Znaki specyficzne dla języka są zazwyczaj pomijane przez generatory haseł, ponieważ nie byłyby one powszechnie dostępne (na przykład klawiatury amerykańskie nie mają znaków akcentowanych). Więc nie traktuj ich pominięcia w tych narzędziach jako wskazówki, że mogą być słabe lub problematyczne.

Im większy zestaw symboli ( az , AZ , 0-9 itd.), tym większa pula możliwych znaków do odgadnięcia podczas forsowania hasła. Dodanie znaków specyficznych dla języka zwiększa pulę i może być dobrą rzeczą.

Ale uważaj przy obliczaniu entropii. Ciąg ààààààààààà nie ma dużej entropii, jeśli po prostu naciskasz go na klawiaturze, ponieważ jest to wygodne. Entropia dotyczy sposobu wybierania postaci. Losowo wybrany ciąg ma wysoką entropię, a losowo wybrany ciąg z szerokiej puli znaków ma wyższą entropię.

Tak !”

Wszystkie hasła powinny zawierać tylko drukowalne znaki ASCII. Nie „Rozszerzony ASCII”, nie Latin-1, nie Unicode.

Powodem jest to, że nigdy nie wiadomo, co faktycznie odbiera program po naciśnięciu „à” lub podobnego.

W wielu wersjach „Rozszerzonego ASCII” „a” jest zakodowane jako (szesnastkowo) 85.
W ISO Latin-1 „à” jest kodowane jako (szesnastkowo) E0.
W Unicode „à” jest kodem U + 00E0. Po zakodowaniu w UTF-8 wynikiem jest (szesnastkowo) C3 (szesnastkowo) A0.

Justin Time zwraca uwagę w komentarzu, że istnieje inna możliwość. Nawet jeśli wszyscy mówią w Unicode, „à” może być przechowywane na różne sposoby. Istnieje U + 00E0, jak wymieniono powyżej, ale istnieje również wersja skomponowana (U + 0061 U + 0300), w której występuje „a”, po którym następuje (POŁĄCZONY GRAVE ACCENT). Prawidłowo napisany program sobie z tym poradzi, ale bardzo często pojawiają się błędy w tym obszarze.

Każdy, kto ma charakter narodowy w swoim nazwisku lub adresie, widział je zniekształcane na wiele różnych sposobów. Kiedy tak się dzieje, jest to po prostu brzydkie, ale list i tak jest zwykle dostarczany.

Gdy dzieje się tak z hasłem , skutkuje to tym, że nie możesz się zalogować! Po prostu nie idź tam.

Większość tak zwanych narzędzi do sprawdzania siły haseł nie rozumie poprawnie haseł ani entropii. Zawsze znajdowałem coś absurdalnego, co uchodzi za silne hasło. Podaj swoje imię i nazwisko oraz datę urodzenia (z kropkami lub ukośnikami, zgodnie z wymaganiami lokalnymi). Tam są twoje wielkie i małe litery, znaki specjalne i cyfry, a jednak nikt przy zdrowych zmysłach nie poleciłby tego jako hasła.

A jednak „JohnDoe01.01.1980” ma „220 bilionów lat” na https://howsecureismypassword.net/ i 100% na http://www.passwordmeter.com/.

https: // www .my1login.com / resources / password-force-test / to jedyny tester, który znalazłem, który rozumie głupotę - wprowadź ten przykład i zobacz, jak jego oszacowanie zmienia się z „fantastycznego” na „średni”, gdy wprowadzasz ostatnie liczba i „dostaje”, że jest data kalendarzowa.

Więc: Użyj czegoś więcej niż prymitywnych silników obliczających entropię do oceny haseł.

Dla twojego konkretnego przypadku oznacza to:

na papierze rozszerzenie zestawu znaków radykalnie zwiększa przestrzeń wyszukiwania i powinno radykalnie zwiększyć bezpieczeństwo haseł. w rzeczywistości 99,9% użytkowników będzie używać własnych ustawień regionalnych, a hiszpański a lub niemiecki umlaut to tylko kilka dodatkowych znaków, a nie cała przestrzeń UTF-8. Bo głupio byłoby zakładać, że atakujący nie bierze pod uwagę podstawowej natury ludzkiej.

Są też aspekty użyteczności. Kiedyś musiałem logować się na swoje konto zdalnie z japońskiej kafejki internetowej, a to zdecydowanie nie było zabawne. Jeśli moja nazwa użytkownika, hasło lub którekolwiek z poleceń, których potrzebowałem, zawierały znaki spoza zestawu ASCII, nie sądzę, aby istniał jakikolwiek sposób, aby to się stało.

Jeśli jest to zdalnie możliwe, musisz zalogować się do swojego komputera z innej klawiatury niż ta, której używasz teraz, zbyt-specjalne znaki pozwolą Ci z dala od własnego konta lepiej niż zapomniane hasło.

I nie mówmy nawet o Unicode i jego wielu zepsutych implementacjach, które mogą powodować dodatkowe problemy.

Oto niektóre z powodów, dla których generatory haseł unikają znaków spoza ASCII:

Za mało dodatkowych zabezpieczeń, aby zrekompensować wszystkie potencjalne problemy.

I proszę, bardzo proszę - przestań myśleć o złożoności hasła. To most słomkowy z wężowego oleju. Długość pokonuje złożoność każdego dnia, a jeśli używasz generatorów haseł, prawdopodobnie przechowujesz je również w menedżerze haseł i nie obchodzi Cię, czy wpiszesz 10, 20, 40 czy 200 znaków.

Numer 1 Najlepszą wskazówką dotyczącą bezpieczeństwa hasła jest użycie nowego, długiego, losowego hasła dla każdej witryny internetowej, na której się rejestrujesz, aby nie zgubić hasła podczas następnego włamania. Ponieważ nie możesz być pewien, że odpowiednio je haszują i solą, a jeśli nie, to cała złożoność i znaki specjalne na świecie nie mają znaczenia.

Aby obliczyć entropię, potrzebujesz dobrze zdefiniowanej metody generowania losowych ciągów. Rozważ następujący ciąg.

  abcdef  

Jeśli powiesz komputerowi z dobrym generatorem liczb losowych, aby generował 6 małych liter, a po prostu w tej konkretnej sekwencji, wtedy masz log ₂ (26 ⁶ ) bitów entropii (28 bitów entropii). Jeśli jednak twój generator losowych ciągów zawsze zwraca „abcdef”, wtedy masz efektywnie 0 bitów entropii. Obliczenia entropii zakładają, że napastnicy wiedzą, w jaki sposób generujesz hasła.

W swoim pytaniu wyraźnie wspomniałeś o znaku à . Nie określiłeś algorytmu, więc pozwól mi go zaproponować. Wybierz dowolny algorytm generowania hasła (wybór nie ma znaczenia) i zawsze umieszczaj na jego końcu à . Ile bitów entropii to dodaje? Odpowiedź brzmi 0, ponieważ liczba możliwych haseł, które można wygenerować, nie uległa zmianie.

Ale powiedzmy, że zmodyfikowałeś algorytm, który generuje losowe znaki, aby dodać znak à do możliwych wyników postacie. Spowoduje to dodanie log ₂ ((alfabet + 1) ^rozmiar ) - log ₂ (alfabet ^rozmiar ) bity entropii. To nie zapewnia zbyt dużej wartości, dla 50-znakowych losowych haseł o rozmiarze alfabetu 62 (małe + duże + cyfry), doda to tylko jeden bit entropii. Możesz uzyskać znacznie lepszy wynik, dodając 1 znak do hasła, co dodaje około 6 bitów entropii.

Dodatkowo dodanie à do alfabetu wprowadza koszt posiadania znaku to niekoniecznie na żadnej klawiaturze, na której możesz chcieć wpisać hasło.

Może być źle, jeśli system logowania jest źle zaimplementowany. Biorąc pod uwagę, że nadal wydaje mi się, że widzę wiele systemów, które (prawdopodobnie ze starszych powodów) nadal mają maksymalne długości haseł i mają głupie zasady dotyczące haseł dotyczące dozwolonych znaków (lub gorzej, niedozwolonych), nie ufam bez szwanku, z wysokim stopniem pewności. Z pewnością byłoby źle, gdybyś mógł ustawić hasło ze znakiem innym niż ASCII, ale proces logowania go zniekształcił.

W przypadku systemów, w których obowiązują maksymalne długości haseł, należy również wziąć pod uwagę niejednoznaczność sposobu pomiaru długości hasła. Czy to liczba bajtów? W jakim kodowaniu? Czy jest to liczba punktów kodowych? Liczba klastrów grafemów? Na przykład, jeśli system ogranicza długość hasła w oparciu o liczbę bajtów w UTF-8, to użycie znaku innego niż ASCII pochłonie więcej bajtów i może zmniejszyć entropię.

Podczas gdy wiele odpowiedzi dostarczyło solidnych informacji dotyczących entropii, zadane pytanie brzmiało „... czy jest jakiś powód, aby unikać używania tych znaków specjalnych?”

Niektóre komputerowe systemy haseł akceptują tylko alfanumeryczne znaków oraz ograniczony zakres znaków, takich jak podkreślenie (_) lub łącznik (-). Wszystkie inne znaki są zabronione.

W niektórych złożonych aplikacjach mogą istnieć starsze systemy wykorzystujące funkcję skrobania ekranu, które mogą uszkodzić tłumaczenie znaków specjalnych w ciągach tekstowych. Problem polega na tym, że nie możesz wiedzieć, w jaki sposób aplikacja została wdrożona. Mogą istnieć przepisy ustanawiające minimalne standardy lub nie.

W dowolnym punkcie łańcucha, w którym zmieniane są zestawy znaków, istnieje możliwość, że znaki specjalne zostaną usunięte lub uszkodzone.

Nie zakładaj, że aplikacja akceptuje Twoje początkowe hasło do rejestracji to ta sama aplikacja, która akceptuje Twoje hasło w celu weryfikacji. Muszę przyznać, że gdybym każdy doświadczył źle wdrożonego systemu, unikałbym go jak zarazy.

To zależy, gdzie i jak używasz hasła.

Jeśli używasz menedżera haseł, np. na pendrive'ie nie ma problemu z poprawnym wpisaniem hasła na wszystkich komputerach, ze względu na kopiowanie i przeszłość.

Gdy musisz używać hasła na specjalnych urządzeniach (smart TV, lodówka, urządzenia, do których nie można włożyć pendrive'a lub nie wolno tego robić) lub gdy istnieje dość duża szansa, że ​​proces logowania jest gówniany, wtedy użyłbym tylko znaków ASCII znalezionych na klawiaturach amerykańskich.

Entropia nie jest właściwością haseł. Jest to właściwość metod generowania haseł (lub bardziej ogólnie właściwość rozkładów prawdopodobieństwa). W szczególności jest to oczekiwana liczba bitów informacji, których osoba atakująca potrzebowałaby w celu zidentyfikowania konkretnego wygenerowanego hasła, zakładając, że zna zastosowaną metodę. Jeśli wszystkie możliwe hasła, które możesz wygenerować, mają takie samo prawdopodobieństwo, upraszcza się to do entropii log ₂ (liczba możliwych haseł).

• Więc jeśli twoją metodą jest wybranie à , masz entropię równą 0; nie są potrzebne żadne dodatkowe informacje, aby określić, które z możliwych pojedynczych haseł zostało wybrane.
• Jeśli twoje hasło jest sekwencją od 1 do 16 à s, masz entropię 4 , ponieważ istnieje 16 możliwości i log ₂ (16) = 4.

• Jeśli Twoje hasło składa się z trzech liczb od 0 do 15 włącznie, wybranych w sposób jednolity i niezależny, entropia wynosi 12, ponieważ istnieje 16 ³ możliwości i log ₂ (16 ³ ) = log ₂ (16 ) * 3 = 12.

  Ale hasło 15 3 7 nie ma entropii, ponieważ nie jest to rozkład prawdopodobieństwa; jest to pozycja, która została wybrana z jednego.

Narzędzia, które twierdzą, że dają ci entropię hasła, tak naprawdę odgadują metodę, prawdopodobnie użyty do wygenerowania tego hasła (i prawie na pewno zgadnął źle ) i dał ci entropię metody, którą myślą użyłeś. Zgłaszają wysoką entropię dla haseł ze znakami specjalnymi, ponieważ uważają, że hasło zostało wybrane przy użyciu metody, która mogła wygenerować dowolny znak specjalny na dowolnej pozycji. Jeśli to założenie jest fałszywe (a tak jest), to raportowana przez nie entropia jest nonsensowna.

Używanie znaków specjalnych w hasłach nie jest ani dobre, ani złe. Tak nie jest mają znaczenie, które znaki mogą znaleźć się w Twoim haśle. To ma znaczenie, ile jest możliwości.

Tak, w niektórych przypadkach. Na przykład:

1) Jeśli jest to sytuacja, w której hasło musi zostać zapamiętane, dodanie lub wymaganie znaków specjalnych zmniejsza bezpieczeństwo, ponieważ zwiększa prawdopodobieństwo, że użytkownicy naruszą zasady dotyczące haseł, nie przechowując ich lub po prostu napiszą te hasła w dół. W każdym przypadku powoduje to znacznie większe zagrożenie dla bezpieczeństwa niż posiadanie mniej złożonych haseł.

Weźmy również pod uwagę na przykład tę serię haseł zmienianych co 90 dni i używających znaków specjalnych, aby spełnić wymagania dotyczące nadmiernego hasła:

  Th1s $ ecuritySucks! Th2s # ecurity Sucks! Th3s @ ecuritySucks!  

Wyobraź sobie, że pierwsze dwa hasła zostały ujawnione ... Nawet po zmianie na trzecie hasło, łatwo byłoby odgadnąć aktualne hasło, widząc dwa pierwsze.

2) Dodawanie entropii ze względu na entropię może być stratą zasobów, które lepiej przeznaczyć na rozwiązywanie innych problemów bezpieczeństwa. Jeśli zablokujesz system (na przykład w porównaniu z plikiem), większe korzyści uzyskasz, upewniając się, że wszystkie inne drogi ataku są zablokowane ... Oznacza to, że trudne jak skała zapobieganie wszelkim rozległym powtórzeniom zgadywania jest znacznie lepsze niż próbowanie aby stworzyć hasło tam, gdzie potrzeba więcej domysłów.

Jeśli nie masz nic lepszego do roboty, a hasło nie musi być przechowywane w ludzkiej pamięci ani wpisywane (lub przynajmniej nie wpisywane z nieznanych / potencjalnie różnych systemów ) jednak niekoniecznie byłoby szkodliwe.

Nie , nie jest źle używać w hasłach znaków „specjalnych” (lepiej: innych niż ASCII).

Jako użytkownik, jedyne co musisz zrobić, to

1. ufaj witrynie, że nigdy nie pojawi się formularz logowania inny niż UTF-8,
2. upewnij się, że zawsze będziesz w stanie wpisać hasło, gdy zajdzie taka potrzeba więc.

Jeśli wiesz, że może być konieczne wpisanie hasła na obcej fizycznej klawiaturze, musisz być w stanie zapamiętać (lub sprawdzić) położenie klawiszy, które Twoje znaki spoza ASCII (BTW, à na hiszpańskiej klawiaturze to 2 naciśnięcia klawiszy). Jeśli chodzi o układ, cały system operacyjny pozwoli ci to zmienić, więc nie stanowi to problemu.

Zaletą znaków innych niż ASCII jest to, że oprogramowanie do łamania haseł jest mało prawdopodobne, aby IMHO je wypróbowało. Gdyby tak było, zbadałby hasła z mniejszym prawdopodobieństwem, kosztem dłuższych haseł ASCII, które mają większe prawdopodobieństwo użycia.

Rozszerzone ASCII (0-255) jest w porządku, ponieważ i tak możesz je wybrać za pomocą alt + klawiatura numeryczna.

Każdy inny znak spoza rozszerzonego ASCII nie zawsze będzie działał, ponieważ możliwość jej zapisu uzależniona jest od konkretnej konfiguracji systemu. Niektóre systemy mogą być zablokowane / skonfigurowane tak, aby nie zezwalały na nic podobnego do UTF.

Więc jeśli masz określony system i określony język, możesz użyć czegoś specjalnego do logowania, ale jeśli potrzebujesz hasła aby pracować z dowolnego miejsca w dowolnym systemie, ogranicz się do ASCII.

Coś takiego da ci sporo entropii i generalnie nie będzie testowane przez większość brutalnych haseł:

  ≡ ± ≥▀Γ▄  

Wiele lat temu używałem nawet 3-4-znakowych haseł (do rzeczy takich jak dostęp do systemu laboratoryjnego), ponieważ znaków nie było na klawiaturze .

Statystycznie, oprogramowanie do brutalnego wymuszania, które jest przystosowane do określonego regionu, będzie również znacznie bardziej prawdopodobne, że odniesie sukces na UTF-8 w porównaniu do korzystania z rozszerzonego ASCII.

Używam znaków Unicode w hasłach, a czasami zmiana hasła jest blokowana (niedozwolone znaki) lub przechodzi i wymaga ponownej inicjalizacji hasła (problem z kodowaniem). Jest to bardzo zależne od systemu.