security - パスワードの記号、長さ、および「強度」

Question

注: これは明示的にプログラミングに関連するものではありませんが、プログラマーの観点から説明できることを望んでいました。

現在の「パスワード強度評価」について、私が理解できないことが 2 つあります。これはすべてブルート フォース エントリに関係します。(これらの「パスワード強度評価」が、一般的/一般的なパスワードの使用以外の種類の違反に関連している場合は、私に知らせてください)。

1) パスワード システムで使用が許可されている限り、数字/記号/大文字を含めても問題ないのはなぜですか?

たとえば、次のように言いましょう。

a) システムで使用できる文字は、az、AZ、0 ～ 9、およびそれらの「シフトされた値」「!」です。')' に、つまり 72 個のシンボルが可能です。

b) 長さ 10 のパスワードを使用しているため、72^10 の可能性があります。

c) 私のパスワードは、使用されている最も一般的/人気のあるパスワードのトップ 10,000 に入っていません。したがって、72^10 - 10,000 の可能性が残ります。

'sndkehtlyo' のようなすべて小文字のパスワードは、'kJd$56H3di' と同じ強度ではないでしょうか? どちらも追加の文字を含める可能性が同じであるためです。ブルート フォース アルゴリズムは、使用するかどうかに関係なく、これらの数字/記号/大文字を含める必要はありませんか? これらの格付けシステムは、ブルート フォース攻撃では、最初に 26^n 個の小文字のパスワードすべてを試し、次に 52^n 個のパスワードすべてを試し、次に 62^n 個のパスワードすべてを試す、などと考えているようです。

2) なぜそれが重要なのですか? 一定回数 (通常は 5 回) 試行してもロックアウトされないパスワード システムにまだ出会ったことがありません。最近では、ブルートフォースアプローチはどのように機能するのでしょうか?

ここで根本的な何かが欠けているように感じます。

Answer 1

1) パスワードのクラックは 1 回のパスで行う必要はありません。うまく実装されたブルート フォース クラックは、最初に小さな範囲の文字を反復処理し、次に大文字と数字に進みます。最初に最も単純な範囲 (おそらく小文字の az のみ) から開始すると、弱いパスワードを作成するのに十分な不幸なパスワードが見つかります。また、最初に辞書攻撃や最も一般的なパスワードを使用する攻撃から開始することもあります。これは、時間がほとんどかからないためです。

2) クラッカーは、一部のオンライン サービスのログイン プロンプトを通じてブルート フォース攻撃を実行しません。アカウントへのアクセスを本気で狙っている人なら誰でも、ユーザーのパスワードのハッシュを取得し、インターネット経由ではなく自分のマシンでクラックします。パスワードをハッシュする方法は事実上無限にありますが、ハッシュの文字長などのプロパティによって識別できる非常に一般的な方法がいくつかあります。一般的なハッシュ アルゴリズムの詳細については、ウィキペディアの記事 を参照してください。

Answer 2

1) すべての人工パスワードは完全にランダムではありません。言い換えれば、人的要因 (記憶力など) を考慮すると、パスワード空間の確率分布は均一ではありません。

2) Access Control の手段である認証には、試行回数制限が使用されます。パスワードの強度とは関係ありません。これはシステム レベルの制御方法であり、通常は構成可能です。もちろん、ブルート フォース攻撃に対する効果的な武器ですが、そのアクセス制御方法がなくてもシステムを設計できます。また、ハッカーはシステムに直接クラックすることはできませんが、暗号化されたパスワードなどを含むネットワークからユーザー データを傍受し、ブルート フォースまたはその他の方法でクラックする可能性があります。したがって、強力なパスワード スキーム、高度なセキュリティの暗号方式、適切に設計されたアクセス システムを組み合わせて、強力なセキュリティ システムを構築できます。

Answer 3

一般に、ブルートフォースシステムでは、あなたは正しいです。しかし、自動化されたパスワード クラッカーの多くは、一般的な英単語とその組み合わせを試すことから検索を開始します。例: スポーツチーム、州、日付など...これらの特殊文字を使用することで、これらの可能性の多くがすぐに排除されます。一般に、ブルート フォースが心配な場合は、特殊文字を含む短いパスワードよりもはるかに長いパスワードの方が安全です。