多くのウェブサイトはサブストリングを繰り返すパスワードが弱いのはなぜですか?
は、私はいつも超強力考えられている
st4cK0v3rFl0W
を考えてみましょう、あなたのパスワードがいかに強いかを示しますパスワード強度チェックツールを、持っているが、私は
st4cK0v3rFl0Wst4cK0v3rFl0W
突然超微弱です。私はまた、パスワードがちょうど小さな繰り返しシーケンスを持っている場合は、はるかに弱いと聞いてきました。
しかし、おそらく2番目のものが最初のものよりも弱いのですが、それは2倍の長さですか?
パスワード強度チェッカーのような音に欠陥があります。それは大きな問題ではないと思いますが、繰り返される強力なパスワードは元のパスワードよりも弱いものではありません。
それはむしろ逆です:パスワートが長いほど、それはより強いです。 – Gumbo
ある時点(ハードウェア機能で常に動いていますが、現時点では約8文字と見積もりますが、並列計算はサポートされていません)、とにかく他の攻撃ベクトルは、入力を再作成しようとしないか、または出力から逆方向に作業しようとしているために入力長を無視します。または彼らはあなたの後に行くので、ユーザーは悪い人にパスワードを伝える。 –
パスワードのエントロピーは1文字あたりわずか数ビットになる可能性が高いので、安全であるように、最小安全な長さを少し高くします。たとえば、11文字程度です。少なくとも7文字)。いずれにしても、あなたの意見はよく取られます。合理的に強力なパスワードは事実上疑わしくない。もし壊れていれば、攻撃者がパスワードのハッシュを持っていてもそれは無差別ではない。 –
キーボードを使用して2回パスワードを入力する必要があるので、おそらくそれはあなたの目の前にあるものがあるかもしれないと思います。
私の推測によれば、あなたのパスワードを攻撃している人を確認するのは簡単です。各パスワードを2倍と3倍にしようとすると、作業が2倍または3倍になります。しかし、句読記号などのパスワードに文字を含む可能性が高い場合は、パスワードの無理やりの複雑さが増します。
しかし、実際には、8文字以上のほとんどすべての非明示的な(読み込み:辞書攻撃からの辞書攻撃を含む)パスワードは、合理的に安全とみなすことができます。通常、何らかの形であなたからのソーシャルエンジニアリングや、キーロガーを使用することは、はるかに少ない作業です。
アルゴリズムが壊れています。
どちらもダブレット検出を使用し、すぐに悪いとみなして書き込みます。または、文字列の長さに比例する強さを計算し、繰り返された文字列は、同等の長さの同等の完全にランダムな文字列よりも弱いです。
パスワード強度チェッカーの脆弱性があるかもしれません - パターンを認識しています...パターンはパスワードには適していませんが、この場合複合文字列のパターンです...別の理由があります回答者はからWael Dalloul:Someone can see the repeated text when you type itを指摘しました。どれスパイは長い方が、私はあなたが暗号化と暗号の仕組みの核心に入るとき、潜在的な弱点があるかもしれないと思うおそらく強く、実際にしながら、ユーザーの入力を見ての2回のチャンスを...
持っています。 ..おそらく...
他にも、使用している強度チェッカーがすべての面を非常に正確に考慮していないという回答が返されます。
ちょっと考えてみてください...
NISTが発行したElectronic Authentication Guideには、私が考えている最もよい理由があります。これは、パスワードのエントロピーを推定する方法に関する一般的な経験則を与える。
長さは、エントロピーの1つの基準に過ぎません。パスワード文字セットも含まれていますが、これらは唯一の基準ではありません。ユーザが選択したパスワードに関するShannonの研究を詳しく読むと、前のビットからパスワードの次のビットを推測することが可能であるため、より高いエントロピーが最初のビットに割り当てられ、より低いエントロピーが割り当てられることに気づくでしょう。
これは長いパスワードが悪いと言うわけではなく、長い文字列の選択肢が少ない長いパスワードは、短いパスワードほど弱い可能性があります。
パスワードの長さは、ブルートフォース攻撃に対してパスワードをより安全にします。実際には、これは非常に最後の手段です。 –
私はそのようなパスワード強度ツールのほとんどが無意味だと思います。 – Gumbo
あなたがそれを聞いた場所からリンクを投稿できるといいですね。 –