Senhas - O Velho paradigma

Lendo isso aqui:

http://meiobit.com/333616/google-testes-metodo-login-sem-senha-notificacao-smartphone/

Mais precisamente essa imagem:

http://meiobit.com/wp-content/uploads/2015/12/20151223xkcd-password.jpg

Deixo a questão aqui para discussão.

* Senhas "sem sentido" e longas como T-r@5(D*9... ou com base em frases: Meu Cachorro Veio de 1956 em um Foguete as 15:59 = MaVe195mFog:59.

Se o cara usa um dicionário e o poder de processamento de uma CPU + GPU, tenho a leve impressão que as senhas formadas com frases vão cair primeiro.
Já as senhas senhas "sem sentido" tem uma chance maior de sobreviverem, ou seja, vão "resistir" mais.
Embora, a ideia é na maior parte das vezes, é gerar a mesma hash que a da senha ;).

T+

Então Freud, eu acho que depende do ambiente que você vai trazer como exemplo.

Eu acredito que uma wordlist bruta, sem polimentos como a que se pode fazer com o cupp.py, o que vai valer no fim das contas é a extensão, teve uma vez, num site da intel se não me recordo. Tinha uma área onde pedia uma senha qualquer pra verificar o nível de segurança dela. Lembro de ter quebrado a cabeça, feito um negócio seguindo o padrão que você deu como exemplo de senha segura, e no fim me deu como aval um bom nivel de segurança, agora na segunda verificação por minha parte eu fiquei segurando a tecla "a" por uns 5 minutos, dei enter. Disse que levaria mais de 1 trilhao de anos pra quebrar a senha. Eu acredito a segurança de uma senha é relativa ao metodo que vai ser utilizado para sua quebra.

ps: Já tinha visto essa imagem, foi assim que eu incentivei o pessoal aqui em casa a ter senhas mais extensas, não é a solução pra qualquer problema do tipo, mas é no minimo algo melhor do que abc123zxy.

Bacana o tópico, gostei.
432Hz

Muito relativo. Como foi dito, depende do método que vai ser usado, mas com certeza as senhas mais longas, com mais de 20 caracteres como uma simples frase, levarão mais tempo para serem descobertas ;)

Pra força bruta não importa a aleatoriedade dos caracteres, mas a extensão da senha. Supondo ASCII apenas, para cada entrada de caractere há 128 possibilidade (256 com ASCII expandido). Portanto se a extensão da senha não for conhecida de antemão a força bruta irá testar todas as combinações de um caractere, todas as de dois caracteres, e assim em diante até achar a senha. Você não quebra via força bruta uma senha como a minha (a do VOL tem singelos 30 caracteres, mas a do e-mail pessoal são 92) sem um bom computador...
--
Luís Fernando Carvalho Cavalheiro
Public GPG signature: 0x246A590B
Só Slackware é GNU/Linux e Patrick Volkerding é o seu Profeta

Teoricamente, a aplicação/server deveria proibir mais que X tentativas de se logar em um serviço vindo de um determinado ip usando senhas erradas, pelo menos é assim que deveria ser feito por um desenvolvedor sério, os ataques de força bruta em serviços web acontecem ou por senha extremamente podre ou por alguma brecha encontrada no serviço.

Ou seja, as senhas tem que a cada dia ficarem maiores.

T+