[Moscow.pm] Расчёт криптоскойти пароля

Alexander Lourier aml на rulezz.ru
Чт Авг 6 23:19:01 PDT 2009 

В письме Thursday 06 August 2009 19:18:28 Михаил Монашёв написал:

> Подскажите   пожалуйста,  как  посчитать,  например  в  процентах  или
> каких-то единицах, криптостойкость пароля?

Криптостойкость пароля обычно оценивают количеством вариантов для перебора. Соответственно, стойкость - это размер 
алфавита в степени длины пароля. Если хакер заведомо знает, что пароль состоит из одних цифр, он только их и будет 
перебирать - размер алфавита драматически падает, и стойкость падает соответственно. Можно предположить, что хакер 
будет сначала перебирать числовые пароли, потом словарные, потом "клавиатурные", потом маленькие буквенные, потом 
брутфорс. Тогда можно примерно оценить количество вариантов, которые ему придется перебрать, пока он не найдет пароль. 
Если у хакера нет никаких знаний о человеческой психологии, единственный вариант для него - брутфорс. Если же он 
предполагает, что человек будет выбирать легкие для запоминания пароли, то число вариантов сокращается. Все упирается в 
предположения хакера относительного мышления жертвы. Точно тут не посчитаешь. Самое лучшее - это запретить пользователю 
выбирать пароли, которые полностью помещаются в "популярные" алфавиты - только цифры, маленькие буквы, словарные слова 
и их пары и т.д.

> Но   этот   алгорит   не   учитывает  пароли  вроде  qwerty  и  другие
> "клавиатурные".

Их отдельно проверять надо - берешь каждую пару букв в пароле и смотришь "клавиатурное расстояние" между ними, если уж 
так хочется. А вообще, есть статья хорошая - http://www.ssl.stu.neva.ru/psw/publications/crypto.html. Там есть умная 
мысль:

==
Очевидно, что короткие или осмысленные пароли легко запоминаются человеком, но они гораздо проще для вскрытия. 
Использование длинных и бессмысленных паролей безусловно лучше с точки зрения криптостойкости, но человек обычно не 
может их запомнить и записывает на бумажке, которая потом либо теряется, либо попадает в руки злоумышленнику.
==

По играм я могу точно сказать - что требования, чтобы в пароле были большие, маленькие буквы, отстутствовали словарные 
слова и т.д. приводит к тому, что некоторые пользователи забывают их и не могут вернуться. Особенно, если пытаются 
зайти в игру через несколько месяцев после регистрации. Это на ровном месте, считай, пользователи теряются - они ни 
почты не помнят, на которую регистрировались, ни пароля.

Это я все к тому, а надо ли так зверствовать с паролями?

-- 
Alexander Lourier, http://aml.rulezz.ru/

Подробная информация о списке рассылки Moscow-pm