Ασφαλείς Κωδικοί Πρόσβασης

[Star_Light]

Πρόσφατα είχα μια συζήτηση γυρω απο αυτο το θέμα και ειπα να το θίξω και στην κοινοτητα να το συζητησουμε ολοι μαζι... μιας και ειναι αρκετα σημαντικο.... η διαφωνια υπήρξε στο οτι θεωρησα καλυτερο κωδικο και πιο ασφαλη εναν που περιέχει ακρωνυμια σε αντιθεση με εναν αλλον που αποτελειται απο 4 κανονικες λέξεις αλλα ειναι μεγαλυτερος σε μηκος απο τον 1ο... μεταξυ μας μπορει να ειχα και αδικο γιατι εχω καιρο να το μελετησω.

Θεωρησα πως πχ ο -> TDIWMSPFMA ΔΗΛΑΔΗ today I will make secure passwords for my account.

απο εναν κωδικο πχ της μορφης correct horse battery staple

εσεις τι πιστεύετε? και γιατι.

[ALdaperan]

Καλύτερα ακρωνύμια (με κεφαλαία + μικρά) , μαζί με νούμερα και σύμβολα βέβαια!!
Το ακρωνύμιο είναι σύντομο , το θυμάσαι και πιο δύσκολο να το "μαντέψει" κάποιος τρίτος

[kalakouentin]

Προφανώς ένας κωδικός με ακρωνύμια (ή ακόμα καλύτερα με τελείως τυχαίους χαρακτήρες) είναι καλύτερος από έναν κωδικό ίδιου μήκους που ενσωματώνει λέξεις που υπάρχουν σε λεξικά. Ο δεύτερος είναι πολύ πιο επιρρεπής σε dictionary attacks σε σχέση με μία "τυχαία" ακολουθία χαρακτήρων ίδιου μήκους. Πάντως αν ένας κωδικός είναι πραγματικά μεγάλος και αποτελείται από διαφορετικές λέξεις (όπως αυτός που ανέφερες "correct horse battery staple" - 28 χαρακτήρες) πρακτικά είναι εξαιρετικά δύσκολο να σπάσει.

Συγκεκριμένα για το παράδειγμα σου, ο κωδικός "TIWMSPFMA" (χωρίς το D..) είναι ουσιωδώς πιο αδύναμος από τον "correct horse battery staple" αφού είναι πολύ μικρότερος και δεν έχει τα spaces. (Και οι 2 κωδικοί δεν έχουν νούμερα, ούτε mixed upper/lowercase characters, ούτε σημεία στίξης αλλά ΟΚ, σε αυτό το θέμα είναι "το ίδιο" αδύναμοι/"κακοί".)

Το πλήθος των χαρακτήρων παίζει σημαντικό ρόλο. Είναι μια μικρή παρανόηση ότι απλά η τυχαιότητα της ακολουθίας είναι αρκετή από μόνη της για να διασφαλίσει την ασφάλεια ενός συνθηματικού.
Το "!7G@yR0s" είναι πιο αδύναμο από το "Panathinaikos 13" σε μια brute force attack. Το 2ο είναι σαφώς πιο επιρρεπές σε dictionary attacks (αν και το space λογικά θα σώσει κάποιο κόσμο) αλλά από καθαρό κριτήριο εντροπίας πληροφορίας αφου και τα 2 είναι (σχεδόν) απλά ASCII, αλλά το 1ο είναι ακριβώς το μισό του 2ου και έτσι είναι ευκολότερο να σπάσει. (Προφανώς το "!7G@yR0s & P.4.O" είναι καλύτερο από το "Panathinaikos 13" αφού ενώ έχουν σχεδόν την ίδια εντροπία πληροφορίας (και μήκος) το "!7G ... .Ο." δεν είναι ευάλωτο σε dictionary attacks. - Είπα σχεδόν γιατί το "Panath.." είναι σε υποσύνολο του ASCII)
Τελείως μπακαλίστικα : Μια ακολουθία 50 lower-case χαρακτήρων χωρίς κενά, είναι δυνατότερη από οποιοδήποτε random ακολουθία 30 ASCII χαρακτήρων.

Όπως προαναφέρθηκε: ένας καλός κωδικός εκτός από τυχαίους γραμματικούς χαρακτήρες ενσωματώνει και αριθμητικούς χαρακτήρες, σημεία στίξης κτλ. Καλό θα είναι επίσης να είναι τουλάχιστον 14 χαρακτήρων και να μην έχει πολλούς επαναλαμβανόμενους χαρακτήρες. Ένα καλό site για να ελέγξεις τη δύναμη του είναι εδώ (σου δείχνει entropy bits και character set).

[Star_Light]

Προφανώς ένας κωδικός με ακρωνύμια (ή ακόμα καλύτερα με τελείως τυχαίους χαρακτήρες) είναι καλύτερος από έναν κωδικό ίδιου μήκους που ενσωματώνει λέξεις που υπάρχουν σε λεξικά. Ο δεύτερος είναι πολύ πιο επιρρεπής σε dictionary attacks σε σχέση με μία "τυχαία" ακολουθία χαρακτήρων ίδιου μήκους. Πάντως αν ένας κωδικός είναι πραγματικά μεγάλος και αποτελείται από διαφορετικές λέξεις (όπως αυτός που ανέφερες "correct horse battery staple" - 28 χαρακτήρες) πρακτικά είναι εξαιρετικά δύσκολο να σπάσει.

Συγκεκριμένα για το παράδειγμα σου, ο κωδικός "TIWMSPFMA" (χωρίς το D..) είναι ουσιωδώς πιο αδύναμος από τον "correct horse battery staple" αφού είναι πολύ μικρότερος και δεν έχει τα spaces. (Και οι 2 κωδικοί δεν έχουν νούμερα, ούτε mixed upper/lowercase characters, ούτε σημεία στίξης αλλά ΟΚ, σε αυτό το θέμα είναι "το ίδιο" αδύναμοι/"κακοί".)

Το πλήθος των χαρακτήρων παίζει σημαντικό ρόλο. Είναι μια μικρή παρανόηση ότι απλά η τυχαιότητα της ακολουθίας είναι αρκετή από μόνη της για να διασφαλίσει την ασφάλεια ενός συνθηματικού.
Το "!7G@yR0s" είναι πιο αδύναμο από το "Panathinaikos 13" σε μια brute force attack. Το 2ο είναι σαφώς πιο επιρρεπές σε dictionary attacks (αν και το space λογικά θα σώσει κάποιο κόσμο) αλλά από καθαρό κριτήριο εντροπίας πληροφορίας αφου και τα 2 είναι (σχεδόν) απλά ASCII, αλλά το 1ο είναι ακριβώς το μισό του 2ου και έτσι είναι ευκολότερο να σπάσει. (Προφανώς το "!7G@yR0s & P.4.O" είναι καλύτερο από το "Panathinaikos 13" αφού ενώ έχουν σχεδόν την ίδια εντροπία πληροφορίας (και μήκος) το "!7G ... .Ο." δεν είναι ευάλωτο σε dictionary attacks. - Είπα σχεδόν γιατί το "Panath.." είναι σε υποσύνολο του ASCII)
Τελείως μπακαλίστικα : Μια ακολουθία 50 lower-case χαρακτήρων χωρίς κενά, είναι δυνατότερη από οποιοδήποτε random ακολουθία 30 ASCII χαρακτήρων.

Όπως προαναφέρθηκε: ένας καλός κωδικός εκτός από τυχαίους γραμματικούς χαρακτήρες ενσωματώνει και αριθμητικούς χαρακτήρες, σημεία στίξης κτλ. Καλό θα είναι επίσης να είναι τουλάχιστον 14 χαρακτήρων και να μην έχει πολλούς επαναλαμβανόμενους χαρακτήρες. Ένα καλό site για να ελέγξεις τη δύναμη του είναι εδώ (σου δείχνει entropy bits και character set).

Ok το πιασα!!!!!! Δεν πρεπει να στηριζεσαι μονο στην τυχαιοτητα αλλα και στο μηκος
για τον σχηματισμο ενος καλου κωδικου προσβασης. Ενω πρεπει να προσεξεις καποιος
μηπως ειναι ευαλωτος εκτος απο brute force και σε επιθεσεις λεξικων.