Comment puis-je savoir si un mot de passe a une entropie suffisante pour empêcher le forçage brutal sur une échelle de temps réaliste ? Par exemple, si j'ai le mot de passe suivant, comment puis-je déterminer s'il est suffisamment fort pour empêcher le forçage brutal ?
"?e&ye&ga!ruaa!na!e%ta!e%rc#Iod$woH"2245
Il y a un site qui peut vous donner une estimation de l'entropie d'un mot de passe. . Pour l'exemple ci-dessus, il suggère ~210 bits.
Vous pouvez avoir une idée très approximative du temps qu'il faudra pour craquer sur Quelle est la sécurité de mon mot de passe ? .
Elle suggère qu'il faudrait à un PC de bureau standard 2 vigintillions d'années pour craquer le mot de passe dans votre exemple.
Une analyse plus détaillée du mot de passe peut être consultée à l'adresse suivante Le compteur de mots de passe .
J'ai vu que les deux sites donnent un sentiment de sécurité trompeur. J'ai pris un mot du dictionnaire courant, je l'ai répété encore et encore et "l'etropie" augmentait plus que linéairement, ce qui est une absurdité.
Oh, j'avais manqué celui du milieu. Je l'aime beaucoup mieux, c'est très bon et au moins ils ont un disclaimer décent.
Votre question - "Est-il assez fort pour empêcher la force brute ?"
La vraie réponse - "non".
La réponse utile : "Probablement, du moins dans un avenir prévisible".
Ce que vous devriez demander :
Je dois protéger ce type de données, qui ont des exigences x et y, et une sensibilité z pour mon entreprise. Est-ce un niveau d'entropie approprié ?
Ok, pour être juste, 210 bits comme @Gareth l'a souligné est susceptible de convenir pendant une longue période, mais cela peut être excessif, et il y a de bonnes raisons de ne pas aller trop loin sur le cryptage si vous n'en avez pas besoin.
Notez également un xkcd plus récent : xkcd.com/936 Si vous n'êtes pas limité à 8 caractères, il n'est pas vraiment nécessaire de vous soumettre à l'obligation de mémoriser (ou même de retaper) le bruit des lignes.
De la Blogue technologique de Dropbox , c'est le meilleur article que j'ai vu récemment, et montre même une mise en œuvre des théories qui y sont discutées. N'hésitez pas à me faire savoir si cela vous est utile de quelque manière que ce soit.
Une autre chose à garder à l'esprit au sujet de la sécurité, est l'idée exprimée dans le texte suivant Bande dessinée XKCD .
Bienvenue à Super User ! Voici un conseil pour toi : J'ajouterais un peu plus de détails sur le site, et je transmettrais mes connaissances au PO. C'est ok pour faire un lien hypertexte vers un site, il est bien mieux de faire un lien hypertexte et ensuite de résumer.
Excellent lien. Beaucoup d'analyses très utiles et détaillées. J'allais regrouper les éléments les plus utiles dans une modification de votre réponse, mais il y a tout simplement trop de bonnes choses.
J'aurais bien ajouté quelques liens supplémentaires, mais c'était mon premier message et j'étais limité. Merci !
Cela dépend du caractère aléatoire de votre mot de passe.
Si vous choisissez un mot de passe dans la liste suivante :
"?e&ye&ga!ruaa!na!e%ta!e%rc#Iod$woH"2245aSBsb3ZlIHlvdSBLaXJzdGVuIFNoZWxieSBHdXllcg==Alors vous avez exactement 1 bit d'entropie (c'est soit le premier mot de passe, soit le second).
C'est là que vous lisez le Bande dessinée XKCD que Dave a lié .
Mais je peux faire quelques suppositions sur votre mot de passe :
"?e&ye&ga!ruaa!na!e%ta!e%rc#Iod$woH"2245 (40 characters)On dirait que vous utilisez un alphabet de :
A-Z (26 glyphes)a-z (26 glyphes)0-9 (10 glyphes)Cela représente un alphabet de 92 caractères.
Plus d'informations sur en supposant que que tous vos mots de passe ont 40 caractères, cela vous donne :
92^40 = 3.56+E78ou 3,5 quinvigintillions des mots de passe possibles.
Pour convertir cela en bits vous le faites :
ln(92^40) / ln(2) = 260.94 bitsC'est en supposant que votre attaquant devra forcer le mot de passe.
Si nous ne voulons que des informations, le nombre de bits est en fait beaucoup plus faible, car vous avez utilisé un alphabet beaucoup plus court :
original: "?e&ye&ga!ruaa!na!e%ta!e%rc#Iod$woH"2245
rearranged: aaaaacdeeeegnoorrtuwyHI2245""?&&!!!!%%#$
alphabet: acdegnortuwyHI245"?&!%#$ (24 characters)Effectuer le même calcul :
ln(24^40) / ln(2) = 183.4 bitsEn réalité, il y a moins d'informations parce que je peux voir que chaque fois que vous tapez un mot de passe e il est suivi d'un symbole :
e&e&e%e%Nous remplaçons donc e& avec le symbole h et e% avec le symbole i :
original: "?hyhga!ruaa!na!ita!irc#Iod$woH"2245 (36 characters)
rearranged: aaaaacdghhiinoorrtuwyIH2245""?!!!!#$
alphabet: acdghinortuwyIH2245"?!#$ (24 characters)Ce qui réduit le contenu de l'information à :
ln(24^36) / ln(2) = 165 bitsEt j'ai remarqué que chaque ! est précédé d'un a et suivi d'une lettre :
a!ra!na!eRemplacement de a! con k :
original: "?hyhgkruaknkitkirc#Iod$woH"2245 (32 characters)
alphabet: acdghiknortuwyIH2245"?#$ (24 characters)Réduire les bits à ln(24^32)/ln(2) = 146.7 .
Cela ne fait que réduire le nombre de bits requis pour l'encodage, étant donné que nous déterminons les contenu informatif du message.
Ces astuces n'aident pas un attaquant, qui ne peut généralement pas supposer que tous les mots de passe ont ces séquences connues.
Mais il existe certaines heuristiques qui peuvent être programmées dans un algorithme de recherche par clé. Les gens qui essaient de taper au hasard tapent souvent les mêmes choses. Par exemple, j'obtiens souvent une collision en tapant au hasard :
adfadsfadsfainsi que 18 400 autres résultats de Google.
Mon mot de passe le plus sûr est composé de 57 caractères, avec un alphabet de 27 caractères ( a-z , ), qui se situe à 266 bits ( ln(27^56) / ln(2) = 266.27 ).
D'autre part, il est onze mots. Il y a environ 2^11 mots courants de la langue anglaise. Ça donne :
(2^11)^11 = 2.66E36 passphrases => ln((2^11)^11)/ln(2) = 121 bitsC'est bien moins que les 266 bits que l'on pourrait supposer au hasard d'un mot de passe de 57 caractères.
Je pourrais ajouter un bit si je choisis entre :
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
0 votes
L'attaquant connaît-il la structure générale du mot de passe, par exemple uniquement des caractères ASCII, des chiffres uniquement à la fin, toutes les lettres minuscules et une quasi alternance de lettres et de caractères spéciaux ?
0 votes
Pas toutes les minuscules ;) et non l'attaquant ne changerait pas la structure, elle est basée sur une phrase simple et facile à retenir avec quelques changements de base qui sont cohérents.
0 votes
Voir aussi security.stackexchange.com/questions/6499/
0 votes
Maintenant que vous l'avez posté ici, il est assez facile à pirater :).