Проверка сложнойсти паролей.

Mon, 30 Nov 2015 06:47:42 -0800 

Я погуглил, есть:

  $ sudo apt-get install cracklib-runtime

  $ echo qwerty | cracklib-check
  qwerty: it is based on a dictionary word

  $ echo '123456$qwerty' | cracklib-check
  123456$qwerty: it is too simplistic/systematic

  $ echo 'my_qwerty_pass' | cracklib-check
  my_qwerty_pass: OK


  $ sudo apt-get install passwdqc

  $ echo qwerty | pwqcheck -1
  Bad passphrase (too short)

  $ echo '123456$qwerty' | pwqcheck -1
  OK

  $ echo 'my_qwerty_pass' | pwqcheck -1
  OK

Словари компилятся из /usr/share/dict:

  $ ls -l /usr/share/dict
  -rw-r--r-- 1 root root 938848 2011-10-13 00:56 american-english
  -rw-r--r-- 1 root root 477238 2015-09-27 03:34 cracklib-small
  $ wc -l /usr/share/dict/*
  99171 /usr/share/dict/american-english
  52875 /usr/share/dict/cracklib-small

Потолще словари есть в интернете:

  
http://security.stackexchange.com/questions/1376/where-can-i-find-good-dictionaries-for-dictionary-attacks
  https://wiki.skullsecurity.org/Passwords
  
https://crackstation.net/buy-crackstation-wordlist-password-cracking-dictionary.htm

Конешно нужно учесть национальные особенности - словари с русскими словами,
набираемыми в английской раскладке (всякие "чебурашка").

Так по теории https://en.wikipedia.org/wiki/Rainbow_table с размером в 8
символов - запросто щелкаются на персоналке, в 16 символов - таблицы
предвычислений не влезут в сколь небудь ожидаемую в будущем память.

>A password is not strong because it is long; it is strong because it includes
>a lot of randomness.

Есть ли метр, выдающий сколько бит энтропии в пароле?

По условиям для последовательности слов:

  http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf

  Entropy varies greatly depending on whether a password is selected by a user
  or is generated randomly. Statistically, guessing the first character of a
  password selected by a user is tough, but guessing the second is easier and
  the third is easier yet. The NIST guidelines give the first character 4 bits
  of entropy when using the 94 characters available on standard keyboards, but
  only 2 bits for each of the next seven characters, and so on.

  Randomly selected passwords do not display patterns, so each character
  carries the same level of entropy, about 6.6 bits.

пароль в 64-bit будет длиной 31 символ - 5/6 слов. Против 10 случайных
символов от генератора (которые фиг запомнишь).

-- 
Best regards!

Ответить