Riprendo questa domanda di France per postare questo articolo (lungo e in inglese) che fa vedere come tre "crackers" cercano di scoprire password una volta che un sito viene bucato e gli hash delle password recuperati.France wrote:mi sono letto l'articolo e ho una domanda: Ma bisogna avere una certa proporzione fra tutti i tipi di caratteri o basta averne uno per ogni tipo e per il resto usare lettere?
Per riassumere usano un approcio a "passi". Pima provano TUTTE le combinazioni di 6 caratteri (tutti i caratteri!), poi tutte le combinazioni di 8 lettere maiuscole o di 8 lettere minuscole, poi tutte le combinazioni di 12 numeri. Il numero di combinazione e' "relativamente" modesto e un computer moedrno ci mette pochi minuti. Poi passano a cose un po' piu' raffinate: Parole. Combinazioni di 2 parole (ovviamente con tutte le dovute sostituzioni a = @ = 4 = A) poi parole con cifre alla fine (France8576 e' piu' comune di frA8n5c76e anche se, dal punto di vista dell'entropia assolutamente analoghe) poi password piu' lunghe mettendo regole (parola con maiuscola all'inizio, numeri alla fine) e poi con metodi statistici molto raffinati.
Nell'articolo, i tre crackers sono riusciti a craccare dal 62 al 90% delle password sniffate in poche ore. In parte perche' il sito non era particolarmente diligente, ma purtroppo, normalmente noi non abbiamo modo di sapere quanto diligente e' il sito a cui diamo le nostre password.