Większość tak zwanych narzędzi do sprawdzania siły haseł nie rozumie poprawnie haseł ani entropii. Zawsze znajdowałem coś absurdalnego, co uchodzi za silne hasło. Podaj swoje imię i nazwisko oraz datę urodzenia (z kropkami lub ukośnikami, zgodnie z wymaganiami lokalnymi). Tam są twoje wielkie i małe litery, znaki specjalne i cyfry, a jednak nikt przy zdrowych zmysłach nie poleciłby tego jako hasła.
A jednak „JohnDoe01.01.1980” ma „220 bilionów lat” na https://howsecureismypassword.net/ i 100% na http://www.passwordmeter.com/.
https: // www .my1login.com / resources / password-force-test / to jedyny tester, który znalazłem, który rozumie głupotę - wprowadź ten przykład i zobacz, jak jego oszacowanie zmienia się z „fantastycznego” na „średni”, gdy wprowadzasz ostatnie liczba i „dostaje”, że jest data kalendarzowa.
Więc: Użyj czegoś więcej niż prymitywnych silników obliczających entropię do oceny haseł.
Dla twojego konkretnego przypadku oznacza to:
na papierze rozszerzenie zestawu znaków radykalnie zwiększa przestrzeń wyszukiwania i powinno radykalnie zwiększyć bezpieczeństwo haseł. w rzeczywistości 99,9% użytkowników będzie używać własnych ustawień regionalnych, a hiszpański a lub niemiecki umlaut to tylko kilka dodatkowych znaków, a nie cała przestrzeń UTF-8. Bo głupio byłoby zakładać, że atakujący nie bierze pod uwagę podstawowej natury ludzkiej.
Są też aspekty użyteczności. Kiedyś musiałem logować się na swoje konto zdalnie z japońskiej kafejki internetowej, a to zdecydowanie nie było zabawne. Jeśli moja nazwa użytkownika, hasło lub którekolwiek z poleceń, których potrzebowałem, zawierały znaki spoza zestawu ASCII, nie sądzę, aby istniał jakikolwiek sposób, aby to się stało.
Jeśli jest to zdalnie możliwe, musisz zalogować się do swojego komputera z innej klawiatury niż ta, której używasz teraz, zbyt-specjalne znaki pozwolą Ci z dala od własnego konta lepiej niż zapomniane hasło.
I nie mówmy nawet o Unicode i jego wielu zepsutych implementacjach, które mogą powodować dodatkowe problemy.
Oto niektóre z powodów, dla których generatory haseł unikają znaków spoza ASCII:
Za mało dodatkowych zabezpieczeń, aby zrekompensować wszystkie potencjalne problemy.
I proszę, bardzo proszę - przestań myśleć o złożoności hasła. To most słomkowy z wężowego oleju. Długość pokonuje złożoność każdego dnia, a jeśli używasz generatorów haseł, prawdopodobnie przechowujesz je również w menedżerze haseł i nie obchodzi Cię, czy wpiszesz 10, 20, 40 czy 200 znaków.
Numer 1 Najlepszą wskazówką dotyczącą bezpieczeństwa hasła jest użycie nowego, długiego, losowego hasła dla każdej witryny internetowej, na której się rejestrujesz, aby nie zgubić hasła podczas następnego włamania. Ponieważ nie możesz być pewien, że odpowiednio je haszują i solą, a jeśli nie, to cała złożoność i znaki specjalne na świecie nie mają znaczenia.