Nun, es hängt davon ab, mit welcher Methode der Angreifer Passwörter knackt. Wenn sie Wörterbuchangriffe verwenden, ist dies sicherlich sehr sicher. Danach kann der Angreifer reines Brute-Forcing versuchen, und diese Methoden versuchen normalerweise alle kürzeren Passwörter vor längeren. Gegen gängige automatisierte Angriffe wie diese sind Sie wahrscheinlich ziemlich sicher.

Wie bereits erwähnt, kann es etwas umständlich sein, ein solches Passwort für Personen einzugeben, da es einfach ist, aus Ihren Tastenanschlägen zu "lesen" . Es wäre jedoch nicht so schwierig, diese einfachen Passwörter etwas komplizierter zu ändern, damit sie schwerer zu lesen sind.

Wir berechnen die Stärke eines Passworts folgendermaßen: Nehmen Sie die Anzahl der Möglichkeiten für ein Zeichen, die auf die Anzahl der Zeichen erhöht werden. Eine 4-stellige PIN ist also 10 ^ 4 = 10.000, und ein 8-stelliges Kleinbuchstabenkennwort ist 26 ^ 8 = 208.827.064.576.

Dies gilt auch für Nicht-Zeichen. Zum Beispiel hätte ein Passwort, das aus 4 nicht verwandten Wörtern aus einer Liste von 1000 häufigsten Wörtern besteht, 1000 ^ 4 = 10 ^ 12 Möglichkeiten.

Nun, in Bezug auf Ihre vorgeschlagene Methode eines wiederholten Zeichens, wir müssen fragen, welche Informationen tatsächlich in 25 Ws enthalten sind? Mit anderen Worten, in welchem ​​Mindestraum können wir diese Informationen übermitteln? Es scheint, dass es zwei Teile gibt. Erstens das Zeichen und zweitens die Anzahl der Wiederholungen. Das bedeutet, dass ein 25-maliges w nur 26 * 25 = 650 Möglichkeiten hat. Zugegeben, das ist der schlimmste Fall, in dem der Angreifer den Charaktertyp kennt und bei der richtigen Länge anhält, aber ich halte das für vernünftig, da sie wahrscheinlich bis zu dieser Länge ab 1 arbeiten würden.

Ich wirklich wie dieser Passwort-Tester. Es zeigt, dass Ihr Passwort ungefähr 15 Bit Entropie hat. Im Vergleich zu nur wg9, das ungefähr 18 Bit hat.

Das Mitnehmen ist, dass eine lange wiederholte Zeichenfolge Ihrem Passwort zwar eine gewisse Entropie hinzufügt, aber weniger als nur ein weiteres (anderes) Zeichen hinzufügen würde. Wenn Sie bereit und in der Lage sind, lange Passwörter zu verwenden, verwenden Sie stattdessen eine Passphrase.

Wenn der Angreifer Ihre Strategie nicht vermutet, hat Ihr Beispiel eine höhere Entropie als die meisten "üblichen" Passwörter.

Es wäre jedoch einfacher, sich zu merken und zu tippen, wenn Sie mehrere einfache Wörter hätten, und es wäre auch weniger anfällig, von einem Angriff besiegt zu werden, der speziell nach Ihrer ursprünglichen Idee sucht (zum Beispiel, wenn dies der Fall ist) wird immer zur Mode)

Die obligatorische xkcd-Referenz als Demonstration:

Nein, aus dem einfachen Grund, dass jeder, der während der Eingabe neben Ihnen sitzt, feststellen kann, dass Ihr Passwort einfach eine lange Wiederholung eines einzelnen Zeichens ist, die mit einer Zahl endet. Die Herausforderung, Ihr Passwort zu erraten, wird zu einer ziemlich trivialen Aufgabe.

Das hängt davon ab, was Sie genau unter Sicherheit verstehen:

• mit Brute Force - das ist absolut sicher. Niemand wird in den nächsten 2 Jahren 25chars erreichen del>, wie Jeff in seinem Kommentar betonte.

Brute Force Attach kann auch zuerst alle Passwörter mit 1-100 Zeichen versuchen, die aus demselben Buchstaben bestehen, als alle Passwörter mit 1-100 Zeichen, die aus Permutationen zweier verschiedener Buchstaben bestehen usw. Dieses Passwort wird innerhalb weniger hundert Versuche

• mit Wörterbuchangriffen gefunden - auch auf keinen Fall (wie bereits erwähnt)

Das Problem kann jedoch nicht nur auftreten, wenn jemand in Ihrer Nähe war und Ihr Passwort sehen konnte, sondern auch aufgrund der bloßen Tatsache, wie das Passwort generiert wurde. Nur wenn Sie wissen, dass Sie viel in Ihrem Passwort wiederholen, wird die Entropie kleiner. Sie können hier

mehr von mir selbst lesen, wenn Sie kommen müssen Verwenden Sie mit einem sicheren Passwort die folgende Technik. Nehmen Sie einen großen Text (ich mag South Park, also hier ein Beispiel):

  Ich gehe nach South Park, um mir Zeit zu nehmen. Ich stehe allen Menschen ohne Versuchung freundlich gegenüber South Park wird meine Leiden hinter sich lassen.  

Und nehmen wir jeden ersten Buchstaben und ändern ihn ein wenig, als würde jedes g durch die Länge der Welt ersetzt, die es enthält. Sie erhalten also ein Passwort wie:

I5dtSP5hmat.Ffehfwt. .... Wir haben also ein schönes 20-stelliges Passwort mit hoher Entropie, das leicht zu merken ist und unmöglich zu bekommen (wenn Sie eine nette Fantasie und einen Fan von Literatur haben).

Faustregel 1: Wenn es leicht zu merken ist, ist es für den Angreifer leicht zu erraten. (In die andere Richtung funktioniert es nicht: Einige Passwörter sind leicht zu erraten und immer noch teuflisch schwer zu merken.)

Faustregel 2: wenn das Passwort in einigen Fällen witzig aussieht übrigens dann ist es ein schlechtes passwort. Witz ist schlecht . Für gute Passwörter benötigen Sie Zufälligkeit.

Stellen Sie sich vor, Sie beschreiben eine Methode für eine Reihe von Benutzern, die ihre Passwörter auswählen müssen. eine Art Politik, die per Definition öffentlich ist (also dem Angreifer bekannt). Ihre Richtlinie würde folgendermaßen aussehen: "Wählen Sie einen Buchstaben aus, wiederholen Sie ihn zwischen 15 und 30 Mal und fügen Sie dann eine Ziffer hinzu". Wie viele mögliche Passwörter kann ein solcher Prozess liefern? 4160. Das sind 26 (für die Wahl des Buchstabens) mal 16 (eine ganze Zahl im Bereich von 15 bis 30) mal 10 (für die letzte Ziffer). Daher kann ein Angreifer das Kennwort mit höchstens 4160 Versuchen und einem Durchschnitt von 2080 wiederherstellen. Das ist erbärmlich niedrig. etwa 12 Bit Entropie.

Länge ist keine Stärke . Ein Passwort ist aufgrund seiner Länge nicht sicher. Ein Passwort ist sicher, da es viele mögliche Werte hat. Sie benötigen einen Passwortgenerierungsprozess , der mit einheitlicher Wahrscheinlichkeit eine Unmenge verschiedener Passwörter erzeugen kann, damit der Angreifer nicht erraten kann, welches Sie tatsächlich erhalten haben. Das Beste, was der Angreifer tun kann, ist, sie alle (in beliebiger Reihenfolge) auszuprobieren. Dies wird nach durchschnittlich einer halben Million Versuchen erfolgreich sein. Die einheitliche Wahrscheinlichkeit ist hier sehr wichtig und disqualifiziert die Auswahl Ihres Passworts nur mit Ihrem fleischigen Gehirn. Die Passwortlänge muss ausreichen, damit die Unmenge riesig ist, aber das ist indirekt. Es ist nicht die Länge, die das Passwort stark macht; Es ist vielmehr so, dass ein sehr kurzes Passwort nicht sicher sein kann. Sobald Sie jedoch 13 oder 14 Zeichen erreicht haben, haben Sie die gesamte Länge, die Sie benötigen, um eine lächerliche Anzahl möglicher Passwörter aufzunehmen.

Aus theoretischer Sicht ist es nicht sicherer, weil es keine Zufälligkeit gibt. Aus praktischer Sicht ist es mit einigen geringfügigen Änderungen ziemlich gut. Wenn Ihr Passwort nicht zufällig ist, laufen Sie immer Gefahr, dass jemand Code schreibt, der Ihr Passwort schnell findet. Zum Beispiel wäre es einfach genug, einen beliebten Wörterbuchangriff zu ändern, um zu versuchen, Buchstabenketten unterschiedlicher Länge anzuhängen, und jetzt sehen Sie sich nur 26 * 26 * Wörter im Wörterbuch an, um das Kennwort anzugreifen. Das ist viel VIEL kleiner als 36 bis zur 26. Potenz (was die Schwierigkeit mit wahrer Entropie wäre.)

Das heißt, aus praktischer Sicht. Wenn Sie ein Passwort an das Ende des Passworts setzen, das normalerweise zu kurz ist, um eine ausreichende Entropie bereitzustellen, aber dennoch resistent gegen Wörterbuchangriffe ist, würden Sie das Erraten Ihres Passworts praktisch viel schwieriger machen, solange Sie es nicht eingeben . Wenn jemand, der beobachten könnte, dass Sie Ihr Passwort mit brutaler Gewalt brechen möchten, wären Sie jedoch nur unwesentlich sicherer als die Entropie des Passworts, das Sie am Ende eingeben.

Im Allgemeinen Angriffsszenarien Die meisten Brute-Force-Angriffe werden jedoch gegen große Mengen von Passwörtern ausgeführt, um zu versuchen, die niedrig hängenden Früchte zu finden. Ihr Ansatz würde Sie wahrscheinlich vor solchen allgemeinen Angriffen schützen, aber nicht viel mehr, als wahrscheinlich 3 oder 4 zufällige Buchstaben, Zahlen oder Symbole am Ende Ihres Passworts hinzuzufügen, was nicht viel schwerer zu merken und viel einfacher zu merken ist Art. (Diese 3 bis 4 basieren auf der Tatsache, dass es in reinen Entropie-Begriffen nur 26 * 26 oder so ist, was dem Äquivalent von 2 mehr zufälligen Buchstaben entspricht. Ich gebe ihm mehr Entropie als in meiner Näherung basierend auf der Wahrscheinlichkeit eines Angreifers, um dieses Muster zu verwenden, was nur eine Vermutung ist.)

Warum sich mit einem einfachen Passwort beschäftigen? Ich bin mir sicher, dass ich mein 25 Zeichen langes Passwort schneller als Ihre 25 W eingeben kann.

Dies ist ein Grund, warum ich einen kurzen Zeitrahmen habe. <-- 46 Zeichen. Das nenne ich einfach. 25 (oder 46) w ist das, was ich dumm nennen würde. :)

Eine der besten mir bekannten Ressourcen finden Sie hier: GRCs Password Haystack

Hier wird erklärt, warum hohe Entropie nicht die Antwort ist, wenn es kommt zu Passwörtern. Sie können ein sehr sicheres Passwort erstellen, das immer noch leicht zu merken ist, indem Sie einige Dinge tun. Beginnen Sie mit einem leicht zu merkenden Passwort, z. B. $ 0DA (Soda, aber mit einigen einfachen Ersetzungen), und fügen Sie dann etwas Polster hinzu. Dies kann so einfach sein wie das Hinzufügen einiger Punkte davor und danach. Es wird jedoch empfohlen, ein eindeutigeres Auffüllschema zu wählen, z. B. <->. Fügen Sie dies einige Male vorher und nachher hinzu, damit Ihr endgültiges Passwort ungefähr so ​​aussieht: <-> < -> $ 0DA<-> <->

Laut dem Taschenrechner auf der oben genannten Website, Bei einem massiven Cracking-Szenario von einhundert Billionen Vermutungen pro Sekunde würde das Erraten 8,52 hunderttausend Jahrhunderte dauern.