Medición precisa de la complejidad de la contraseña

Question

Medición precisa de la complejidad de la contraseña

#1 de dr jimbob (4 votos)
#2 de F. Hauri (4 votos)

0

Estoy pensando en un sistema, que mide la complejidad de una contraseña no basada en su entropía o compresibilidad, sino con un método simplemente sofisticado.

La medición de la entropía / compresibilidad está midiendo la idea, "qué tan difícil es construir esta contraseña a partir de bytes". Estoy pensando en un método que mida "qué tan difícil podría construirse esta contraseña a partir de los conceptos en la mente de los crackers".

¿Qué hay en la mente de los crackers? Palabras y algoritmos. Por lo tanto, qué hay que descubrir: qué tan difícil es construir a partir de la palabra y los algoritmos que viven en la mente de una entidad inteligente cuyo objetivo es descifrar la contraseña. Ellos usan vocabulario, por supuesto, también estas palabras también deben verse.

¿Hay algún modelo matemático que use este concepto?

passwords password-cracking countermeasure

pregunta peterh 16.05.2014 - 16:08

fuente

2 respuestas

4

¿Cómo podría pensar un atacante?

Como ellos quieren, primero intenta entender cómo tú piensas, para imaginar qué método utilizas para crear tu contraseña ...

Dependiendo de quién te está atacando ...

Para los casos más comunes, una contraseña segura simple puede ser suficiente, pero para otros casos más específicos , se habla de una especie de guerra , donde todo está permitido.

La forma más conocida de encontrar una contraseña es ingeniería social ( o tal vez pregúntele ... ... no muy matemático , pero es eficiente!)

respondido por el F. Hauri 16.05.2014 - 18:05

fuente

Lea otras preguntas en las etiquetas passwords password-cracking countermeasure

¿Software para hackear web? [cerrado] ¿Por qué almacenar la contraseña salt en lugar de generarla? [duplicar]

score 4 · Accepted Answer

Hay un concepto muy bien definido: se llama entropía informativa. Si bien existe una relación entre la entropía y la compresibilidad, no piense en la entropía como un sinónimo de compresibilidad.

La entropía es el número de decisiones 50/50 (como tirar una moneda justa) necesaria para crear una contraseña y llamamos a cada una de estas decisiones 50-50 un poco de entropía. Si elige una contraseña al azar de una lista de contraseñas comunes de 1024, su contraseña tiene 10 bits de entropía como 2 ¹⁰ = 1024. Si elige una contraseña seleccionando 12 letras al azar (tomadas a partir de mayúsculas, minúsculas y números (para un total de 62 caracteres), sabemos que hay 62 ¹² contraseñas que involucraron el registro ₂ (62 ¹²) ~ 71.450 ~ 71 bits (nota 2 ^71.450 ~ 62 ¹²).

La entropía informativa se relaciona con un límite inferior sobre cuánto tiempo le tomaría al mejor atacante súper sofisticado construir su contraseña. Si conocían el modelo exacto que usó para crear su contraseña (por ejemplo, han visto otras contraseñas que ha generado o ha filtrado su método), pero su método de generación de contraseña requirió ~ 71 decisiones aleatorias 50/50 que significa que Tendré que probar aproximadamente 2 ⁷¹ ~ 2,361,183,241,434,822,606,848 contraseñas diferentes (por lo tanto, a un billón de contraseñas por segundo les tomaría decenas de miles de años para romperlas). Si no conocen a tu modelo, tendrán que probar muchos más que eso. (Debido a que primero pasaron el tiempo las contraseñas de 6 caracteres de forzamiento brutal, revisaron una lista de contraseñas filtradas de 100 millones de contraseñas comunes y luego intentaron contraseñas de 7 caracteres, etc.

Tenga en cuenta que si un atacante también probó primero las contraseñas de 8,9,10,11 caracteres, esto no hace una gran diferencia en la entropía si finalmente tienen que probar contraseñas de 12 caracteres. Eso es 62 ¹² ~ 2 ^71.450, pero 62 ⁸ + 62 ⁹ + 62 ¹⁰ + 62 ¹¹ + 62 ¹² ~ 2 ^71.474 - por lo tanto, si su esfuerzo pudiera descifrar contraseñas de hasta 12 caracteres, también podría rajarse las contraseñas que son más cortas con un esfuerzo que es insignificante en comparación con descifrar la contraseña de 12 caracteres.

Si su contraseña no se basa en cosas aleatorias, pero digamos que en función de los nombres de su cónyuge / hijos / mascota o algún hecho comúnmente disponible con sustituciones leves, será mucho más débil. El cálculo de la entropía podría comenzar con la cantidad de datos sobre usted antes de que alguien encuentre la base de la contraseña más el número de alteraciones aleatorias (similar a enlace ).