13/08/2017
Ο “πατέρας” των password μετανιώνει για τις συμβουλές του
Ο Bill Burr, ο οποίος θεωρείται ο “πατέρας” των μοντέρνων password μετάνιωσε για τις συμβουλές που έδωσε το 2003 στους κυβερνητικούς τομείς.
Η τότε συμβουλή του Bill Burr έμελλε να γίνει μία από τις πιο καθιερωμένες, η οποία ζητείται από εταιρείες όταν κάποιος προσπαθεί να δημιουργήσει έναν κωδικό ασφαλείας: οι κωδικοί πρέπει να αποτελούνται από μια τυχαία ακολουθία από γράμματα και σύμβολα.
Όμως, απ’ότι φαίνεται, οι χρήστες ποτέ δεν επιλέγουν κάτι που δεν βγάζει κανένα νόημα και μπορούν να ξεχάσουν, αλλά αντί αυτού επιλέγουν κάποιες λέξεις που ναι μεν είναι τυχαίες αλλά μπορούν να τις θυμηθούν. Για παράδειγμα “gobbledegook” ή “nincompoop”.
Απ’ότι φάνηκε όμως στο μέλλον τελικά τα software των χάκερ μπορούν να σπάσουν τέτοιους “τυχαίους” κωδικούς απ’ότι αν τελικά ο χρήστης χρησιμοποιούσε κανονικές προτάσεις.
Ο Bill Burr δήλωσε στο CBS: “Νομίζω θα έκανα πολύ καλύτερη δουλειά αν έψαχνα να καταλάβω πράγματα που γνωρίζουμε σήμερα ή τουλάχιστον να τα μαντέψω”.
Πολλοί μπερδεύουν την εντροπία με την τυχαιότητα, ενώ στην ουσία ο συνδυασμός αυτών των δυο παραγόντων μπορούν να δημιουργήσουν πολύ ασφαλής κωδικούς.
Για να γίνω πιο κατανοητός είναι ευκολότερο να γίνει brute force στον κωδικό:
A!t.32NbaVa
Length: 11
Entropy: 51.2 bits
Από τον κωδικό:
MOYaresounPOLItaWINDOWS7
Length: 24
Entropy: 114.4 bits
O δεύτερος κωδικός είναι πολύ πιο ευκολομνημόνευτος και είναι τυπικά αδύνατο για κάποιον ακόμα και με social engineering να μπορέσει να το μαντέψει.
@Rapid0s Νομίζω ότι ο τρόπος που σπάνε αναφέρεται σε dictionary attack, και όχι σε brute force, με προβλέψιμες λέξεις όπως λες, πχ μου αρεσουν πολυ τα windows 7.