Цитата |
---|
Антон Долганин пишет: Если у вас пароль простой (допустим, только алфавит), то количество вариантов составит количество перестановок 52 букв (капс и обычные). |
Если аналитику известно что у меня в пароле, то зачем ему вообще брутфорс. Если он брутфорсит мой пароль, это означает что ему все-таки не известно есть там спецсимволы или нет. Я ведь не говорю, о том, что спецсимволы НЕ НАДО использовать. Я говорю что использовать спецсимволы в обязательном порядке плохо.
Более того - я продолжаю утверждать что в данном случае ЛУЧШЕ ИХ НЕ ИСПОЛЬЗОВАТЬ.
Не исполнение требований к паролю всегда повышает практическую безопасность (что кстати вытекает из первой посылки, вообще говоря) и вот почему:
Предположим атакующему аналитику известно что некоторое приложение требует пароль длинной более n символов и обязательное наличие спецсимволов в нем. В этом случае разумно будет исключить из перебора пароли от 1 до n символов вообще и пароли без спецсимволов. Любой нормальный брутфорсер поддерживает такие настройки. Теперь представим что пользователь выбрал все же пароль который не удовлетворяет требованиям атакуемой системы. В этом случае брутфорсер не найдет пароль даже после перебора ВСЕХ вариантов. Что фактически выводит такой пароль за пределы оценки сложности перебора. В этом случае с практической точки зрения вообще наиболее эффективный пароль, это пароль без спецсимволов и длинной n-1.
Вот еще один пример... Допустим система требует использовать спецсимволы, знаки препинания, цифры и буквы разных регистров. Должен быть надежный пароль, правда? Да вот же он:
Логин: alla86@site.ru
Пароль: Alla86@site.ru
Вы думаете такой пароль надежнее чем скажем vaska - (кличка кота той самой Аллы, которую бы она использовала не будь ограничения, так как запоминать она ничего не хочет). Это при том, что если в каких-то словарях и есть пароль vaska то он там с весьма низким приоритетом, в том время как Alla86@site.ru в динамическом словаре производных логина, который будет перебран до перехода к общим словарям и вообще продержится на хорошем железе меньше минуты. Хотя в нем разнообразие хоть куда. А vaska может держаться часы, а возможно и дни.