¿Existe una ecuación para calcular el número de instancias de una serie de caracteres en un espacio clave dado?

Question

¿Existe una ecuación para calcular el número de instancias de una serie de caracteres en un espacio clave dado?

#1 de Thomas Pornin (5 votos)

2

Si estoy usando contraseñas de 16 a 18 caracteres de longitud con 94 valores diferentes por carácter diferentes (alfas inferiores, alfas superiores, números y caracteres especiales), ¿hay una ecuación que pueda usar para calcular cuántas veces? ¿Se presentará una serie del mismo valor?

Lo que estoy tratando de averiguar es con los programas de complejidad de contraseña granular, puede especificar el número máximo de caracteres que se pueden ver uno al lado del otro antes de que sean descartados. Lo que quiero saber es, si se usa un valor bajo (por ejemplo, 2), qué tan gravemente afecta esto al espacio clave para la resistencia contra los ataques de fuerza bruta.

Como en, en un espacio de claves de 16 caracteres de 16 ^ 16, si la cantidad de los mismos valores no puede ser 2 o más, ¿cuántas contraseñas posibles se eliminan de las contraseñas disponibles que un atacante debe usar? p>

por ejemplo en el caso de 2 caracteres del mismo valor, se rechazarán las siguientes contraseñas:

12345667890abcdefgWW - debido a los 66 y WW
sadfl; jkxz089 - qwer - debido a la -
a; lksdjf %%; slkdaj;; zlc - debido a %% and ;;
2134 @! # $ SAf; ljkasdf $$$$ cQ - debido a $$$$

... ¿hay una ecuación para realizar este tipo de cálculo?

passwords password-policy brute-force

pregunta thepip3r 08.04.2014 - 18:01

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords password-policy brute-force

Ética de los sitios web que prueban otros sitios para Heartbleed [cerrado] ¿Qué sucede si la AC tiene conocimiento de claves privadas?

score 5 · Accepted Answer

Para n : contraseñas de caracteres sin dos caracteres adyacentes idénticos, @Stephen ofrece la solución: es 94*93^n-1 . El razonamiento es simple: puede utilizar cualquiera de los caracteres 94 para el primer carácter, luego para cada carácter subsiguiente puede usar cualquiera de los 94 , excepto el que Sólo se utiliza, por lo que 93 .

Para n = 16 , puedes ver que mantienes aproximadamente el 85.2% del espacio completo de 94¹⁶ posibles contraseñas de 16 caracteres . Pierdes menos del 15%, por lo que la reducción de la seguridad no es enorme.

Si desea evitar secuencias de tres caracteres idénticos, el cálculo es más complejo, pero la reducción del espacio involucrado será necesariamente menor, porque cualquier contraseña con tres caracteres idénticos consecutivos es También una contraseña con dos caracteres idénticos consecutivos. Por lo tanto, siempre mantendrá al menos su 85.2% del espacio original. Además, el número de contraseñas con tres caracteres consecutivos idénticos no es más que (n-2 )*94^n-2 (esto es una sobrestimación excesiva); para n = 16 esta cifra es aproximadamente el 0.16% del espacio total, por lo que descartar contraseñas con tres caracteres consecutivos idénticos le dejará más del 99.84% de su espacio original.

Para la fórmula anterior, simplemente "elijo" la posición para el primer carácter en la secuencia de tres caracteres, y puedo elegir los caracteres n-2 libremente. Esto es una sobrestimación porque cuento el doble de las contraseñas con dos secuencias, tres veces las contraseñas con tres secuencias, etc. Pero una sobrestimación es suficiente para demostrar que el efecto de reducción de espacio es insignificante.

Sin embargo, la reducción de la paciencia del usuario puede no ser tan despreciable. Recuerde que cada regla de "complejidad de contraseña" será considerada como una carga para el usuario, y antagonizar al usuario es lo último que realmente desea en la práctica.