"this is fun" è una password più sicura di "J4fS<2"?

[lnessuno]

Mi sono imbattuto per caso in questo post:
http://www.baekdal.com/tips/password-security-usability

e nel suo seguito
http://www.baekdal.com/tips/the-usab...-passwords-faq

e ne sono rimasto molto colpito... in effetti non l'avevo mai vista in quel modo, ma sembra sensato... cosa ne pensate?

[marcosx86]

Bah.. per fare una cosa logica dovevano fare il confronto con una parola altrettanto lunga...
che senso ha confrontare una password di 11 caratteri con una di 6?!

perchè non confrontano

"this is fun" con "Jq2[ert<2'."

e alla fine scrivono pure:

If you want to be insanely secure; simply choose uncommon words as your password - like:

ma non usano la stessa lunghezza.. usano due password una di 14 e una di 15 e chi prova ad usare il bruteforce sa che da 11 a 12 caratteri c'è un enorme differenza, immagina da 11 a 14!

[Habanero]

Nel calcolo della complessità C di un bruteforcing non basta cosiderare la lunghezza L della password ma anche l'ampiezza del set di caratteri S. Ha quindi assolutamente senso confrontare password di lunghezze diverse.

C = S^L

Se ad esempio uso lettere maiuscole e minuscole (52 caratteri) la complessità è esprimibile come 52^L. Se uso solo lettere minuscole, 26^L.

Quello che vuole dire l'articolo è che la complessità di un password di lunghezza medio-piccola che usa un set di caratteri ampio (lettere maiuscole, minuscole, caratteri speciali) è equiparabile a quella di una password più lunga avente un set di caratteri ridotto (ad es. solo lettere minuscole). E' sufficiente che abbiano un valore di C dello stesso ordine di grandezza.

Un ulteriore aspetto che viene messo in luce è che non necessariamente una password lunga avente queste caratteristiche è difficile da ricordare.

[marcosx86]

Su questo hai perfettamente ragione.
Ma a me pare ovvio il fatto che più una password è lunga e comprende simboli e più è difficile da bucare.
Sicuramente ho inteso male io quell'articolo.

[lnessuno]

Originariamente inviato da Habanero
Nel calcolo della complessità C di un bruteforcing non basta cosiderare la lunghezza L della password ma anche l'ampiezza del set di caratteri S. Ha quindi assolutamente senso confrontare password di lunghezze diverse.

C = S^L

Se ad esempio uso lettere maiuscole e minuscole (52 caratteri) la complessità è esprimibile come 52^L. Se uso solo lettere minuscole, 26^L.

Quello che vuole dire l'articolo è che la complessità di un password di lunghezza medio-piccola che usa un set di caratteri ampio (lettere maiuscole, minuscole, caratteri speciali) è equiparabile a quella di una password più lunga avente un set di caratteri ridotto (ad es. solo lettere minuscole). E' sufficiente che abbiano un valore di C dello stesso ordine di grandezza.

Un ulteriore aspetto che viene messo in luce è che non necessariamente una password lunga avente queste caratteristiche è difficile da ricordare.

Hai colto in pieno... per chi, come me, lavora in un posto dove la password è vista solo come una gran rottura di palle dagli utenti, una "scoperta" del genere è molto utile, perchè invece di dirgli di inventarsi delle password che sicuramente dimenticheranno, potrò dirgli di provare con delle brevi frasi ed ottenere un risultato paragonabile... è una figata

[Habanero]

Originariamente inviato da marcosx86
Su questo hai perfettamente ragione.
Ma a me pare ovvio il fatto che più una password è lunga e comprende simboli e più è difficile da bucare.
Sicuramente ho inteso male io quell'articolo.

Il fatto importante che mette in luce l'articolo è che non necessariamente una password sicura è difficile da ricordare... e che, tra quelle con lo stesso grado di sicurezza (quindi fisso il grado di sicurezza!), quelle lunghe possono essere costruite in modo da essere ricordate più facilmente rispetto a quelle corte.
La chiave è che allungando la password posso diminuire il numero di simboli.