¿Qué tan vulnerables son las frases de contraseña con estructura gramatical?

Navega tus respuestas
3

Imagina que creo una frase de contraseña usando palabras de diccionario aleatorias pero con una estructura gramatical común (por ejemplo: article, noun, verb, adjective, noun ). Dado un diccionario bastante pequeño de 5000 palabras, ¿qué tan vulnerables son esas frases en comparación con:

  1. contraseñas con la recomendación habitual de 8 a 16 caracteres, superior, inferior, números
  2. alguna frase que creas tú mismo en función de tu libro, poema, cita o lo que más te guste
  3. diceware frases de estilo (5 palabras aleatorias pegadas consecutivas)
  4. la recomendación de PGP de "impactante disparate" (que es similar a lo que estoy haciendo)

Algunos ejemplos de lo que estoy pensando: 

its headlock fumbled my angle
should its mimosa withstand an oath
a harpoon might expertly staff our ratios
the Sumerian ambushes the tiny murmur

¿Se conocen formas de atacar tales frases de contraseña más allá de buscar primero palabras comunes en un ataque de fuerza bruta? ¿Puedes pensar en una manera mejor que esta?

¿Qué tan efectivos serían los Cadenas de Markov o los n-gramas basados en los corpus de palabras grandes (por ejemplo: Google Web o Brown )? Mi intuición es que la naturaleza 'sin sentido' de las frases mitigaría muchas cadenas comunes de palabras, pero ¿hay alguna investigación o galleta que pueda usar para verificar eso?

El efecto de la gramática en la seguridad de las contraseñas largas es relevante, incluso destacan un sin sentido frase de contraseña propia como inesperadamente buena ( martillado requisitos de arsine ), pero mi comprensión de su artículo es que están probando primero la mayoría de las palabras comunes. Esta pregunta también es relevante.

Revelación completa: estoy desarrollando un generador de frases de paso que utiliza esta técnica gramatical para ayudar a la memorización, pero aún así mantiene el palabras utilizadas al azar. Estoy interesado en algunas críticas de mi algoritmo, aunque todavía estoy dentro del estilo de Q & A de desbordamiento de pila.

    
pregunta ligos 13.02.2013 - 08:56
fuente

1 respuesta

2

El principal hallazgo del documento que vinculó es que las oraciones gramaticales no tienen la La entropía que se espera de las oraciones de esa longitud. Una respuesta razonable a eso sería simplemente no contar las palabras que está agregando para que la oración sea "correcta"; Elegir uno de tus ejemplos a harpoon might expertly staff our ratios debería considerarse tan fuerte como harpoon expertly staff ratios .

Si estás buscando la fuerza máxima de contraseña; También debes evitar las palabras que siguen las reglas gramaticales, del documento:

  

Las estructuras gramaticales, o reglas de etiqueta, dividen el espacio de búsqueda de contraseñas de manera desigual; el tamaño del espacio de búsqueda de las reglas de etiquetas individuales es diferente, por ejemplo, el tamaño de "Noun Noun" es mayor que el de "Adjective Noun".

Lo que implica que debes evitar el 'nombre de adjetivo' para maximizar tu entropía. Esto es cierto incluso si su algoritmo los genera aleatoriamente , ya que la estructura funciona para comprimir la contraseña. También vale la pena señalar que el documento no buscó pares que tuvieran sentido juntos (se hubiera probado watery scissors ).

El punto en el documento de elegir palabras comunes primero no disminuiría su efectividad contra oraciones aleatorias, pero aproximadamente formadas correctamente; Siempre puedes diseñar tu diccionario para distribuir palabras al azar por frecuencia. No es tanto que prueben las palabras comunes primero, sino que intenten grupos que a menudo se ven juntos, juntos.

También ha habido alguna investigación sobre el modelo de Markov que sugiere; ¿Vale la pena ejecutar ese tipo de análisis sobre la contraseña que genera antes de presentarla al usuario?

Puede encontrar las respuestas en esta pregunta relacionada de interés.

    
respondido por el Bob Watson 13.02.2013 - 09:38
fuente

Lea otras preguntas en las etiquetas

¿Existe una manera confiable de simular la manipulación de la ruta de inicio de "Evil Maid Attack" cuando se usa bitlocker? ¿Cómo Network Discovery OFF protege mi computadora?