Словарное слово как подстрока пароля?

0

Я знаю, что использование словарного слова в качестве пароля считается небезопасным. Я считаю, что это распространяется даже на пароли в форме password123или p@ssw0rd. Применимо ли это, если некоторая подстрока пароля является словарным словом? Например, fghpassword123явно не в словаре, но подстрока passwordесть.

Я не очень много знаю о безопасности паролей, но я считаю, что энтропия очень важна. Однако я не знаю, будет ли такой шаблон сводить на нет дополнительное преимущество энтропии паролей.

security passwords password-protection Майкл МакГоуэн
источник

Ответы:

2

В моем личном опыте работы в качестве пентестера, если только я не был специально нацелен на вашу учетную запись, словари, которые я обычно использую, когда списки учетных записей пользователей перебором, как правило, покрывали список общих словарных слов, общих замен номера в стиле 1337 (например, 3 для E) и НЕКОТОРЫЕ общие фразы.

Хакеры и группы безопасности на самом деле проводят статистический анализ реальных паролей (например, раскрытых в результате взлома данных) и используют результаты для добавления новых паролей в список используемых паролей.

Если я специально нацеливаюсь на вашу учетную запись, то я использую более сложные параметры генератора паролей, такие как простой словарь, составной словарь (объединение 2 или более слов из словаря), подстановка 1337 или другие распространенные приемы, например, у меня будет каждый пароль пробовал с собой! в конце, так как это наиболее распространенное место для размещения специальных символов, и это самый распространенный специальный символ.

Я вижу словарное слово как подстроку как меньшую проблему, чем гораздо более распространенные недостатки пароля. Три самые важные вещи, которые вы можете сделать для повышения безопасности своего пароля:

  1. смешивать в нескольких классах символов (верхний, нижний, номер, специальные символы)
  2. LENGTH !! (мин. 9 символов)
  3. Не используйте безопасные пароли на небезопасных сайтах (так что wellsfargo! = Sony :-))
Queso
источник
2

Все зависит от того, какой тип словарного взломщика использует хакер. Не было бы слишком сложно кодировать слова как подстроку, но это не так широко сделано.

Не делай этого, но это не конец слова другими словами.

soandos
источник