Les mots de passe leet sont-ils facilement craquables?
Créer un mot de passe fort ET s'en souvenir, c'est comme manger en parlant. Vous étouffez. Donc, la même chose peut se produire si vous avez un p455w0 (R). | L1K3thys et que quelqu'un le craque. Je ne suis pas sûr que ce soit vrai. Ces mots de passe leet sont-ils plus craquables que les mots de passe complètement aléatoires créés par un générateur de mots de passe aléatoires? Existe-t-il des crackers de mot de passe leet? Existe-t-il un moyen de simuler en toute sécurité un test de pénétration sur certains mots de passe leet hors ligne?
Je pense que réponse de Trey Blalocks est génial, mais j'aimerais le compléter avec quelques calculs.
Si votre mot de passe est choisi au hasard dans 171 476 mots dans le Oxford English Dictionary vous obtenez log2 (171476) ou environ 17,4 bits d'entropie.
Supposons qu'il existe environ 4 substitutions naturelles de leet dans le mot moyen. Aléatoirement, faire ou ne pas faire chaque substitution ajoute un bit, donc ajouter le leet augmenterait l'entropie de 4 bits, ce qui signifie qu'il faut 16 fois plus de temps pour se fissurer. (Si vous utilisez simplement leet pour toutes les substitutions disponibles, vous ajoutez simplement un bit - le mot de passe est soit leet soit leet.)
D'un autre côté, un mot de passe alphanumérique à 8 caractères complètement aléatoire (majuscules et minuscules) a log2 (62 ^ 8) ou environ 47,6 bits d'entropie. Cela signifie qu'il faut un peu plus d'un milliard de fois pour se fissurer!
Donc, ajouter le leetspeak est légèrement mieux que de simplement prendre un mot anglais, mais ce n'est pas aussi bon que de randomiser.
Les bibliothèques de craquage incluent des algorithmes de substitution Leet courants et il existe des dictionnaires Leet qui peuvent être utilisés par des outils comme Hydra. Il existe également des outils pour convertir un dictionnaire entier de mots en "Leet-speak"
Plus important encore, des hachages sont disponibles pour les mots de passe Leet et les variantes Leet Word les plus courants.Par conséquent, si quelqu'un déchiffre un grand vidage de mot de passe de ceux-ci contre un très grand ensemble de mots pré-hachés qui incluent les mots de passe Leet en cours d'utilisation, ils sont très susceptibles de trouver des correspondances.
Enfin, une meilleure façon de déterminer les conséquences réelles pourrait être de regarder les vidages de mots de passe qui se sont déjà produits et qui comprenaient également des mots de passe Leet. La preuve de leur craquage est visible dans un fichier de mots de passe du monde réel qui est devenu public. De même, leur présence dans les tables de hachage communes (MD5 et SHA1) leur donnerait également la possibilité de se fissurer facilement.
Obligatoire et extrêmement pertinent XKCD référence: - 
Ce que je suis enclin à faire, c'est de combiner les deux approches mais je ne pense pas que cela fasse une tonne de différence. Une autre approche consisterait à utiliser la première lettre de chaque mot dans un poème ou une chanson préférée. NGGYUNGLYDNGRAADY etc ...