Byłem ciekawy tego samego, więc umieściłem Gbt3fC79ZmMEFUFJ w Google i no! i oto znalazł coś, co nie było tylko parafrazą porady „Nie używaj tego hasła” - samo hasło zostało osadzone w przykładowym kodzie źródłowym , który pokazał, jak można wysłać hasło do serwera ! ( link do strony i zrzut ekranu poniżej)

Myślę więc, że prawdziwym celem tych porad jest nie to, że Gbt3fC79ZmMEFUFJ jest tajemniczo słabym hasłem z powodu układu klawiatury lub z powodu niskiej entropii lub dlatego, że nie zawiera symboli, Unicode, emoji lub cokolwiek innego: po prostu przypomina, że ​​nigdy nie powinieneś używać hasło, które gdzieś zostało opublikowane, zwłaszcza takie, które zostało opublikowane jako hasło „przykładowe”!

[ Aktualizacja: Celowo jest to zrzut ekranu, a nie fragment kodu; zawartość kodu jest znacznie mniej ważna niż sprawdzenie, jak wyglądał on dosłownie na czyjejś stronie internetowej! ]

Jak zauważyłeś, nie ma żadnych symboli, co czyni je słabszym niż hasło o podobnej długości, ale nie ma innej „oczywistej” usterki tego hasła. Hasło nie musi zawierać symboli, aby było silne, o ile jest wystarczająco długie ( obowiązkowy link XKCD).

Ale teraz, gdy to hasło pojawia się w postaci zwykłego tekstu na stronie internetowej (poświęconej hasłom), prawdopodobnie niektórzy atakujący umieszczą je w swoim słowniku. W końcu mogą istnieć użytkownicy mniej biegli w języku angielskim lub odważni, którzy nadal używają tego hasła, ponieważ wygląda ono losowo i dość długo. W ten sposób powiedzenie „Gbt3fC79ZmMEFUFJ to słabe hasło” jest rodzajem samospełniającej się przepowiedni.

Nie ma nic złego w tym haśle, poza tym, że zostało opublikowane w internecie. Hasło składa się z 16 znaków składających się z różnych wielkich i małych liter oraz cyfr. Odpowiada to przestrzeni wyszukiwania 62 ¹⁶ , czyli około 95 bitom entropii. To jest ogromne i nie można go brutalnie wymusić.

Dlaczego więc autor tej witryny uznał to za złe hasło? Jest mało prawdopodobne, aby powodem było opublikowanie w Internecie. Uwzględniono również listę „dobrych haseł”, które oczywiście są również publikowane w Internecie, co czyni je natychmiast „złymi hasłami” przy użyciu tego sposobu myślenia.

Najbardziej prawdopodobnym scenariuszem jest to, że autor nie rozumie entropię hasła i uważa, że ​​hasła MUSZĄ zawierać znaki specjalne. To jest po prostu fałszywe. Entropia jest funkcją liczby możliwych symboli ORAZ długości.

Jeśli jest generowana losowo, entropia (w bitach) może być obliczona przez log ₂ (liczba- symbole ^długość ). W przypadku alfanumerycznych ze zmienną wielkością liter jest to po prostu log ₂ (62 ¹⁶ ) lub około 95.

Pocieranie jest oczywiście najbardziej hasła NIE są generowane losowo, więc ta prosta formuła często nie jest przydatna.

Wygląda na to, że hasło składa się z ciągów losowo wpisanych znaków na klawiaturze QWERTZ / QWERTY / AZERTY, które są silnie zgrupowane. Jest to najbardziej widoczne na klawiaturze QWERTZ:

Obraz na podstawie KB Germany.svg z Wiki Commons.

Tutaj kolorowy klawisze to te z hasła, których odcień wskazuje jego pozycję w haśle (od niebieskiego do zielonego). Widzisz, że znaki skupiają się razem, co jest jeszcze bardziej widoczne w przypadku znaków o podobnym odcieniu (tj. znaków, które są zbliżone do siebie w haśle). Oprócz tego wydaje się, że klastry zbierają się w pobliżu pozycji początkowej na klawiaturze.

Muszę przyznać, że nie mam wystarczającej wiedzy na temat oprogramowania do łamania haseł / baz danych haseł, aby jednoznacznie stwierdzić, czy takie klastry są wzięte pod uwagę, ale przynajmniej zauważyłem siebie , kiedy próbowałem wpisywać losowe znaki na klawiaturze, że tak naprawdę nie wychodzą one w końcu bardzo przypadkowo. A jeśli to zauważyłem, prawdopodobnie zrobił to jakiś autor bazy haseł.

Cały akapit to:

5. Nie używaj żadnego słowa ze słownika w swoich hasłach. Przykłady silnych haseł: ePYHc ~ dS *) 8 $ + V- ', qzRtC {6rXN3N \ RgL, zbfUMZPE6`FC%) sZ. Przykłady słabych haseł: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.

Wygląda więc na to, że powinno to być przykład złego hasła, ponieważ używa „słów słownikowych” . Na pierwszy rzut oka nie mogę rozpoznać tam żadnych słów. Próbowałem jednak poszukać jej części w Wikipedii (w języku angielskim) i wygląda na to, że są tam artykuły dotyczące wszystkich jej części.

GBT, 3f, C79, Zm, MEF, UFJ.

Jednak być dość naciąganym. To tak, jakby powiedzieć, że biorąc pod uwagę Wikipedię jako słownik słów, sześciowyrazowe hasło byłoby niebezpieczne. Nie ma mowy! 6-wyrazowe hasło z przypadkowymi wpisami z Wikipedii byłoby bardzo bezpieczne.Oczywiście można powiedzieć, że to hasło jest teraz niepewne, ponieważ zostało zapisane w Internecie, ale byłoby to prawdą w każdym innym możliwym przykładzie, nawet w przykładach silnych haseł. Próbowałem również sprawdzić to na haveibeenpwned, a wynik był następujący: „To hasło nie zostało znalezione w żadnym z haseł Pwned załadowanych do Have I Been Pwned”. Innym wyjaśnieniem, które jest prawdopodobnie prawdziwym powodem, dla którego podano ten przykład, jest to, że hasło można znaleźć online w jakimś kodzie, jeśli go wygooglujesz ( patrz tutaj), jak wskazano w innej odpowiedzi. Zatem przez „hasło słownikowe” autorzy mogli mieć na myśli „każde hasło, które kiedykolwiek zostało gdzieś zapisane, w tym w internecie”. Jest to jednak znowu bezsensowna rada: jak masz się do niej stosować? Czy powinieneś zacząć szukać swojego hasła w wielu miejscach (w tym w Google, może nawet zostawiając ślady w historii), aby upewnić się, że już się nie pojawiło? To nie brzmi jak świetna rzecz.

Podsumowując: to zły przykład i został podany w złym kontekście. Ludzie zobaczą to i zinterpretują to w stylu „o, nie ma symboli, powinienem używać symboli”. Prawdziwy powód, dla którego został umieszczony na tej liście, jest jednak nieznany i wydaje się, że nie ma wyjaśnień, które naprawdę miałyby sens. Jeśli ktoś chciałby stracić trochę czasu, mógłby spróbować skontaktować się z właścicielem tej witryny i zapytać go.

To jest mylące stwierdzenie. W praktyce „Gbt3fC79ZmMEFUFJ” jest silnym hasłem. Nie złapie go nic poza atakiem brutalnej siły (bez słów ze słownika) i ma szesnaście znaków, co jest znacznie powyżej powszechnych standardów, które widzę (8 lub 6). To hasło może zostać uznane za słabe tylko wtedy, gdy osoba atakująca w jakiś sposób wie, że nie użyto żadnych symboli. Jeśli konto, do którego to hasło jest dołączone, publicznie zawiera tekst „tylko cyfry i duże / małe litery”, to hasło może wydawać się słabsze, aby zrobić przykład, ale w rzeczywistości jest lepsze niż hasło 8-cyfrowe.

Zatem dla 16-znakowego hasła składającego się z wielkich liter, małych liter i cyfr 0-9, entropia wynosi 62 ¹⁶ = (48 × 10 ²⁷ ) w porównaniu z 8 Hasło ze wszystkimi znakami (przyjmiemy nawet, że 96, a nie 72 znaki) to 96 ⁸ = (7 × 10 ¹⁵ ). To ogromna różnica.

Przyczyną tego zamieszania jest przykład nadmiernego uproszczenia podstawowych porad dotyczących używania wielkich liter, małych liter, cyfr i symboli. W rzeczywistości długość hasła jest znacznie bardziej krytyczna, a także w praktyce atakujący nie byłby w stanie wiedzieć, że pełny zestaw znaków nie był używany i nadal musiałby brutalnie użyć siły 96 ¹⁶ .

Chociaż Gbt3fC79ZmMEFUFJ to z pewnością kiepski wybór hasła teraz , widząc, że Twoje pytanie wygenerowało dużą aktywność na Stack Exchange i dlatego szeroko opublikowałem hasło, ja nie myśl, że istnieje jakikolwiek dostrzegalny powód, dla którego możemy wskazać, dlaczego ta witryna miałaby przede wszystkim powiedzieć, że jest zła, ponieważ, szczerze mówiąc, nie jest to wiarygodne źródło.

Ponowne czerpanie z wydaje się być luźno zorganizowaną listą wskazówek dotyczących bezpieczeństwa o niskiej lub średniej jakości. Niektóre wskazówki są dobre (np. Używaj uwierzytelniania dwuetapowego, gdy tylko jest to możliwe, blokuj komputer i telefon komórkowy, gdy je zostawiasz), ale niektóre z nich zostały zakwestionowane przez ekspertów ds. Bezpieczeństwa (np. Zmieniaj hasła co 10 tygodni, używaj co najmniej jedna wielka / mała / cyfra / symbol) i całkiem sporo wydaje się wręcz paranoidalnych (np. wskazówka 22, która mówi, że jeśli masz router Wi-Fi w domu, pobliscy atakujący mogą wykryć, jakie hasła wpisujesz, z powodu zmian w Sygnał Wi-Fi z poruszania rękami i że użycie klawiatury ekranowej z losowymi układami złagodzi to).

I chociaż prawdopodobnie nie jest problemem, większość wskazówek jest słabo sprawdzonych (z wieloma pisowniami błędy i niespójności interpunkcyjne), jest to problem, że absolutnie żadna ze wskazówek nie jest cytowana , a cała witryna jest anonimowa. Nie ma cytatów ekspertów ds. Bezpieczeństwa, żadnych artykułów, w których moglibyśmy przeczytać dalsze informacje lub dyskusje. Witryna nie zawiera żadnych informacji o autorze - nigdzie na stronie, ani nawet w rejestracji Whois na stronie, nie ma sposobu, aby skontaktować się z autorem, ani nawet wiedzieć, kim on jest.

Zasadniczo oznacza to, że nie mamy żadnego sposobu na określenie, jak dobra jest wskazówka „ Gbt3fC79ZmMEFUFJ to słabe hasło”, a nawet co to oznacza. Z pewnością nie mamy możliwości skontaktowania się z autorem tej witryny i zadawania im pytań, a właściwie wątpię, czy byłoby to przydatne. Myślę, że najlepiej jest zignorować tę sugestię, biorąc pod uwagę tylko fakt, że Gbt3fC79ZmMEFUFJ nie powinno być używane, ponieważ rozmawialiśmy o tym w tak obszerny sposób.

TL ; DR: Passwordsgenerator.net to kolejny anonimowy nieznajomy w Internecie - po prostu go zignoruj.

Jako dodatek możesz być zainteresowany innymi rzeczami, które znalazłem, gdy byłem sprawdzenie samej witryny, aby uzyskać lepszy kontekst na temat tego, czym była i być może znaleźć więcej informacji na jej temat. To, co znalazłem, nie było przyjemne:

• Witryna zapewnia opcję (domyślnie zaznaczona, ale nadal), aby nie generować hasła na serwerze. Spojrzałem na kod źródłowy i widok ruchu sieciowego w oknie narzędzi deweloperskich i faktycznie spełnia to żądanie, ale nie ma sposobu, aby stwierdzić, że faktycznie to robi bez czytania.
• Użytkownicy generatora Math.random () ! Math.random () to niezabezpieczony kryptograficznie generator liczb losowych, dzięki któremu wygenerowane hasła są zaskakująco przewidywalne i w rzeczywistości są o wiele mniej liczne, niż można by sądzić - na przykład , jeśli Twoja implementacja Math.random () ma tylko 32 bity stanu, to niezależnie od ustawień, których używasz, można wygenerować tylko 4 miliardy unikalnych haseł, co oznacza, że ​​dowolna liczba znaków powyżej 7 lub tak jest bez znaczenia. Prawdziwy generator haseł losowych powinien zamiast tego używać wywołania window.crypto.getRandomValues ​​() , które pobiera każdy bit hasła z prawdziwego źródła entropii gdzieś w komputerze .
• Generator haseł również jest dziwnie umieszczony na stronie - kod samego generatora jest zminimalizowany, ale kod do jego konfiguracji nie. Wygląda to prawie tak, jakby autor witryny skopiował zminimalizowany moduł hasła z innego źródła, na przykład z innej witryny internetowej.
• Witryna również z dziwnych powodów próbuje korzystać z Google Ads. W rzeczywistości ich nie wywołuje - ma tylko podpis na dole służący do dodawania identyfikatora Google Ads do obiektu window - ale każda obecność rzeczywistych reklam może również naruszyć wszelkie dane wprowadzone na stronie , nawet jeśli strona jest udostępniana przez HTTPS.

Większość ludzi została rozproszona przez siłę / entropię hasła (wygląda na to, że większość menedżerów haseł mogłaby wypluć). Powodem, dla którego wynik znajdujący się u góry odpowiedzi osłabia Twoje hasło, jest to, że prawie na pewno jest częścią bazy danych znanych haseł

„Jest zupełnie inny niż był [wcześniej] z powodu tych ogromnych list haseł ”- powiedział Rob Graham, dyrektor generalny firmy Errata Security zajmującej się testami penetracyjnymi. „Nigdy nie mieliśmy naprawdę dużej listy haseł, na której mogliśmy pracować. Teraz, kiedy już to zrobiliśmy, uczymy się, jak usunąć z nich entropię. . ”

Jeśli ktoś wykroczy naruszenie bezpieczeństwa danych, crackerzy zaczną od znanej listy haseł i zaczną działać wstecz. Dlatego menedżerowie haseł są nowym standardem bezpieczeństwa: za każdym razem generujesz losowe i unikalne hasło.

Mocne lub słabe jest w pewnym sensie arbitralne, ponieważ opiera się na czasie, jaki zajęłoby przypadkowe odgadnięcie, co jest funkcją entropii hasła. Możesz wydłużyć to, zwiększając długość znaków lub zwiększając pulę znaków, które mogą znajdować się w haśle.

W podanym przykładzie to tylko górne / dolne / cyfry, więc jest to zestaw znaków 62. Jest 16 znaków, czyli 62 ¹⁶ możliwych do przewidzenia kombinacji. Dodanie specjalnych symboli (powiedzmy 10), które zwiększają kombinacje do 72 ¹⁶ .

Próbowanie każdej kombinacji jest trochę naiwne, ale jest to najdroższy atak, więc masz podstawy do działania.