Re: R: [ml] Programma per calcolare la robustezza di una password

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2004 ml@sikurezza.org
Soggetto: Re: R: [ml] Programma per calcolare la robustezza di una password
Mittente: Damiano Bolzoni
Data: Wed, 14 Jul 2004 15:36:09 +0200 (CEST)

Pasqualetti, Fausto wrote:

Andrea wrote:
In parole più semplici posso dire che il programma è una sorta di "Password Weakness Calculator" in >
grado di esprimere un giudizio sulla "robustezza" della password data in analisi.
Non ho capito vorresti disaccoppiare la scelta di una password dall'algoritmo usato per criptografarla e avere un indice sulla bontà della password? Secondo me invece sono proprio utile attacchi tipo brute force vocabolario, la debolezza di una password che penso nella tua metrica di "Password Weakness" è dovuto proprio da quanto sia comune il suo utilizzo, se sia presente nei vocabolari, contenga i dati dell'utente... Per calcolare la "pesantezza" di una password bisogna conoscere i dati di un utente... Perché spesso lo portano a scegliere un cracker che conosce la vittima puo' operare un attacco molto mirato su non so nomi di animali domestici, targhe numeri di telefono... Servono informazioni specifiche... Parti dall'assiome che una password è una stringa costituita ad un insieme di caratteri, quindi per parità di lunghezza a livello teorico ogni password equivale ad un'altra... Quando invece la cali in un environment ben delineato (ad esempio un linguaggio, una persona etc etc) allora le stringhe sono molto diversificate, ad alcune puoi associare un peso alto ad altre no. Da considerare che poi molto dipende dall'algoritmo usato per l'attacco e dall'intelligenza dell'attaccante e dalla sua intuizione (cose che non possono sicuramente essere modellizzate ma devono essere tenute in conto.) Forse non mi sono spiegato bene, ma molto va dato dal buon senso... A presto

Quanto detto in questa risposta è sicuramente giusto: però è possibile definire la "resistenza" di una password ad attacchi di forza bruta sulla base dei caratteri utilizzati nella stessa. Infatti, un attacco basato su dizionario può essere visto come un sottoinsieme di tutte le possibili combinazioni di caratteri di un alfabeto (le parole che hanno un senso in una certa lingua). Detto questo, io credo che tu possa implementare qualcosa di simile a quanto fatto in Windows (e altri OS) tra le policy di sicurezza: verificare che una password contenga lettere minuscuole, maiuscole, numeri e caratteri quali "; : ? # @" ecc. Tante più tipologie avrai, tanto più sicura sarà la password (ovviamente dovrai considerane anche la lunghezza): non esiste però un "indice" che associa la presenza di certi caratteri in una parola alla "difficoltà" nel generarla...il peso da assegnare ad ogni occorrenza di carattere dovrai deciderlo tu!

Ciao
Damiano Bolzoni

In risposta a:
- R: [ml] Programma per calcolare la robustezza di una password, Pasqualetti, Fausto

Data:
- precedente: R: [ml] Programma per calcolare la robustezza di una password, Pasqualetti, Fausto
- successivo: Re: [ml] Programma per calcolare la robustezza di una password, william maddler
- indice

Argomento:
- precedente: R: [ml] Programma per calcolare la robustezza di una password, Pasqualetti, Fausto
- successivo: [ml] windows 2003, porte aperte, Igor Falcomata'
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005