J'ai récemment reçu une recommandation pour définir mon mot de passe de plus de 20 caractères. L'algorithme utilisé pour le cryptage est une clé primaire de 256 bits. Comment est sécurisé A, disons, 8 de mot de passe de caractère contre des attaques de force brute pour déchiffrer des fichiers cryptés?
Je sais que cela est considéré comme une bonne taille de mot de passe sur la plupart des sites Web. Une des raisons est qu'ils peuvent arrêter une attaque après 3 témoins.
C'est un article intéressant http://www.lockdown.co.uk/?pg=combi&s=Articles Il détaille la durée de la durée théoriquement à la force brute un mot de passe pour différentes longueurs et ensembles de symboles.
Vous voudrez peut-être signaler quiconque a écrit cette politique à ce blog post de Bruce Schneier .
C'est une bonne écriture de la raison pour laquelle la force des mots de passe est la moindre des problèmes de quiconque sur le Web.
Considérez qu'un mot de passe à huit caractères peut être rappelé. Un mot de passe de 20 caractères Will être écrit.
Et puis quelqu'un peut le lire.
Vous pouvez être intéressé par l'article " mots de passe VS PassPhrases ". Leur conclusion est qu'un mot de passe de 9 caractères totalement aléatoire est à peu près équivalente à une phrase de passe de 6 mots. Mais ils sentent qu'une phrase de 6 mots serait plus facile à retenir.
Il y a la sécurité que vous obtenez de la communication client/serveur, par ex. Comme vous l'avez dit, lorsque vous êtes capable d'arrêter les attaquants après 3 tentatives (lorsqu'ils attaquent le réseau, comme avec des applications Web). Avec ce scénario, presque toutes les longueurs de mot de passe peuvent être considérablement suffisantes.
Si toutefois un initié attrape cette base de données avec des mots de passe courts hachés et est capable de contourner la limitation "sur la nette" de 3 tentatives, le jeu change.
Une mise en garde avec limitation du nombre de tentatives par compte est que cela suffira uniquement pour des tentatives ciblées sur un compte spécifique. Vous devez également vous protéger contre l'attaque sur tous les comptes avec un mot de passe donné (ou permuté) - cela ne déclenchera aucune alarme lorsque vous limitez le nombre de tentatives par compte. Compte tenu d'aujourd'hui NAT et Botnets, vous ne pouvez même pas affirmer que la limitation du nombre de tentatives par propriété intellectuelle est une bonne façon de penser la sécurité.
Les bonnes ressources pour la lecture ont déjà été données dans d'autres réponses.