Интересует вопрос, насколько более/менее стойким является пароль вида DQGI5p8VRk (случайным образом сгенерированный) по сравнению со, скажем
Jlyf;lsdcnel`ye.pbvy..gjhezbpktcedsitk,skcbkmysqvjhjp (Однажды в студёную зимнюю пору...)
более запоминаемым.
Есть ли на этот счёт какое-нибудь авторитетное мнение ?
По моему, безусловно авторитетному, мнению, в данном случае сказать сложно. Ибо слишком сильно различаются длины паролей. Но имейте в виду: в библиотеках для подбора паролей есть русские слова "в неправильной раскладке" и много других интересных вещей.
Anton
Стойкость напрямую зависит от энтропии. В первом случае эта степерь выше (хотя тут еще надо принимать во внимание источник генерации).
По идее, пароли, имеющие какой-либо смысл, ломаются перебором значащих слов.
DQGI5p8VRk
[a-zA-Z0-9]
26*2 + 10 = 62 вариантов
Итого: 62^10 = 839 299 365 868 340 200 = 8.39 * 10^17 разных паролей
Предположим, что можно проверять 100 000 паролей в секунду (что на самом деле сомнительно), получим: ~265958 лет на гарантированный подбор 
И это с учетом того, что точно известна длина пароля.
В общем случае
62^1 + 62^2 + ... + 62^10 = 853 058 371 866 181 900 = 8.53 * 10^17
Для второго случая надо знать язык фразы.
Допустим, точно известно, что это русский.
В имеющимся у меня под рукой орфографическом словаре ~110 000 слов (и это без словоформ, как я понимаю).
Часть из них, конечно, редкие.
Если не учитывать возможность генерации «разумных» фраз (хотя есть прецеденты ), впрочем, по идее, запоминать можно и не связанные напрямую слова:
1 – 9 слов, всего 50 000 разных слов.
Получаем:
50000^1 + 50000^2 + ... + 50000^9 = 1.95 * 10^42
При возможности набора в другой раскладке количество вариантов удвоится.
По сути все упирается в возможность перебора не всех слов подряд, а только фраз со смыслом (а оцифровать ассоциативный смысл, по-моему, весьма проблемно). И оценить это проблематично.
Вот такая ни на что особо не претендующая арифметика
Хотя я предпочитаю случайные буквоцифры разного регистра – их быстрее набирать (а на память я пока не жалуюсь ).
Вообще, была одно время идея запоминать один «базовый» пароль, а дальше к нему прибавлять некое несложное (производимое без особых затруднений в уме) преобразование от домена и никнейма.
Благодарю за предложенные мнения.
Немного расширил представление о предметной области.
Несколько укрепился в априорном убеждении о большей стойкости первого варианта, несмотря на то, что расчёты свидетельствуют в пользу второго. Просто, подразумевались осмысленные легкозапоминаемые тексты.
Идея использования неосмысленного набора слов кажется перспективной с точки зрения запоминания (слова - это "крючочки" за которые цепляются мысли, а буквы с цифрами ещё не слова), но чёрт его знает.
P.S. http://s58.radikal.ru/i162/0811/e5/497fd8a6f6de.jpg
И в этом случае первый вариант кажется более стойким. Его напрочь забыть проще )
зачем такие сложные пассы?!,...такие ломаются пинчем...зачем насиловать свой мозг? пинча проще подкинуть
На CUDA для mysql4 хэша - проверяется на тачке за 1000$ нескольско сот миллардов пассов/сек. Для мд5 - 1 миллиард можно сделать.
Ну, еще все зависит от времени, которое затрачивается на определение, подошел пасс или нет.
Скажем, для большого запароленного архива это время должно быть больше, нежели для мелкого.
А с паролем к сайту надо еще затратить время на отправку запроса.
Я сомневаюсь, что меня будут пытаться «вскрыть» серьезные дяди, так что пока моя паранойя развилась только до 12-ти случайных буквоцифр разного регистра. Точнее, почти случайных – из сгенерированного набора выбирается более «благозвучный».
Идея использования неосмысленного набора слов кажется перспективной с точки зрения запоминания (слова - это "крючочки" за которые цепляются мысли, а буквы с цифрами ещё не слова), но чёрт его знает.
Я имел в виду, что ассоциативные и прочие нелинейные связи навряд ли можно успешно оцифровать в виде алгоритма подбора.
Соответственно, есть смысл использовать «нелогичные» комбинации.
P.S. Из справки к 7-Zip (подчеркивание мое; переводить лень):
Here is an estimate of the time required for an exhaustive password search attack, when the password is a random sequence of lowercase Latin letters.
We suppose that one user can check 10 passwords per second and an organization with a budget of about $1 billion can check 10 billion passwords per second. We also suppose that the processor in use doubles its performance every two years; so, each additional Latin letter of a long password adds about 9 years to an exhaustive key search attack.
The result is this estimate of the time to succeed in an attack:
Выделить кодКод:
Password Length Single User Attack Organization Attack 10 37 years 4 hours 11 46 years 4 days 12 55 years 4 months 13 64 years 4 years 14 73 years 13 years 15 82 years 22 years 16 91 years 31 years 17 100 years 40 years
Сегодня почувствовал себя блондинкой — менял пароль и два раза одинаково опечатался. Пароль поменялся, а войти не могу, потому что не знаю, какую именно букву неправильно набрал. Пришлось идти на поклон к администратору. Бывают случаи, когда слепой набор — зло.
Erik
Ну, да, но не все могут. К тому же, в переводе есть ссылка на оригинал, тогда как обратное неверно.
Erik
Зачем? Если перевод нормальный (-:Е
Сам-то я подписан на родное RSS, но не из принципа, а потому что раньше и полнее.