Homepage » Come » Come controllare la forza delle tue password

    Come controllare la forza delle tue password

    Abbiamo parlato della creazione di password complesse in più post di groovy [1] [2] [3], ma non ti abbiamo mai dato un modo per testarli. Esistono diversi strumenti Internet gratuiti che offrono un test di sicurezza della password localizzato e funzionano con qualsiasi browser Web moderno. La maggior parte di questi strumenti utilizza algoritmi di crittografia comuni per determinare la probabilità che un password cracker generi una corrispondenza esatta per l'MD5 tradotto di una password crittografata.

    Nonostante che molti strumenti di password online diranno che non trasmettono nessuno dei dati che scrivi ai loro server, ti consiglio caldamente di non usare il tuo esatto vera password in qualsiasi tester online.

    Cos'è l'entropia della password?

    Entropia è il livello di imprevedibilità che ha la password, o in altre parole se una password ha un livello più alto di entropia che significa che ha una maggiore possibilità di essere qualcosa che non sarà mai indovinato.

    Per capire le basi di quanto tempo impiegherebbe una password per rompere rispetto alla sua quantità di entropia, c'è una formula molto semplificata da seguire. Si noti che questo è molto, molto semplificato e chiunque nel campo della crittografia sta probabilmente scuotendo la testa, ma qui va:

    • 2 ^ (il livello di entropia) = numero di ipotesi necessarie per rompere
    • Qualunque media Joe può installare un software per password-cracker e fare circa 1000 ipotesi al secondo.
    • Dividere il numero di ipotesi necessarie in base al numero di tentativi al secondo e il tempo necessario per suddividere la password, dividere in base a giorni / ore / minuti.
    • Tuttavia, se aumentiamo i livelli di supercomputer folle (come questo tizio che ha costruito una macchina da 25 GPU che può fare 350 miliardi di ipotesi al secondo), diventa molto più veloce. Tuttavia, il tasso di probabilità viene significativamente rallentato a seconda dell'algoritmo di crittografia utilizzato. Il sito Web tipico utilizza SHA1, che un supercomputer potrebbe crackare a un tasso di 63 miliardi di ipotesi al secondo.

    Tenere presente che mentre queste password sono memorizzate su un server Web, di solito sono protette da un numero massimo di tentativi di password per un certo periodo di tempo. Tuttavia, se il sito Web viene hackerato, gli hash delle password possono essere facilmente eseguiti attraverso qualsiasi sistema di cracking offline creato dagli hacker.

    Test di resistenza della password di Cygnius

    Tra gli strumenti disponibili, il Cygnius Password Strength Test è il mio preferito. È solo una semplice scatola e quando digiti la password ti dirà la sua forza, il set di caratteri e il suo livello di entropia.

    Per esempio:

    • "Tr0G0d4r" = 35,5 bit di entropia

    35,5 bit di entropia = 398 giorni per il crack medio di Joe, ma solo 0,5 secondi per la rottura di un supercomputer. Questo si traduce in meno di un minuto per quasi tutti gli esperti di cracking in circolazione!

    • "Mygmailpassword" = 58,9 bit di entropia

    58.9 bit di entropia = 18.267.344 anni per il crack medio della password di Joe da interrompere. O su un supercomputer di circa 105 giorni, in teoria.

    • "Ho una password molto forte" = 107,4 bit di entropia

    107,4 bit di entropia = 5.141.800.300.000.000.000 millenni per il rompicapo di password di Joe medio da rompere. Su un supercomputer, ci vorrebbero 81.615.877.245 millenni spezzare. È altamente improbabile che venga mai violato a meno che la tua password non venga scelta e bersagliata da più sistemi.

    Altri siti che possono testare la tua forza della password

    • Sicurezza GRC
    • Kaspersky Labs