может быть предположено, и большинство людей выбирает слово, которое значит что-то для них любой, который помог бы кому-то, кто знает, что они предполагают.
То, что Вы действительно хотите сделать, выбрать абсолютно случайную комбинацию букв, чисел и символов. Таким образом, единственный путь к атаке перебором, пароль состоит в том, чтобы предположить все возможные комбинации, вместо того, чтобы делать то, что называют "Атакой с подбором по словарю". "Атака с подбором по словарю" состоит в том, когда взломщик предполагает пароли на основе прохождения через словаря.