Почему слабые пароли с повторяющимися подстроками?

Question

На многих веб-сайтах есть инструмент проверки надежности пароля , который сообщает вам, насколько надежен ваш пароль

Допустим, у меня есть

st4cK0v3rFl0W

, который всегда считается супер сильным, но когда я делаю

st4cK0v3rFl0Wst4cK0v3rFl0W

это внезапно супер слабый. Я также слышал, что когда пароль имеет небольшую повторяющуюся последовательность, он намного слабее.

Но как может второй быть слабее первого, когда он вдвое длиннее?

Answer 1

Похоже, что проверка надежности пароля имеет недостатки. Полагаю, это не большая проблема, но повторный надежный пароль не слабее исходного пароля.

Answer 2

Мне кажется, просто проверить, кто-то нападает на ваш пароль. Попытка удвоить и утроить каждый пароль тоже только удвоит или утроит работу. Однако включение в пароль более вероятных символов, таких как знаки пунктуации, значительно усложняет взлом вашего пароля.

Однако на практике почти каждый неочевидный (читай: непроницаемый для атак по словарю [да, включая 1337 словарное слово]) пароль с 8 или более символами можно считать достаточно безопасным. Как правило, это гораздо меньше работы, чтобы каким-то образом спроектировать ее у вас или просто использовать кейлоггер.

Answer 3

Алгоритм не работает.

Либо использует обнаружение дублета и немедленно списывает его как плохой. Или вычисляет силу, которая некоторым образом зависит от длины строки, и повторяющаяся строка слабее, чем сопоставимая полностью случайная строка равной длины.

Answer 4

Я полагаю, потому что вам нужно ввести пароль два раза с помощью клавиатуры, так что для этого может быть, если кто-то перед вами заметит это.

Answer 5

Лучшая причина, о которой я мог подумать, - это Электронное руководство по аутентификации , опубликованное NIST. Это дает общее правило о том, как оценить энтропию в пароле.

Длина является лишь одним из критериев энтропии. Также существует набор символов пароля, но это не единственные критерии. Если вы внимательно прочитаете исследование Шеннон о паролях, выбранных пользователем, вы заметите, что более высокая энтропия присваивается начальным битам и меньшая энтропия последним, поскольку вполне возможно вывести следующие биты пароля из предыдущего. 1005 *

Это не означает, что более длинные пароли являются плохими, просто длинные пароли с плохим выбором символов с такой же вероятностью будут слабыми, как и более короткие пароли.

Answer 6

Это может быть ошибкой при проверке надежности пароля - он распознает шаблон ... Шаблон не подходит для пароля, но в этом случае это шаблон на сложной строке ... Другой причиной может быть один указал ответ от Wael Dalloul : Кто-то может увидеть повторный текст, когда вы наберете его Любые шпионы имеют два шанса увидеть, что вы печатаете ...

Answer 7

Хотя на практике более длинный, вероятно, сильнее, я думаю, что могут быть потенциальные недостатки, когда вы начинаете понимать, как работают шифрование и шифры ... возможно ...

Кроме этого, я бы повторил другие ответы о том, что используемый вами инструмент проверки силы не очень точно учитывает все аспекты.

Просто мысль ...

Answer 8

Полагаю, он может генерировать более "очевидный" хеш.

Например, abba -> a737y4gs, но abbaabba -> 1y3k1y3k, если это глупый пример, но идея состоит в том, что повторяющиеся шаблоны в ключе сделали бы хэш менее «случайным».