Kérdés:
A Google Keresési eredmények használata a jelszó erősségének meghatározásához
Curious
2015-01-16 18:04:49 UTC
view on stackexchange narkive permalink

A Google az internetes adatok tárháza, mivel hatalmas mennyiségű adatot indexel. Előrejelzési szolgáltatást használ a keresési lekérdezés többi részének meghatározásához.

Ha ilyen hatalmas tároló van a helyén, kihasználhatjuk-e a jelszó erősségének meghatározására?

használja a jelszót keresési lekérdezésként annak népszerűségének meghatározásához? A jelszóért kapott találatok száma alapján tudunk-e pontot adni a jelszónak? Ez a modell kivitelezhető?

Úgy gondolom, hogy a népszerű jelszavak gyakrabban fordulnak elő weboldalakon vagy keresési lekérdezésekként. Ez nem azt jelenti, hogy a kisebb hosszúságú ritka szavak erős pontszámot kapnak. Ez nyilvánvaló okokból van, a kisebb jelszavak nyers erővel kereshetők, vagy véges idő alatt lekérdezhetők.

Úgy gondolom, hogy ez a modell jól használható a természetes nyelvhez ragaszkodó hosszabb jelszavak erősségének meghatározásához. mint angol.

Ez a megközelítés a jelszó erősségének mérésére triviális? Vagy más szavakkal: van-e könnyű támadás, ha egy ilyen modellt használnak a jelszó erősségének mérésére?

Megjegyzés: Ha bizalommal kapcsolatos probléma merül fel a Google-lal, akkor tegyük fel, hogy felépíthetjük saját szolgáltatásunkat.

Szerkesztés: A kutatás ( https://madiba.encs.concordia.ca/~x_decarn/papers/password-meters-ndss2014.pdf) kimutatta, hogy a legtöbb erő a ma telepített méterek megtévesztik a felhasználókat a jelszavak létrehozása közben. A keresőmotorok, például a Google tárháza segítségével pontosabban mérhetjük a jelszó erősségét? Lesznek hamis pozitív eredmények, amire sokan rámutattak, de nem lesz jobb, mint a meglévő erősségmérők?

Nem igazán látok ebben olyan értéket, amely meghaladná a szótár használatát és néhány jelszóval ellátott szójegyzéket. Nagyon nagy erőfeszítés lenne, ha nagyon kevés hasznot hoznánk az IMO-nál.
nincs hosszabb szójegyzék a hosszabb jelszavakhoz. Például "hookthesnowout"
Nos, ez a lényeg. Ha ugyanazokat a szavakat követi, mint a támadó, akkor számít? Személy szerint egy maroknyi általános jelszó-listával próbálkozom, és ha nem azokban van, akkor a hossz és a bonyolultság alapján értékelem.
honnan tudom, hogy a támadó ugyanazzal a szavakkal rendelkezik, mint az enyém? Nincs benne kockázat?
Az ellenőrzési erőfeszítések csak egyszer lesznek, amikor a felhasználó létrehozza a jelszavát. A megtakarítás érdekében hatékony datstruktúrák is használhatók.
Ezt nem lehet tudni anélkül, hogy a világon minden szójegyzék szerepelne. De a leggyakoribbak fogják elszámolni a leggyakoribb támadásokat / kísérleteket. Az erőfeszítésekre utalva a rendszer kiépítésére fordított erőfeszítéseket értem, különös tekintettel a saját magának való felépítésre, mert a felhasználói jelszavak elküldése a Google számára valószínűleg nem ideális. Az IMO a legjobb megközelítés csak a jó jelszópolitikák betartatása és a kockázat minimalizálása. Kombinálva olyan dolgokkal, mint a zárolási időszakok, a megfelelő hash stb., Akkor a jelszó példányainak keresése az egész interneten nem szükséges.
Melyik erősebb, 2z63hg79fg79 vagy tf3m89j67hw396g3qh96g3q8b9? mindkettőnek ugyanannyi a Google találata.
@PlasmaHH Lehet, hogy előszűrő kritériumként használható: olyan jelszavakat, amelyek keresési eredménye nem nulla, nem engedélyeztek (további számítások nélkül).
Láttam, hogy a Google keresése hasznos a kifejezésalapú jelszavak számára, hogy kizárja azokat a jelszavakat, mint a "helyes lóakkumulátor tűzőkapocs", "a hold sötét oldala", "a gép ellen düh" stb., Amelyek az emberek szerint erős jelszavak, mert hosszú, de valójában meglehetősen gyakori kifejezések. Úgy tűnik, hogy a Google felismeri a szóközök nélküli általános kifejezéseket is, például "ilovethesoundofmusic" és "icouldhavehadav8"
Ha rákeresel, a felhőben lesz ...
Egyetértek azzal, hogy egy google keresés nem igaz jelző a jelszó erősségéről, de nem fogja jobban meghatározni a jelszó erősségét, mint a ma használt erősségmérők?
@Curious De a kapott válasz - például az - a jelszó erősségére vonatkozik, mielőtt google-ra irányítaná. Tehát mondhatod: "OK, ez egy olyan jelszó volt, amely nem tartalmaz találatot; használhattam volna, ha nem csak guglizom".
@greggo, Megértem a google keresés használatából eredő biztonsági problémákat. De szeretném tudni, hogy a jelszóerősség-mérő így valósult-e meg jobban, mint a jelenlegi erősségmérők?
öt válaszokat:
Bob Brown
2015-01-16 19:28:10 UTC
view on stackexchange narkive permalink

Rengeteg kutatást végeznek arról, hogy mely jelszavak "népszerűek". Sok mindent megtalál itt: https://xato.net/passwords/more-top-worst-passwords/

Nincs módja tudni, hogy mit csinál a Google lekérdezésekkel. Szinte biztos, hogy az ilyen lekérdezések naplózásra kerülnek, és kapcsolódnak az eredeti IP-címhez. Ez azt jelentené, hogy a Google rendelkezik a tesztelt jelszavak listájával. Ezt a listát egy Google alkalmazottja visszaélheti, és keresési engedély, idézés, felfedezés vagy más jogi igény vonatkozhat rá: https://www.aclu.org/blog/technology-and-liberty-national -security / how-private-your-online-search-history

Ha én lennék a Google, akkor keresnék olyan keresési kifejezéseket, amelyek nem eredményeznek találatokat; így írják meg azokat a szabályokat, amelyek lehetővé teszik számukra a varázslatot. Tehát a gyakorlatára valószínűleg a Google kutatói kerülnek.

Végül, hogy megvizsgálják, van-e könnyű támadás, a jelszóval támadók először kipróbálják a különböző méretű szavak listáját, majd nyers erőre és heurisztikára törekednek. támadások. A rövid jelszavak, amelyek nem szerepelnek semmilyen listában vagy a Google indexeiben, nyers erőre esnek. Hosszabb jelszavak eshetnek a heurisztikára. Az Ars Technica erről cikksorozatot készített. A legrelevánsabb itt található: http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/

add fel.

Engedje meg, hogy leegyszerűsítsem Bob második bekezdését az alábbiak szerint: ** A tiszta szövegű jelszó harmadik félnek történő elküldése (amelyet az alkalmazásod Google-nak tartana) gyenge jelszóvá teszi **, függetlenül attól, hogy milyen erős volt. Még akkor is, ha valóban a Google, és nem az MITM, ha a nagyvállalatoknak nagy jelszólisták és a hitelkártyaszám-listák szivároghatnak, akkor a Google sokkal kevésbé érzékeny listákkal szivároghat ki.
Joe DeRose
2015-01-17 01:06:54 UTC
view on stackexchange narkive permalink

Nincs eredmény a Google keresésére a rendkívül gyenge erősségű "pa55w0rd987" kifejezésen: https://www.google.com/#newwindow=1&safe=off&q=pa55w0rd987

Ezenkívül a Google csak azokat az adatokat jelentheti, amelyek ismeretesek, és sok olyan nagyon rossz jelszó van, amelyek ennek ellenére nem jelennek meg egyetlen webhelyen sem.

Ezen okokból állítom, hogy a Google nem hasznos eszköz a jelszó erősségének ellenőrzésére. (Ugyanez vonatkozna a Bingre és más keresőrendszerekre is.)

Nos, most van egy eredmény: P
@antony.trupe Szép. Mindig szórakoztat, amikor a Google-re vonatkozó SE hivatkozások a későbbi Google találatokban jelennek meg. Valójában láttam néhány programozási kérdést, ahol az egyik válasz egy "hadd guglizjam ezt neked" link volt ... ami végül rögtön erre a válaszra mutatott vissza első találatként.
Egyetértek azzal, hogy a google keresés elvégzése nem lesz igaz jelszó a jelszó erősségéről, de nem fogja-e az a séma, mint a google keresés, jobban meghatározni a jelszó erősségét, mint a ma használt erősségmérők?
@Joe, ha a jelszó nagyon rossz, valószínűleg ez megjelenik valaki listáján. Például: https://xato.net/passwords/more-top-worst-passwords/
reirab
2015-01-17 01:29:03 UTC
view on stackexchange narkive permalink

Bármely kellően erős jelszó (és sok nem elég erős jelszó) 0 találatot fog tartalmazni a Google-on, így nem, ez nem igazán megvalósítható módszer. Ha a jelszó teljes egészében angol nyelvű szavakból áll, akkor könnyen kezelhetővé válik egy szótár támadással. Ha egy jelszónak van egyáltalán Google találata, akkor az szinte biztos, hogy nem eléggé biztonságos, de a Google találatok hiánya nem jelenti azt, hogy biztonságos.

Ezenkívül ideális esetben soha ne küldje el jelszavát vezeték nélkül. bárkinek. És biztosan nem egy titkosítatlan kapcsolaton keresztül. A jelszó továbbításának helyes módja az első kivonatolása, hogy még a kivonatot fogadó személy sem tudja soha, mi volt az eredeti jelszó. Természetesen még mindig sok olyan webhely létezik, amelyek nem a helyes módszert használják, de ez egy másik kérdés. Mindig összerándulok, amikor regisztrálok egy fiókot valamelyik weboldalon, és egy megerősítő e-mailt küldenek nekem, amely egyszerű szöveggel tartalmazza a jelszavamat. facepalm

peterh - Reinstate Monica
2015-01-17 06:28:32 UTC
view on stackexchange narkive permalink

Figyelem: komoly biztonsági problémák vannak a jelszavak közvetlen hálózatból történő küldésével, különösen a Google számára. Csak akkor tegye, ha valahogy nem jelent problémát Önnek! (Ha önálló biztonsági környezetben dolgozik, amely egyébként is nagyon google-függő!)

A @PlasmaHH felhasználó nagyon egyértelmű megjegyzést tett: "Ami erősebb, 2z63hg79fg79 vagy tf3m89j67hw396g3qh96g3q8b9? Mindkettőnek ugyanannyi a Google találata. "

Ami természetesen igaz.

De: gyakorlatilag ezt használhatja előszűrési kritériumok. Bármi, ami találatot talál a Google-on, nem engedélyezhető jelszóként.

A jelszavak erőssége sikeresen megfelelt a teszten, és hamarosan egy viszonylag egyszerű entrópia-alapú vizsgálattal mérhető. , vagy egy minimális Levenshtein-távolsági számítással a wikipédia cikkcímei alapján ( itt az ötletem ebben a témában).

Szavazzon le, mert a jelszó elküldése a Google-nek eleve gyengébbé teszi (most a Google tudja, bárki, aki a Google-t nézi, tudja, és bárki, akinek hozzáférése van a Google áruházainak kereséséhez, tudja). A felhasználó tiszta szövegű jelszavának elküldése egy harmadik részbe (amely az alkalmazásod szerint Google-nak számít) borzalmas ötlet, megsértheti az adatvédelmi irányelveket, valószínűleg megsérti a felhasználó elvárásait arról, hogy miként kell védenie a jelszavait, és határozottan sérti az ésszerű jelszókezelési bölcsességet.
@Anti-weakpasswords A legtöbb esetben igazad van (én sem küldtem jelszavakat a google-nak), de nem mindig. A legegyszerűbb példa erre, ha elszigetelt biztonsági környezetben vagyunk, ami hamarosan erősen google-függő. Komoly figyelmeztetést illesztettem erre a válaszom elejére. Lehet, hogy elég volt egy szavazásváltáshoz?
Köszönöm; leszavazás eltávolítva; a figyelmeztetés és a megjegyzéseim között elegendő figyelmeztetésnek nevezem, hogy bár válaszoltál a kérdésre, ez egy borzalmas ötlet.
A jelszó elküldésére figyelmeztetés minden olyan szolgáltatáshoz, amelyet nem kifejezetten a jelszavak kezelésére terveztek, érdemes lenne pozitív szavazatot adni, de annak jelzése, hogy a Google-nak való elküldés nagyobb biztonsági kockázatot jelent, mint bármely más, a jelszavak kezelésére nem tervezett szolgáltatás, érdemes lenne egy leszavazás. Tehát összességében egyik oldalon sem szavazhattam erre a válaszra.
The Spooniest
2015-01-17 21:42:36 UTC
view on stackexchange narkive permalink

A jelszó eredményei önmagában egy Google-keresésben nem nagyon mutatják annak erősségét. Mások már hoztak példákat olyan alacsony erősségű jelszavakra, amelyeknek nincs találata.

Ennek ellenére kíváncsi lennék, hogy jó ötlet lehet-e Google keresést végezni a felhasználónév n (vagy valódi néven, ha ismert). Azokat a szavakat, amelyek valamilyen küszöbnél gyakrabban fordulnak elő az első, mondjuk, három oldalnyi találaton, el lehet utasítani, mivel könnyen kitalálhatók. Az eredmények bizonyos mértékig minden felhasználóhoz igazodnának, de ez érdekes támadást jelenthet a támadóval szemben, amely a jellemzőnél valamivel határozottabb.

Egyetértek azzal, hogy a google keresés nem igaz jelző a jelszó erősségéről, de nem fogja jobban meghatározni a jelszó erősségét, mint a ma használt erősségmérők?


Ezt a kérdést és választ automatikusan lefordították angol nyelvről.Az eredeti tartalom elérhető a stackexchange oldalon, amelyet köszönünk az cc by-sa 3.0 licencért, amely alatt terjesztik.
Loading...