Tak co, už jste si ho prodloužili?
Tento příspěvek navazuje na minulý příspěvek, ve kterém jsem zmínil techniku password padding.
Příspěvek končil otázkou, zda password padding opravdu zvyšuje bezpečnost hesla, a zda by se takovéto heslo přeci jen nedalo v reálném čase prolomit. Tak dalo nebo ne?
Ve většině případů ano. Nejde ani tak o to, jestli je základem hesla slovo ze slovníku nebo nějaké zkomolené, či jen náhodná posloupnost znaků, ale problémem je samotný padding. A jak dlouhý ten padding bude, nehraje až takovou roli, jak by se mohlo na první pohled zdát.
Protože, co myslíte, kolikrát bude uživatel ochoten stisknout opakovaně nějakou klávesu? 8x, 15x, 20x? I kdyby byl padding dlouhý 20 znaků, o čemž můžeme s jistotou pochybovat, tak to na síle hesla stejně nic nemění. Bohužel.
Problémem je opět jeho nízká entropie. Vzhledem k tomu, že z uniklých databází hesel víme, že nejpoužívanější hesla jsou stále typu 123456 nebo P4$$w0rd, tak nelze očekávat, že by při vytváření paddingu byli uživatelé najednou nějak prudce kreativní.
I kdybychom uvažovali, že padding o délce 1 až 20 znaků bude tvořen opakujícími se znaky z množiny 95 znaků, což je opět nereálný předpoklad, ale budiž, tak je to stále jen 1900 kombinací (95*20). To věru není mnoho.
Jestliže bychom chtěli prolomit heslo u služby vyžadující zadání minimálně 8 znaků, tak bychom museli k tomu 95^8 základu vyzkoušet ještě různě dlouhé paddingy tvořené navíc různými opakujícími se znaky, kterých je 1900. Jinými slovy, i kdyby bylo použito komplexní heslo a ne jen nějaké ze slovníku, tak vám padding nepomůže, protože pořád se bude jednat o 1900*95^8 kombinací.
Uživatel by musel použít nějaký sofistikovanější padding, což se ale u většiny nedá moc předpokládat. Z tohoto důvodu si nemyslím, že je password padding technika hodná následování. Ano, zdvojte si nějaké znaky v hesle, to ano, ale toto opravdu ne.
ČERMÁK, Miroslav, 2016. Tak co, už jste si ho prodloužili?. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/tak-co-uz-jste-si-ho-prodlouzili/. [citováno 07.12.2024].
Štítky: autentizace
K článku “Tak co, už jste si ho prodloužili?” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.