设置一个强密码并记住它就像说话时吃饭。你cho因此,如果您有p455w0(R)。| L1K3thys,并且有人破解了它,则可能会发生同样的事情。我只是不确定这是否是真的。这些leet密码是否比随机密码生成器生成的完全随机密码更容易破解?那里有leet密码破解者吗?有没有一种方法可以安全地模拟一些离线的leet密码的渗透测试?

评论

“那里有leet密码破解者吗”,写一个并使用大单词列表真的很简单。
每当我读到有关密码强度的任何信息时,我都会自动想到:xkcd.com/936
轻声说话看起来像一组简单的替代:当您破解密码时,您将使用字典和一组规则/转换。我在潜水规则集中搜索了hash的se3(用3替换e),这是出现在“ sa @ sc
xkcd 936解释
Diceware是生成这些“ xkcd”类型密码的理想站点/方法:world.std.com/~reinhold/diceware.html

#1 楼

我认为Trey Blalocks的答案很好,但我想用数学补充一下。熵的17.4位。

让我们假设平均单词中大约有4个自然的leet替换。随机进行或不进行每个替换都会增加一位,因此添加leet会使熵增加4位,这意味着破解所需的时间是16倍。 (如果仅将leet用于所有可用替换,则只需添加一位-密码为leet或不为leet。)另一方面,完全随机的8个字符的字母数字(大小写) )密码具有log2(62 ^ 8)或大约47.6位的熵。这意味着破解需要花费十亿倍以上的时间! >

评论

当他们告诉您随机字符串太难记时,您可以告诉他们有关密码管理器的知识,以及一点点责任,您将变得更加安全,并且加倍……再也不会忘记密码了!

– corsiKa
16-10-17在15:52
我已经看到许多密码在所有位置而不是在任意数量的位置使用此替换,并且值得一提的是,这会增加0位的熵。

–查尔斯
16-10-18在18:20
@Charles我在回答中争论说它增加了一个,因为每个人都不会这样做。但是另一方面,如果攻击者知道您这样做,那么我同意它为零。

–安德斯
16-10-18在18:36
@Anders是的,同意,这只是您对可能的密码所做的假设。

–查尔斯
16-10-18在18:42
除了leet每个字母都有几种可能的替代方式,而不是您所假设的四种。请参阅robertecker.com/hp/research/leet-converter.php。显然,如果使用他的“基本leet”设置,那只是熵。 βμ+!ƒΨøμρℓαΨαЯøμηÐω!+н+н€+αβℓ€,!+ (请注意,并不是我能记住所有这些替换规则或键入所有那些特殊字符。)

–约翰·迪特斯
16-10-18在22:40


#2 楼

破解库确实包含通用的Leet替换算法,并且有Hyet字典可供Hydra之类的工具使用。还有一些工具可以将整个单词词典转换为“讲方言”

更重要的是,哈希可以用于最常见的Leet密码和Leet单词变体,因此,如果有人破解了这些针对的是非常大量的预哈希词,其中包括使用的Leet密码,因此很可能找到匹配项。

最后一种确定实际后果的更好方法可能是查看已经发生的密码转储,其中也包括Leet密码。在公开的现实世界密码转储中可以看到它们被破解的证据。同样,它们在公共哈希表(MD5和SHA1)中的存在也可能使它们容易被破解。

评论

“在公开的现实世界密码转储中可以看到它们被破解的证据”-随机猜测已被破解,并且发现它对应于泄漏的数据库中至少有一个不加盐分的实际用户?这就是为什么你加盐,孩子们。

– John Dvorak
16-10-17在4:44
轶事证据:通过基于cRARk-7z定义自己的算法,我设法破解了7-zip(aes256)文件密码。仅在我的系统上以每秒超过2万次尝试的速度运行了不到50个小时(AMD 6核CPU +良好的GPU)。密码类似于cr4zym0nk3y!。 [注意]我从头知道它们都是小写的,并且在末尾有一个符号。

– Marc.2377
16-10-18在12:37


它基本上只是一个扩展的字母,所以一旦产生了替换,就增加了迭代次数。蛮力最终将起作用。

–mckenzm
16-10-19在2:20

#3 楼

强制性且极其相关的XKCD参考:-我倾向于将两种方法结合起来,但我认为这并没有太大的区别。另一种方法是利用喜欢的诗歌或歌曲中每个单词的首字母。 NGGYUNGLYDNGRAADY等...

评论

您的“其他方法”是幼稚的用户方法。布丁的证明是随机性。最喜欢的诗或歌曲不是随机的!甚至一点点确定性都可能导致容易破解的密码。

– Timm
16-10-18在12:24


并非每天您都会在Security Stack Exchange上被合法答案所困扰。

–布赖恩
16-10-18在14:43
@NahuelIanni不,专家们对此并不认同,尽管我之前听过那句话。人们可以记住安全密码-面临的挑战是让他们花一些时间生成一个密码,然后将其提交到内存中。大多数人不希望额外的工作,因此他们使用不太安全的选择。

– PwdRsch
16-10-18在15:03
@brian;)。很高兴它没有浪费。

– mcottle
16-10-18在15:25
一年有52周。考虑到大多数情况下会有很多重复,让我们非常慷慨,说一年有1000首top40歌曲。追溯到50年前,在前40名中有50,000首歌曲。歌曲方法是log2(50000)= 15.6比特的熵。您可以在这里和那里再混合一些位,但是最终会遇到相同的问题。

– corsiKa
16-10-18在16:29