Соотношение уникальных и повторяющихся символов в пароле, что лучше?

Question

[Petr Alexandrovich]

То, что надежный пароль - это длинный пароль (желательно больше 32 символов, если это допустимо) все знают. А у меня вопрос такой - какой вариант лучше и более взломоустойчив. Например пароль состоит из 32 символов и в нем нет ни одного повторяющегося или же пароль, в котором встречаются одинаковые символы

Answer 1

[maaGames]

Если символы не могут повторяться, то это уменьшает число возможных вариантов паролей, что есть не хорошо.

Answer 2

[АртемЪ]

Соотношение уникальных и повторяющихся символов в конкретном пароле значения не имеет, и на скорость брутафорса не влияет.
Значение имеет количество символов которые можно использовать в пароле.

Насчет длины пароля не согласен.
Надежный пароль это не максимально длинный, а достаточной длинны.
Излишне длинный пароль во многих случаях снижает защищенность системы.

Answer 3

[DaNHell]

Думаю так смысл понятнее будет :3

Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.

– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?
– Нет, – ответил мастер Инь, – это словарный пароль.

– Но такого слова нет в словарях…
– «Словарный» означает, что это сочетание символов есть в wordlists, то есть «словарях» для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.

– А пароль «Pft,bcm» подойдёт?
– Вряд ли. Он тоже словарный.

– Но как же? Это же…
– Введи это сочетание в Гугле – и сам увидишь.

Сисадмин защёлкал клавишами.
– О, да. Вы правы, Учитель.

Через некоторое время Сисадмин воскликнул:
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть...

Answer 4

[Армянское Радио]

С точки зрения теории вероятностей, нет никакой разницы в том, есть ли в пароле повторы символов или нет. Главное, чтобы он был полностью случайным и злоумышленник не имел никаких сведений способе его получения.

То есть создав генератор, который повторяет символы в пароле, вы дадите атакующему подсказку, снизив тем самым надежность системы.

Пароль должен быть просто мешаниной из букв. Допускается также мешанина из слов, но словарь должен быть большой (100 000), и слов несколько штук (4-6).

Comments

[Boris Nagaev]

Попробовал реализовать 256-битный пароль на базе из словаря примерно в 100 тысяч слов (https://raw.githubusercontent.com/starius/config/m... ). Также у меня есть утилита для генерации 256-битного пароля из примерно 1500 слов, есть русская и английская версии (https://raw.githubusercontent.com/starius/config/m... ).

Привожу результаты запусков для сравнения.
По малому словарю: "выглядеть командир спина полковник пьеса энергия выставка молодой иметься крыша принимать человек ставить проходить резко знание мама считать бояться обратить пользоваться впервые передать источник".
По большому словарю: "поселенный пересластить электропаяльник маслоочистка пешневой акмеизм тонировать поздника наострить тал каолинит макрофаг заказчик сверстник теплофикация абдукторный".

Прошу заметить, что сила паролей одинакова (256 бит). Однако из-за редких слов ("акмеизм" и "каолинит" и пр.) пароль, сделанный по большому словарю, намного сложнее запомнить. Кроме того, длина этого пароля в буквах меньше, а значит его проще подобрать, если перебирать все комбинации букв (разумеется, это актуально для паролей из 2-3 слов, а не для этих гигантов).

Answer 5

[mace-ftl]

если злоумышленник не знает, что все символы в пароле резные - то все разные.

А если знает - то нужно допустить повторения.

Answer 6

[Lorem Ipsum]

А вы в курсе сколько времени потребуется на брутфорс пароля такой длины? К тому же, сейчас практически всегда используется примерно такой алгоритм хеширования - (системный хеш + уникальный хеш для данного пароля + хеш пароля). Я, если честно, сильно сомневаюсь, что кто то сможет такой пароль сбрутить. Да, конечно же сбрутить можно, но это кем надо быть, чтобы кому то потребовалось бы сбрутить такой пароль?

Comments

[Petr Alexandrovich]

Это я понимаю, вопрос теоретический скорее. Какой сбрутить будет сложнее? 100% уникальный или с повторяющимися символами.

[Lorem Ipsum]

Petr: при такой длине пароля это совершенно неважно.

[АртемЪ]

Lorem Ipsum: Я бы сказал что это не важно при любой длине пароля.