Re: [ml] Programma per calcolare la robustezza di una password

>Salve,
>Qualcuno di voi conosce qualche programma capace di calcolare la robustezza
>di una password?
>Il programma che cerco deve essere indipendente dal sistema operativo e/o
>applicativo e deve essere in grado di calcolare la robustezza di una
>password inserita dall'utente in base ai caratteri utilizzati e alla
>lunghezza della chiave.

>Il programma non deve effettuare nessun tipo di attacco brute-force a dei
>sistemi target specifici.

>In parole più semplici posso dire che il programma è una sorta di "Password
>Weakness Calculator" in grado di esprimere un giudizio sulla "robustezza"
>della password data in analisi.

Salve,
la prima cosa che per antonomasia mi è venuta in mente è appunto il
controllo che fa il passwd
quando vuoi cambiare una password, che a volte ti infama ("BAD password: too
short" oppure weak)
:)
Ora, indubbiamente questo genere di controllo è indispensabile per prevenire
che un utente scelga una password veramente idiota con gli effetti
collaterali che immaginiamo...o troppo corte o che si basano sul suo stesso
nome o simile.
Nel readme della libcrack leggo:

...
CrackLib makes literally hundreds of tests to determine whether you've
chosen a bad password.

* It tries to generate words from your username and gecos entry to tries
to match them against what you've chosen.

* It checks for simplistic patterns.

* It then tries to reverse-engineer your password into a dictionary
word, and searches for it in your dictionary.

- after all that, it's PROBABLY a safe(-ish) password.  8-)

cosa buona e giusta, tuttavia mi vien da dubitare (esclusi ovviamente i
controlli sulla lunghezza) di poter considerare questo genere di
applicazioni "definitive"...
voglio dire io posso anche scegliermi una password sufficientemente lunga e
che non "matchi" con nessuno dei criteri preimpostati in uno di questi
programmi, ma niente vieta che la medesima sia cmq
"weak" o semplice da individuare a un attaccante sufficientemente dotato di
immaginazione o quanto meno che abbia avuto modo di farsi un'idea della
persona "studiandola/osservandola"....
E'vero, un programma simile può anche obbligarmi a immettere una password di
lunghezza minima N, può obbligarmi a mettere qualche maiuscola e pure un
paio di numeri, ma non potrà mai (?) distinguere una password
lunga+maiuscole+numeri cmq BANALE/WEAK o facile da ricordare, (che alla
fine, è quello che vogliono gli utenti) da una veramente STRONG, visto che
per lui, una password Strong sarà sempre e cmq una password che supera i
vari if..else... 
 --
 Email.it, the professional e-mail, gratis per te: http://www.email.it/f
 
 Sponsor:
 Prova costume? Superala con Tesmed: piccolo, potente, efficace, scopri come
funziona cliccando qui
 Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid=2677&d=20040714