Проверка сложнойсти паролей.

To: debian-russian@lists.debian.org
Subject: Проверка сложнойсти паролей.
From: Oleksandr Gavenko <gavenkoa@gmail.com>
Date: Mon, 30 Nov 2015 16:46:11 +0200
Message-id: <[🔎] 87d1ur1r64.fsf@gavenkoa.example.com>

Я погуглил, есть:

  $ sudo apt-get install cracklib-runtime

  $ echo qwerty | cracklib-check
  qwerty: it is based on a dictionary word

  $ echo '123456$qwerty' | cracklib-check
  123456$qwerty: it is too simplistic/systematic

  $ echo 'my_qwerty_pass' | cracklib-check
  my_qwerty_pass: OK


  $ sudo apt-get install passwdqc

  $ echo qwerty | pwqcheck -1
  Bad passphrase (too short)

  $ echo '123456$qwerty' | pwqcheck -1
  OK

  $ echo 'my_qwerty_pass' | pwqcheck -1
  OK

Словари компилятся из /usr/share/dict:

  $ ls -l /usr/share/dict
  -rw-r--r-- 1 root root 938848 2011-10-13 00:56 american-english
  -rw-r--r-- 1 root root 477238 2015-09-27 03:34 cracklib-small
  $ wc -l /usr/share/dict/*
  99171 /usr/share/dict/american-english
  52875 /usr/share/dict/cracklib-small

Потолще словари есть в интернете:

  http://security.stackexchange.com/questions/1376/where-can-i-find-good-dictionaries-for-dictionary-attacks
  https://wiki.skullsecurity.org/Passwords
  https://crackstation.net/buy-crackstation-wordlist-password-cracking-dictionary.htm

Конешно нужно учесть национальные особенности - словари с русскими словами,
набираемыми в английской раскладке (всякие "чебурашка").

Так по теории https://en.wikipedia.org/wiki/Rainbow_table с размером в 8
символов - запросто щелкаются на персоналке, в 16 символов - таблицы
предвычислений не влезут в сколь небудь ожидаемую в будущем память.

>A password is not strong because it is long; it is strong because it includes
>a lot of randomness.

Есть ли метр, выдающий сколько бит энтропии в пароле?

По условиям для последовательности слов:

  http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf

  Entropy varies greatly depending on whether a password is selected by a user
  or is generated randomly. Statistically, guessing the first character of a
  password selected by a user is tough, but guessing the second is easier and
  the third is easier yet. The NIST guidelines give the first character 4 bits
  of entropy when using the 94 characters available on standard keyboards, but
  only 2 bits for each of the next seven characters, and so on.

  Randomly selected passwords do not display patterns, so each character
  carries the same level of entropy, about 6.6 bits.

пароль в 64-bit будет длиной 31 символ - 5/6 слов. Против 10 случайных
символов от генератора (которые фиг запомнишь).

-- 
Best regards!

Reply to:

Follow-Ups:
- Re: Проверка сложнойсти паролей.
  - From: Artem Chuprina <ran@lasgalen.net>
- Re: Проверка сложнойсти паролей.
  - From: dimas <dimas000@ya.ru>
- Re: Проверка сложнойсти паролей.
  - From: Tim Sattarov <stimur@gmail.com>

Prev by Date: Re: Помогите выбрать web-file доступ
Next by Date: Re: Проверка сложнойсти паролей.
Previous by thread: Re: Помогите выбрать web-file доступ
Next by thread: Re: Проверка сложнойсти паролей.
Index(es):
- Date
- Thread