Смущает, используя пароль, что "будет через сотни лет, чтобы сломать и"

Онлайн-калькуляторы основывают свои результаты на определенном наборе допущений, которые могут не применяться в любом случае. Нет никаких оснований для доверия калькулятора, чтобы предоставить нам информацию о том, как злоумышленник может взломать пароль.

Например, если я знаю, что вы используете шаблон, и что это закономерность, то я бы настроить мой брутфорса в соответствии с рисунком. Нет никакого способа для онлайн-калькулятор, чтобы учесть это. Есть и другие подобные факторы, которые необходимо учитывать. на "Энтропия" это все о том, как можно рандоме. Набор шаблон имеет очень низкую произвольность, вне зависимости от используемых символов.

Так, да, сделать запрет на такие очевидные закономерности, если это соответствует вашей цели.

У меня есть опасения по поводу вашего метода, хотя запрет этих паролей. Вы можете быть борется с неверной битвы.

просто из любопытства, я проверил это на очень известном сайте(на странице входа) и она заявила, что это заняло бы столетия, чтобы сломать.

Такие сайты не могут быть приняты как Евангелие. Многие ничего не стоят, и даже для хороших результатов необходимо тщательно интерпретировать. В первую очередь, как правило, сила шашка может достоверно сообщить вам, что пароль слабый, но он никак не может доказать вам, что пароль—пароль, который он может'т найти неисправность вполне могла упасть в какую атаку, что счетчик не'т модель. Для некоторых крайних примеров, этот адрес электронной почты статья описывает успешные атаки трещин на некоторых иначе впечатляюще долго passphrases:

почти сразу же хлынул поток раз-упрямый пароли показали себя. Они включают: "был ли я когда-нибудь увижу ваше лицо?&и" (36 символов), "в начале было слово" в (29 символов), "от бытия до откровения" и (26), "Я не могу вспомнить ничего себе" (24) "Ну thereisnofatebutwhatwemake" и (26), на "givemelibertyorgivemedeath", у (26), и "eastofthesunwestofthemoon-то" (25).

Другое дело, что просто за один метр вам сказал, что она судит пароль сильной не'Т означает, что все такие метры. Например, zxcvbn шашка, которая является одной из лучших, думает, что это бьющиеся в 3 часа автономной атаки, если хэширование паролей является слабым:

password:              23##24$$25%%26
guesses_log10:         14
score:                 4 / 4
function runtime (ms): 3
guess times:
100 / hour:            centuries  (throttled online attack)
10  / second:          centuries  (unthrottled online attack)
10k / second:          centuries  (offline attack, slow hash, many cores)
10B / second:          3 hours    (offline attack, fast hash, many cores)

match sequence:
'23##24$$25%%26'
pattern:               bruteforce
guesses_log10:         14

Он оценивает 2 минут1!2@3#4 5$%6^, 2@3#4 5$%6^7& и!#Д$Е%Е^ С-10Б/вторая атака (3 года в 10к/сек), так что тех, кого он считает еще хуже б@ц. (Хотя результат все они 4/4. Счетчик предполагая, что вы на самом деле принимаете любой из этих паролей, потому что считает, что они'вновь реально может противостоять атакам если в приложении реализована медленно хэширование пароля. Но его анализ фактически доказывает, что они'вновь слабость к определенной атаке, что необходимо смягчить.)

Обратите внимание, что zxcvbn модели атаки, основанные только на общие знания о том, как большинство пользователей выбирать пароли—это не'т иметь каких-либо специальных знаний о том, как организация'с парольной политики или практики, могут разрешить специализированные атаку, чтобы кто-то, кто узнает их. И всегда помните, что инструмент может сказать вам, что пароль слабый, но не так уж он силен—zxcvbn оценкам веков крэк-я никогда не вижу твое лицо снова?`, что от Арс в статье мы знаем, что на самом деле был взломан в реальной жизни.

вот, я стою запутался со списком, я должен отметить эти особые виды паролей как уязвимы и запретить пользователям будет для них, даже если они занимают очень много времени, чтобы сломать?

Ваш инстинкт, что эти пароли должны быть запрещены на самом деле, оказывается, есть какое-то оправдание, как показали результаты zxcvbn. Проблема в том, что вы'вновь вряд ли получится при составлении конечного списка паролей, которые одинаково уязвимы, ни узоров, что злоумышленник может успешно использовать. Например, чтобы поймать все пароли, которые zxcvbn думает так же уязвимы, как последние три, вы'd нужен список с 1,2 трлн записей (10Б паролей/сек × 2 минуты). Не практично. Даже если вы пытаетесь сжать вещи в небольшой список моделей отклонить, я бы'т рассчитывать на успешно превосходить по уму нападавших.

Одна вещь, вы должны обязательно сделать, это использовать сильные хэширования паролей, с осуществляется или пароль Argon2 хэш-функции. На это указывают результаты zxcvbn выше называют "медленный хэш," и он, вероятно, делает ваш пароль записи гораздо сложнее сломать. (Но опять же, помните, проверки прочности могу вам сказать, что какой-то пароль-это наверняка небезопасно, но не так, что это's сейф.)

Вещи вы должны рассмотреть, кроме того:

• Использование небольшого списка (тысяч) пароли, которые, как известно, очень распространены, и не дай те. Такие списки можно легко найти в интернете.
• Используйте Трой Хант'ы 500м+ нарушено список паролей, который также имеет интернет-интерфейса API. (Убедитесь, что вы прочитали материал на K-анонимности так что вы Дон'т на самом деле отправить пароли к API!)
• Использование смарт-сила метр библиотеке как zxcvbn, который является намного более сложной альтернативой обнаружения узор нравится, что вы'вновь созерцая.
• Реализовать второй фактор проверки подлинности, так что пароли не только линия обороны.

Guessability паролей означает знать что-то о том, какие пароли люди могли выбрать. Мы все знать "пароль" это угадываемые, потому что он'с английского слова. Но чтобы знать, что вам нужно или знать английский, или иметь понятие о том, как английского или других родственных языках слова. Пришелец из Где-то в окрестностях Бетельгейзе, что's никогда не был подвержен английском или любом другом человеческом языке это'т будет знать, что "пароль" это легко угадываемые. Иными словами, моделей несколько субъективными, что (до определенного уровня) делает их очень трудно предсказать заранее.

Аналогичным образом, для некоторых паролей из вашего списка, это'Т означает, что модель. 1!2@3#4$5%6^ выглядит как "случайных" и на первый взгляд, но вы'МР быстро заметите, что на QWERTY клавиатурой, он's просто 1-6, и чередуя каждый другой символ с клавиши "Shift".

Кроме того, если кто-нибудь показал вам пароль CPE1704TKS вы также думаете, что это'Хороший пароль. Он имеет 10 символов из букв и цифр, там'не определена повторяемость рисунка, и это'ы ни слова ни на каком человеческом языке. Вы'd быть неправильно, хотя, и это'т многие пароль, потому что он's пароль используются для запуска ядерных ракет в конце фильма Военные игры.

По этой причине, используя расчеты на "crackability" и (в зависимости от продолжительности и выбора персонажа) из случайный сайт во многом фиктивный. Кроме того, они зависят от кого-то получение хэшей паролей, которая сама является крупным угрозу безопасности. Они'вновь вдвойне липовые, поскольку они предполагают, что вы знаете, как быстро хэш принимает. Скорость хэширования различаться на много порядков в зависимости от того, какой алгоритм вы'ве выбрали. Так примешь "crackability" Мои результаты с зерном соли. Большинство атак на пароли в эти дни использовать общие пароли, или повторно использовать пароли не растащили хэшей паролей.

На самом деле, это сводится к просто вести список на "плохих паролей", что другие люди нашли за эти годы, что есть какой-то особый смысл. Я думаю, что's, в которой охранники пришли.

Невозможно доказать, что данный пароль сложно взломать.

Что вы подразумеваете под (правильное) утверждение, что эти “крайне уязвимы” заключается в том, что существует более простой алгоритм угадываемые для их генерации, а именно “нажмите номер строки клавиатурой QWERTY в такой простой схеме”. Это такой алгоритм, который'ы легко распознать человека, который проводит весь день нажимая пальцами на клавиатуру, но узоры на такой клавиатуре довольно “неочевидные на компьютер”, потому что на самом деле большинство компьютерных программ Дон'т уход на всех о физическом компоновка клавиш<суп>†</SUP-серфинг>.

Я может с равным успехом привести пример, как YWJjZGVmZ2hpamts, который вы думаете, это достаточно безопасный пароль, но вы бы неправильно, потому что это происходит кодирование base64 строки abcdefghijkl, и это может показаться totally obvious на AI, для которой строки-это всего битовый шаблон.

Понятие как простой данный бит информации может быть выражена называется Колмогоровская сложность. Несмотря на простое определение, это на самом деле очень сложное понятие: это сильно зависит от языка, на котором вы хотите выразить все, и это uncomputable. Лучшее, что ты мог сделать, это оценить все возможные короткие программы в выразительный язык программирования с большой стандартной библиотеки, но если это не'т успеха<суп>‡</с SUP> это вовсе не гарантия, что нет низкоэнтропийный способ вычислить пароль на другом языке, которая включает в себя один важный стандартной функции. Если вы не'т знаем о раскладкой QWERTY, может ты тоже считаешь, что `asdfqwerzxcv безопасна, несмотря на полную очевидность, когда ты это знаешь.

В итоге: если вы обнаружите какие-либо низкоэнтропийный представление данного пароля, то да, запрещаю. Но никогда не берут кого попало'ы (включая любые program's) утверждение по номиналу, что данный пароль является безопасным, если они Дон'т знаю, как пароль был на самом деле генерируется. Если вы хотите, чтобы гарантировать действительно невзламываемым пароли, единственный способ, чтобы убедиться, что они вышли из квантово-механический случайный процесс.

<ч>

<суп>†</SUP-серфинг><суб>любая программа касается взлома паролей should знаю раскладки клавиатуры, хотя, потому что это'ы хорошо известно, что люди склонны прибегать к такой модели. Также, 23##24$$25%%26 это довольно легко даже without зная раскладку клавиатуры, потому что количество строк почти заказал в ASCII. Так вот, эти сайты действительно делают ужасную работу здесь.</суб>

<суп>‡</суп><суб>что's даже без учета времени выполнения задач. То, что вы'снова делаешь здесь так же сложно, как перебора пароля unknown.</суб>

Пароль как-то "12345678" не может считаться случайным, если вы хотите. Если вы используете генератор от quot 12345678 случайных паролей, вероятность создания "и&; - это то же самое, что и"4h2Ud8yG и" (только с учетом алфавитно-цифровых паролей). И "12345678" могут быть как трудно сломать как "4h2Ud8yG" и, если подобрать его в случайном порядке в диапазоне от "00000000" на глаз "ZZZZZZZZ и quot.;Но правда пароли должны'Т просто быть случайными, они должны смотреть случайные тоже. Почему? Поскольку злоумышленники часто используют брутфорс на основе словарей и моделей, поэтому пароли, которые арен'т на основе слов или моделей являются более безопасными. Кроме того, если слова и модели используются, чтобы сделать пароль проще запомнить, то, скорей всего, все другие пароли, используемые одним и тем же человеком будет легче запомнить таким же образом. Таким образом, если злоумышленник украдет один из ваших паролей, и это похоже на "John75 и", они, скорее всего, чтобы сломать большинство ваших паролей, брутфорса моделей, таких как "Имя + номер" и "Ну слово + номер" ну, или некоторые вариации. Но если злоумышленник похищает одного из ваших паролей, и это выглядит случайным, как и"4h2Ud8yG" и они выиграли'т быть в состоянии извлечь информацию из него.

Так что вы правы, когда вы говорите те пароли, которые вы на самом деле не безопасно. Они Дон'т даже все энтропии вы думаете, что они есть! И это потому, что пароль энтропии основано на том, как пароль, как выглядит, или как создается пароль. Пароль как-то " 1!2@3#4$5%6^" и, если вы думаете, это как-то "номер и символ, шесть раз и", Вы бы (10х10)^6 = 10^12 возможностей. Меньше возможностей для простого 8-символьный пароль из строчных букв и цифр: 36^8 = 2,8 х 10^12 возможностей. Но если вы думаете, что пароль как-то "номер и обозначение на той же клавише, начиная с 1 в порядке возрастания, в шесть раз" и общей возможности... только один!

Во-первых, эти показатели мет пароль-это рекомендации, а не абсолютная истина.

Во-вторых, как обезопасить пароль, или как долго это возьмет, чтобы трещины зависит от нескольких факторов. Чтобы лучше это понять, это's важный, чтобы понять, как пароли 'перерыв' в первую очередь.

Есть 3 распространенных атак на пароли:

1. Злоумышленники пытаются войти в сервис с помощью подбора пароля
2. Злоумышленники нашли один и тот же логин/пароль в отдельное нарушение и теперь используют его против ООН нарушил услуг (учетных начинка)
3. Злоумышленники получили дамп базы данных и хэш пароля. Они'вновь теперь перебора хэшей для определения пароля открытым текстом.

Чтобы злоумышленники не прямо вверх, угадывая пароли, мы проводим какой-то 'правило энтропии' и то ограничение на количество попыток входа. Таким образом, злоумышленники могут'т грубой силы ваши услуги напрямую.

Чтобы предотвратить учетных начинка более сложная.Независимо от того, насколько сильная у вас сила пароли должны быть, это'll быть мало чем поможет, если пользователь один и тот же пароль на отдельном нарушил систему, и что системные хранимые это открытым текстом!

Некоторые компании (в частности, в Amazon, LinkedIn и сервиса OpenTable) даже связи c нарушением данных и оповещения своих клиентов -- хотя эти нарушения находятся за пределами компании. Это помогает защититься от учетных данных начинку (немного!), но может быть чуть-чуть слишком далеко.

Наконец, там'типичное перебора пароль-хэш. Это когда злоумышленник каким-то образом заполучили пользователей, хэши паролей и теперь пытается угадать открытый текст из хэшей. Здесь's, где мы обычно слышим он'll принимать веках сломать троп.

Как правило, злоумышленник будет использовать такой инструмент, как сочленение OCL-оружие в сочетании с словник простой пароль (например, киви или сайт top1000 пароли и т. д.), Чтобы угадать открытый текст. Злоумышленники также могут перебрать все комбинации букв, цифр и специальных символов, но это'т общий, потому что он's меньше эффективна, чем слов.

В замедлить нападение, мы, как правило, опираются на :

• С помощью сильной хэш-функции (осуществляется вместо MD5)
• Соление индивидуальные пароли (чтобы заставить нападающих к грубой силе по одному)
• Предотвращение использования слабых паролей
• Запретить пользователям с помощью паролей в предыдущие утечки данных (так как словник состоит из ранее нарушили пароли).

За последние 2, НИСТ рекомендую следующие:

При обработке запросов для создания и изменения запомнил секреты, проверяющие будут сравнивать будущие тайны в отношении списка, содержащего значения известно, часто используется, как ожидается, или скомпрометированы. Например, список может включать, но не ограничивается:

• Пароли, полученные из предыдущих корпусов нарушения.
• Словарь слов.
• Повторяющиеся или последовательные символы (например, ‘аааааа’, ‘1234abcd’).
• Контекстно-специфических слов, таких как название сервиса, имя пользователя, и их производные.

Очевидно, что услуги должны заставить сбросить пароль после того, как нарушение было обнаружено на их обслуживание.

Короче говоря, Дон'т быть уверены, принимая веков, чтобы разорвать бред. Применять разумные методы по защите паролей, и вы должны быть хорошо, не полностью полагаться на эти показатели стойкости паролей, чтобы определить свой уровень безопасности. Это НИСТ ссылке является хорошим местом для начала.

Большинство онлайн советую на паролями есть, это по-дружески, без каких-либо твердых никакого основания. Это имеет особое значение для так называемых сложный пароль, в основе которой лежит миф из 80-х, и к счастью - после автора в NIST признал, что это в прошлом году - на ее выход.

Вы можете не сделать оценку надежности пароля без понимания того, что угрозы на самом деле. Все тривиально онлайн-калькуляторы же бред, они просто посчитаем без учета того, что вы пытаетесь защитить против.

Ваша угроза может быть перебора. В таком случае, первое, что нужно сделать, чтобы не допустить атак. Если кто-то вводит неправильный пароль сто раз и вы'повторно не заблокирую, вы что-то делаете неправильно, что не имеет ничего общего с силой пароля. Второе, что нужно сделать, это длина > сложность (положить, что в Google, отличная статья).

Если ваша угроза-это атака по словарю на вашем хэши паролей, то первое, что нужно сделать, чтобы должным образом защитить ваши хэши. Второе-это правильно соль и хэш с соответствующим хэш-функция (осуществляется, скрипт и т. д. - не MD5 или SHA1). В-третьих, не позволяют просто словарь слов и перестановок. Используйте ту же логику, что сухари использовать, некоторые из них являются общедоступными.

Если угроза плеча-серфинга или пост-это наклейки, вы хотите, чтобы не бессмысленные сложности исполнения, и убедитесь, что ваши пользователи могут помнить свои пароли, а вводите их быстро. Опять же, длина > сложность. Сделать минимальную длину 12 символов, но разрешить сложные слова.

И так далее...

Короче: рассмотрим ваши угрозы, Дон'т доверять тривиальные математические подсчеты.

и GT; просто из любопытства, я проверил это на очень известном сайте (на странице входа), и она заявила, что это заняло бы столетия, чтобы сломать.

Такие претензии всегда весьма сомнительной.

Фундаментальная проблема заключается в том, чтобы вычислить, сколько времени понадобится злоумышленнику взломать пароль вам нужна модель злоумышленника.

Идеализированная злоумышленнику попробуйте паролями в порядке от наиболее вероятно, наименее вероятно. Конечно реальный злоумышленник не'т знаю, как, вероятно, любой пароль таким образом они должны догадаться, они обычно сочетают какой-то словарь (который, если злоумышленник несколько компетентных будет содержать гораздо больше, чем обычные английские слова) с кучей поколения правила.

Проблема в том, что модели злоумышленники использовали пароль измеритель силы часто отстает от реальных злоумышленников в размерах своих словарей и сложность их правилам.

Фундаментальная проблема с паролями, что какие бы ограничения вы делаете пользователи часто делают необходимый минимум, чтобы получить свой пароль, чтобы пройти.

Теперь это может добавить некоторые энтропия, там обычно более чем один минимум способ мутировать пароль, так что он проходит не по правилам, но энтропия добавила гораздо меньше, чем наивный анализ может рекомендовать. Например, если вы заставить пользователей добавить свои пароль непропорционально большое число их, скорее всего, выбрать 1.

Вы, вероятно, путают, потому что предполагаю, что это можно определить уязвимость пароля априори. Вместо этого он сильно зависит от того, какой шаблон фактической злоумышленнику попробуйте сначала. Оппортунистические злоумышленник, вероятно, попробовать словарь или списки утечка паролей в первую очередь. Но даже небольшое количество усилий, они смогут получить довольно точные. Это причина, почему это проигранная битва, чтобы обеспечить руководящие принципы, касающиеся паролей. Большинство руководящих принципов, поощрять пользователей, чтобы следовать определенным минимальным требованиям при выборе паролей. Это может помочь подобрав их. Например,

• минимальная длина пароля символов X позволяет злоумышленнику избежать перебора всех паролей короче, чем X и вместо этого сосредоточиться на пароли длиной Х, Х+1 или Х+2, предполагая, что многие пользователи выполняют лишь минимальные требования, длины.

• Обеспечение узором, как на "строчные, прописные, цифры и специальные символы" и злоумышленник может предположить, что есть пользователи, которые получают пароль через именно эту картину.

• Можно было бы дать им обратную связь, является ли их пароль слили пароль, но тогда есть риск, что они просто в конечном итоге изменить его, пока это не пройдет. Опять же, это подсказка для злоумышленников о том, как направить их перебора.

• Максимальная длина является довольно очевидным. В лучшем случае, длина уменьшает выгоду от использования менеджеров паролей. В худшем случае, они могут намекнуть на базовых технологических ограничений логином. Кроме того, они устанавливают верхнюю границу в худшем случае усилия злоумышленник тратит.

Чтобы определить, насколько сильно пароль взломать, вы должны знать ее энтропии, которое, очевидно, эти сайты могут'т знаю. Они делают их лучшее предположение, а затем вернуться, что в результате.

Для того, чтобы правильно вычислить пароль'ы энтропии, вы должны предположить, что злоумышленник знает о том, как пароль был создан, как творец сделал. Если творец всегда включают в себя одно из двух 10-буквенных слов, то злоумышленник должен знать, что одно из этих слов будет присутствовать и что они.

Из этого вы видите, что ваш узор очень низкой энтропией (не более 7 бит). Но поскольку сайты Дон'т знаем, что они оценивают его как гораздо выше. Если вы хотите Хороший пароль, необходимо иметь в рандоме. Как получить пользователей, чтобы принять и включить в рандоме на пароль проблема. Лучше попытаться выяснить, как получить кого-то еще, чтобы сделать пароль или эквивалент.