Estou questionando o conselho comum dado para não usar palavras do dicionário em uma frase como senha. Por exemplo, usando "Meu nome é Sue!" como uma senha. Nos sites que hospedo e gerencio, se você não digitar exatamente a sequência de caracteres que não está inserindo. Examinei os dicionários usados por alguns softwares de cracking e eles são coleções incríveis de palavras. Rapidamente desisti de tentar encontrar uma palavra que não estivesse ali, em todas as línguas escritas. Portanto, usar um palavrão holandês é uma senha ruim. Mas não havia frases ali, e mesmo que houvesse, o grande número de frases possíveis e suas permutações simplesmente não transformariam isso em outra forma de ataque de força bruta?
Então, por que aconselhar não usar palavras do dicionário em uma frase como frase secreta?
(saboneteira) Acho que a TI prestou um péssimo serviço aos usuários ao exigir senhas cada vez mais complexas e impossíveis de lembrar, em vez de oferecer o conselho para usar uma senha. Estou procurando uma resposta fundamentada sobre por que estou pensando incorretamente e devo voltar ao conselho comum.
Responder1
Você está comparando senhas comsenhas. Senhassão geralmente considerados superiores, desde que as pessoas não usem frases comuns.
Responder2
Como 'Ernie' já disse, você está comparando senhas com senhas. O conselho para não usar palavras do dicionário é sólido. Mas usar senhas como uma combinação de palavras de dicionário é apenas “um passo” menos perigoso, assim como outros truques para tentar criar uma senha/frase memorável.
Hoje em dia, na situação em que um invasor possui a versão criptografada de sua senha (frase), ele não fará apenas um ataque de dicionário comum. Os hackers conhecem todos ostruques(leetspeak, concatenando palavras, adicionando números, etc.).
Informações estendidas emSecurity Now, episódio 366 "Atualização para quebra de senha: a morte de 'inteligente'"(ou leia seutranscrição).
Eu sugiro que você use um bom gerador de senhas comoÚltima passagem(também discutido extensivamente no episódio 256 do Security Now) para gerar senhas aleatórias para você. Os humanos são maus aleatoriamente (sejagerandooudetectando)
Se você realmente deseja senhas memoráveis, você pode usar otécnica de palheiros de senhacomo uma alternativa às combinações aleatórias difíceis de lembrar. Aqui você anexa uma string repetitiva (123 123 123) a uma string curta contendo entropia máxima (D0g!).
Seja qual for o método que você escolher,faça suas senhas com pelo menos 12 caracteres. TodosSenhas de 8 caracteres agora podem ser quebradas em 13 horasem uma máquina faça você mesmo que custa US$ 12.000 (principalmente para as GPUs)
Responder3
A dificuldade de aplicar força bruta em uma senha depende de pelo menos duas variáveis:
- Comprimento da senha.
- Caracteres de senha permitidos.
O primeiro é óbvio. Se eu me limitar apenas a letras (26 minúsculas + 26 maiúsculas), então
- Uma senha de uma única letra pode ser adivinhada em no máximo 52 tentativas.
- Uma senha de duas letras pode ser adivinhada em no máximo 2.704 tentativas (52×52)
- Uma senha de três letras pode ser adivinhada em no máximo 140.608 tentativas (52×52×52)
Como você pode ver, o número de combinações aumenta rapidamente. Portanto, quanto mais longa a senha, mais difícil será a força bruta.A TI deve encorajar senhas longas.
No entanto, muitos aplicativos antigos aceitam apenas senhas de até 8. Isso é simplesmente muito curto para uma boa segurança. Se você estiver limitado a 8 caracteres. limite, ou você sabe que seus usuários não usarão senhas longas, há outra maneira de tornar as senhas mais difíceis de usar a força bruta: faça com que a senha use um conjunto maior de entradas do que apenas letras. Adicione dígitos. Adicionarcoisas estranhas no teclado.
Esta não é uma boa solução. É uma solução alternativa para compensar o usuário médio ou sistemas antigos. Uma senha comoBateriaHorseStaple(comprimento 18) é muito mais difícil de decifrar do que a maioria das senhas curtas, mas complexas. No entanto, a maioria das pessoas terá preguiça de digitar isso.
Você pode notar que eu usei consistentemente o termoforça bruta uma senhae nãoquebrar uma senha. Isso ocorre porque existem outras maneiras de descobrir as senhas de alguém. Por exemplo, você poderia apenas adivinhar.
Os dicionários nada mais são do que grandes listas de palavras para adivinhar, e os programas de quebra de senhas são inteligentes o suficiente para tentar variações de palavras nos dicionários.
Isso torna as palavras desse dicionário inadequadas tanto para senhas quanto para uso em senhas.