Wörterbuchkennwörter sind der richtige Weg. Wikipedia schlägt vor, dass eine vorhersehbare Strategie möglicherweise nicht der beste Weg ist, in diesem Fall jedoch.
Aus Wikipedia Information Theory / Entropy:
Zum Beispiel beträgt die Entropie eines Münzwurfs 1 Shannon, während es bei m Würfen m Shannon ist. Im Allgemeinen benötigen Sie log2 (n) -Bits, um eine Variable darzustellen, die einen von n Werten annehmen kann, wenn n eine Potenz von 2 ist. Wenn diese Werte gleich wahrscheinlich sind, entspricht die Entropie (in Shannons) der Anzahl der Bits. Die Gleichheit zwischen Anzahl der Bits und Shannons gilt nur, wenn alle Ergebnisse gleich wahrscheinlich sind.
Wenn also alles gleich wahrscheinlich ist, setze ich wahrscheinlich 'a' oder '2' oder '<' Für einen Wert sind Optionen und Länge alles, was zählt. Davon abgesehen gibt es in jeder Sprache weit mehr Wörter als Buchstaben + Ziffern + Symbole. Genug, damit ein 4-Wort-Passwort ein 10-Zeichen-Passwort leicht übertrifft.
Um zu zeigen, wie groß der Unterschied ist:
26 Buchstaben im Alphabet, 10 Ziffern, vielleicht 15 Symbole = ~ 50 options.10 zeichen passwort = 9.76 x10 ^ 16 options.Wenn unser Computer 4 Millionen pro Sekunde schätzt, eine grobe, großzügige Schätzung, sind wir bei ungefähr 775 Jahren, um das Passwort zu erraten. Ziemlich sicher. Und wir können uns bequem an 7 Zeichen erinnern, 10 sind machbar, insbesondere durch Wiederholung im Passwortstil.
Dies ist mit 10 Zeichen, die alle gleich gewichtet sind, was vernünftig ist, da es wahrscheinlich Kauderwelsch ist, dass wir uns auf den Handrücken legen müssen, um uns anfangs zu erinnern.
Daraus folgt:
1) Die Länge des Passworts ist in diesem Fall wichtig. Jeder Charakter erhöht die Sicherheit erheblich. Ein längeres Passwort ist immer besser. Wenn wir zum Beispiel unser Passwort auf 7 Zeichen reduziert haben, haben wir eine magere maximale Zeit von 2,25 Tagen, um mit 50 Optionen für jedes Zeichen zu knacken.
2) Aber sagen Sie, wenn ich ein Passwort mache, wie es im XKCD-Comic beschrieben wird, hindert nichts jemanden daran, ein Wörterbuch mit einem Passwort wie "Erinnere dich an den verlorenen Wald eines Elefanten" zu werfen. Sagen Sie, wenn ich John the Ripper verwende, der ~ 3000 hat, mit der Option, jeden Plural zu machen oder ein s abzuschneiden, wenn es mit einem endet, dann vielleicht ~ 6000 Wörter. Wenn mein Passwort 4 Wörter enthält, sind 6000 ^ 4 Möglichkeiten = 1,3 x 10 ^ 15, 10 Jahre
Ziemlich sicher. Und John the Ripper würde das Passwort nicht wirklich knacken:
korrekte Heftklammer für Pferdebatterien
John the Ripper verwendet gängige Passwörter. So häufig, dass dort tatsächlich nur "Pferd" auftaucht. Wenn ich ungewöhnlich viele Wörter verwende, die Cracker-Wörterbücher nicht vorhersehen, ist die letzte Option ein legitimer Wörterbuchangriff.
Wenn ich das Standardwörterbuch von Fedora mit einem sehr umfassenden 500 000 verwende Wörter, für ein 4-Wort-Passwort gibt es 6,25 x 10 ^ 22 Möglichkeiten, die wir bei einer Cracking-Zeit von etwa 0,5 Milliarden Jahren haben. Es ist jedoch nicht weit hergeholt zu sagen, dass dies auf höchstens 25% seiner Größe reduziert werden könnte, insbesondere wenn gebräuchliche Wörter wie "richtige Pferdebatterie-Heftklammer" verwendet werden. Also 125 Tausend Möglichkeiten. Trotzdem 2,44 x 10 ^ 20, was ungefähr 2 Millionen Jahren entspricht.
Was wäre, wenn wir es auf% 1 reduzieren könnten? Also 5000 Wörter. Das sind 6,25 x 10 ^ 14 Möglichkeiten, fast die gleiche Anzahl wie beim John the Ripper-Angriff, max. 5 Jahre. Ist es wirklich machbar, es auf 1% zu reduzieren? Wahrscheinlich nicht, wenn die gebräuchlichsten Wörter nicht verwendet werden.
Dies hängt jedoch auch von Leerzeichen ab. Wenn ich
azkaban_P0tter * flubber st @ ple habe, haben wir die erste Gleichheit der Bits in der Shannons-Konversation zerstört, aber eine unüberwindliche Menge von Variablen hinzugefügt, selbst wenn der Angreifer vollständig ist nimmt diese Taktik vorweg.
Wenn ein kleineres Wörterbuch mit beispielsweise 200 000 verwendet werden könnte, beträgt die Reduzierung auf 1% immer noch maximal 45 Tage. Wenn Sie die häufigsten Wörter vermeiden und unterschiedliche Worttrennzeichen verwenden, würde sich diese Dauer drastisch erhöhen und ein Wort einwerfen oder zwei in einer anderen Sprache, wenn das einfach ist.