Come fa l'indicatore di forza delle password di 1Password a determinare la forza di una password?

Il modo usuale per determinare la forza di una password specifica è quello di sacrificare un pollo e poi leggere le interiora. Ma in 1Password facciamo di meglio. Calcoliamo l'oroscopo del pollo prima di sacrificarlo. Dato che alcuni dei nostri collaboratori sono vegetariani, siamo sempre alla ricerca di approcci alternativi.

Il fatto triste della questione è che i misuratori accurati della forza delle password sono impossibili (a meno di passare anni o decenni a cercare di decifrare la password offerta). La ragione è che la forza di una password dipende in gran parte dal sistema con cui è stata generata. Questo non è qualcosa che può essere determinato con sicurezza ispezionando una singola password.

Così la misura della forza della password in 1Password usa lo stesso tipo di euristica che fanno gli altri. Controlla una lista di 10000 password popolari. Cerca parole semplici e combinazioni semplici. È molto sensibile alla lunghezza della password.

Una ragione per cui sono riluttante ad entrare troppo nei dettagli è che noi armeggiamo con i dettagli. E sicuramente armeggiamo con i limiti per le varie etichette, come "forte". Il misuratore di forza delle password in 1Password 2.5.9 (gennaio 2008) è molto più generoso di quello attuale. Quindi questa è una di quelle parti di 1Password che sono soggette a cambiamenti.

Ci sono molte cose che potremmo fare per renderlo più forte. Potremmo usare qualcosa come PACK password analysis and cracking kit per capire le regole usate per le password più comuni e poi testare le password inviate rispetto a queste regole. Potremmo includere i metodi usati da zxcvbn Dropbox Tech Blog - zxcvbn: stima realistica della forza delle password e ci sono altre intelligenze aggiuntive che possiamo costruire nel sistema.

La ragione per cui non abbiamo fatto molto di tutto ciò è a causa dei rendimenti marginali decrescenti. Ogni controllo aggiuntivo che inseriamo aggiunge complessità al codice e rallenta le cose, ma fa un miglioramento relativamente piccolo nei risultati effettivi.

Quindi la cattiva notizia è che non importa quanto sia intelligente il vostro misuratore di forza delle password, sarà limitato nella sua precisione. La buona notizia è che i misuratori di forza delle password, per quanto imperfetti, aiutano le persone a selezionare password migliori. È ufficiale: I misuratori di forza delle password non sono il teatro della sicurezza

C'è un miglioramento che vorrei vedere nel nostro misuratore di forza. Dovrebbe distinguere tra le password create con 1Password's Strong Password Generator e tutto il resto. Per le cose create con lo Strong Password Generator, possiamo calcolare la forza precisa. E qualsiasi, diciamo, password di 16 caratteri creata con il nostro generatore di password (anche se limitata alle sole lettere) sarà enormemente più forte di qualsiasi password creata dall'uomo.

Ma fino ad allora, dobbiamo sintonizzare il generatore sotto il presupposto che le persone stanno inventando le password da testare. Questo sottovaluta drammaticamente la forza delle password create con il nostro generatore di password.