Mi compañero argumentaba que esta política es más débil que una que requiere al menos 10 caracteres.
Una política de contraseñas está diseñada para evitar contraseñas "débiles" (más sobre lo que realmente significa más abajo) , por lo tanto, debe juzgarse por la contraseña más débil que se puede crear debajo de ella, no por el número de contraseñas que posiblemente puedan codificarse con él.
Supongamos que tenemos 52 letras (superior e inferior), 10 dígitos y otros 30 caracteres.
El método de generación de contraseña más débil posible con 10 caracteres y al menos uno de cada tipo de carácter sería 8 números (ya que solo hay 10 dígitos en el grupo de entropía, es el más bajo disponible de los tipos de carácter) y uno de cada uno. letra y un simbolo Di 12345678A@
.
El cálculo del grupo de entropía de una contraseña de este tipo generada de esta manera da
2^(log2(10) * 8 + log2(52) + log2(30)) = 156,000,000,000 permutations.
La contraseña más débil posible con 10 caracteres sería 10 caracteres del tipo de carácter con el grupo de entropía más bajo: solo números. Di 1234567890
.
2^(log2(10) * 10) = 10,000,000,000 possible combinations from this entropy pool.
Los cálculos se muestran para el cálculo de entropía con el propósito de explicación, sin embargo, puede simplemente multiplicarlos para obtener el mismo resultado: por ejemplo, 10^8 * 52 * 30 = 156,000,000,000
Entonces
156,000,000,000 vs
10,000,000,000 vs
Por lo tanto, la primera política impone una contraseña "más fuerte". Recuerde que la fortaleza de la contraseña no es una métrica real, solo cuenta la entropía y se basa en cómo se genera la contraseña . Entonces, si la contraseña fuera basketball
, se descifraría inmediatamente usando la segunda política.
Además, con la primera política, el número y el símbolo pueden aparecer en cualquier lugar, no solo al principio, lo que aumenta el número de permutaciones. Recuerde que vamos por la contraseña más débil posible, por lo que si se obliga a un usuario a tener una letra y un número, es probable que los pegue al final (y en ese orden).
Si desea calcularlo, multiplíquelo por el número de permutaciones (10 veces para las posiciones del número y 9 para las posiciones del símbolo, ya que el símbolo no puede aparecer en la misma posición que el número, sin embargo está bien).
156,000,000,000 * 10 * 9 = 14,040,000,000,000
Para completar, para obtener el número máximo de permutaciones, los cálculos serían los siguientes, asumiendo que 10 caracteres también es el límite máximo, de lo contrario sería una pregunta imposible de responder. Tenga en cuenta que aquí estamos utilizando el grupo de entropía completo, ya que vamos por la contraseña más "compleja" posible. Diga Azz643@$%2
, de la misma manera en que puede propagar cada tipo de carácter.
52^8 * 10 * 30 * 10 * 9 = 1,443,412,670,349,312,000
92^10 = 43,438,845,422,363,213,824
Así que aquí tenemos
1,443,412,670,349,312,000 vs
43,438,845,422,363,213,824
Esto le da 60 bits frente a 65 bits de entropía.
Entonces, sí, hay muchas más combinaciones posibles que pueden codificarse utilizando la segunda política, pero en términos reales, puede obtener muchas pelotas de baloncesto.