Re: [ml] Programma per calcolare la robustezza di una password

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2004 ml@sikurezza.org
Soggetto: Re: [ml] Programma per calcolare la robustezza di una password
Mittente: Alessandro Barenghi
Data: Wed, 14 Jul 2004 22:38:36 +0200 (CEST)

On Wednesday 14 July 2004 12:26, arizzi@xxxxxxxxxxxxxxxxxxxxxxxxxxxx wrote:
> Salve,
> Qualcuno di voi conosce qualche programma capace di calcolare la robustezza
> di una password?
> Il programma che cerco deve essere indipendente dal sistema operativo e/o
> applicativo e deve essere in grado di calcolare la robustezza di una
> password inserita dall'utente in base ai caratteri utilizzati e alla
> lunghezza della chiave.
> In parole più semplici posso dire che il programma è una sorta di "Password
> Weakness Calculator" in grado di esprimere un giudizio sulla "robustezza"
> della password data in analisi.
Non è possibile dare un giudizio sensato della robustezza di una password a 
prescindere da qualunque conoscenza dell' implementazione del sistema che la 
verifica. Password relativamente valide (20+ caratteri , caratteri non 
alfanumerici) che vengono salvate tramite hashing con meccanismi deboli 
possono essere significativamente più facili da trovare di password 
"standard" (20- caratteri , solo alfanumerici) hashate con un meccanismo come 
SHA. 
Premesso questo l ' unica valutazione che si può fare su una password in sè e 
per sè è quella sul keyspace : basta elevare il numero di caratteri che la 
compongono al numero di caratteri possibili per ogni posizione (24 minuscole 
+24 maiuscole(se ce ne sono) + 10 cifre (se ce ne sono) + 1 per ogni 
carattere speciale). Il numero che ne emerge è un' approssimazione 
ottimistica del keyspace da provare (non è detto che , se ci sono caratteri 
speciali , io riesca a includere quelli giusti nella lista che fornisco al 
password generator) per un bruteforce e andrebbe moltiplicato per la velocità 
di un tentativo (che come è ovvio varia a seconda della macchina e dell' 
algoritmo).Fatto questo dovresti avere una stima del tempo di breaking , fare 
un programmino che effettua questi calcoli in serie è abbastanza banale , se 
ti serve valutare molte password.


Bye

Alessandro Barenghi

-- 
I'm going to live forever, or die trying!
                -- Spider Robinson

In risposta a:
- [ml] Programma per calcolare la robustezza di una password, arizzi

Data:
- precedente: Re: [ml] OpenVPN, sikurezza
- successivo: [ml] windows 2003, porte aperte, Igor Falcomata'
- indice

Argomento:
- precedente: Re: [ml] Programma per calcolare la robustezza di una password, william maddler
- successivo: Re: [ml] Programma per calcolare la robustezza di una password, Lonely Wolf
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005