Vynikající test síly hesla

Dropbox vytvořil velmi promyšlený test síly hesla. Zohledňuje rozmístění kláves (prostorové vzory jako asdfgh, ale i složitější jako qwER43@!), opakování, 133t speak a hlavně i řadu slovníků (jména, slova, nejčastější hesla).

Otestujte si svá hesla tady
http://dl.dropbox.com/u/209/zxcvbn/test/index.html

Test probíhá čistě v Javascriptu, nic se při něm neodesílá.

Jak test vznikal a jaké úvahy za ním stojí, si přečtěte tady
zxcvbn: realistic password strength estimation

A to nejlepší - můžete jejich test použít na svých stránkách při registraci uživatelů. Návod je v článku, Github pro zvídavé tady.
https://github.com/lowe/zxcvbn

Používejte pro správu hesel KeePass. Je na všech platformách a zdarma.
http://keepass.info/

Jen to není moc určený pro český uživatele. Když jsem tam čistě hypoteticky zkoušel zadat česká slova, tak mi je to vzalo jako "bruteforce"...

Zrovna nedávno jsem četl článek o tom, že hesla složená ze tří a více slov nejsou z hlediska bezpečnosti tak špatná. Tenhle test říká něco jiného.

http://www.baekdal.com/insights/pass...rity-usability

mythic!!!!!!! LOL

to znamena jakou techniku by slo pouzit aby ti louskl heslo a ne ze by bylo brutalnedobre :D

treba na zensky jmeno jako heslo s cisly?
d3b1

Kód:

pattern:	dictionary	
entropy:	11.377210530388552	
dict-name:	female_names	
rank:	1330	
base-entropy:	10.377210530388552
upper-entropy:	0	
l33t-entropy:	1	
l33t subs:	1 -> i, 3 -> e	
un-l33ted:	debi

Zrovna nedavno jsem presel na hesla tvorena stylem 4 nahodna anglicka slova mezi nimi nahodna cisla + na zacatku ci konci nahodny znak... dost dobre se mi to pamatuje, protoze to neni uplne nesmyslna zmet znaku a crfack time je podle dropboxu 15 let :) tak to mi staci...

heh ja dam vzdycky anglickou klavesnici, zavru oci, pomackam co muzu, pak to promazu o blbosti a mam to :D dost blbe se to pamatuje, ale jinak to taky silny

crack time (display): centuries

jinak to vyhodnocovani neni moc dobry... Predpoklada ze utocnik vi jak se heslo tvori, coz ale ve vetsine pripadu neni pravda... pak se timpadem doba cracknuti rapidne prodluzuje... co ukazuje dropbox je prakticky jen idealni pripad, nikoliv realna situace

+smrtka: No vidis aspon ses pobavil :D. Zadal sem prvni tri cesky slova co me napadli a jen sem behem vteriny prolitnul obrazovku kde by mohlo byt nejaky slovo, co hodnoti kvalitu. Nicmene - nemeni to nic na faktu, ze to ty hesla posuzuje podle anglickyho slovniku ;)

jojo to slovo jsem taky videl hned - je hezky a hlavne na te strance taky nic jinyho neni

lokální slova proti mezinárodním louskačům hesel jsou určitě výhodou, proti lokálním ne :)

To jsem si myslel, jaký mám lame hesla a přitom crack time (display): centuries :-D

4 dny mi staci =)

Já jsem si zase myslel že mám celkem silná hesla a mám crack time 3 roky :/

Původně odeslal ondrax

Já jsem si zase myslel že mám celkem silná hesla a mám crack time 3 roky :/

3 roky je vysoce silne heslo :) ukaz mi jedineho cloveka co by to vydrzel tri roky, nebyl by za tu dobu odhalen a nestalo yb se ze by sis ho za tri roky treba nezmenil :)) pro nikoho nejsi tak zajimnavej, to se neboj :)

navíc kdo by se s tím dělal, když existuje tolik jiných způsobů jak se dostat přes zabezpečení...

clovek, ktery by se dokazal do systemu nabourat, sel by si nejspise pro celou databazi...

Hm
skúsil som dve heslá

prvé, ktoré má 9 znakov (kombinácia siedmych malých písmen a dvoch čísiel) by mi podľa toho testu rozlúštilo za 3 dni
druhé, ktoré má 13 znakov (kombinácia 6 malých písmen, dvoch veľkých písmen, štyroch čísiel a jedného špeciálneho znaku) by rozlúštilo za 60 minút

To druhé heslo však obsahovalo tri znaky, ktoré sú na klávesnici vedľa seba.

Zdá sa, že prioritou tohto testu je, aby zadávané znaky boli čo najďalej jeden od druhého.

Původně odeslal Martin Schlemmer

Test probíhá čistě v Javascriptu, nic se při něm neodesílá.

Jak lze ta slova hledat v řadě slovníků a přitom nikam neposílat? To by se musely všechny ty slovníky nejdříve natáhnout do prohlížeče a pak to hledat lokálně - o čemž silně pochybuji, ale kód jsem nestudoval.
Takže bych řekl, že je teoreticky možné že provozovatel získá zajímavou databázi možných hesel ;-)

Ale jinak spokojenost, zkusil jsem jedno své relativně krátké heslo a výsledek je "crack time (display): centuries"

Kovboj: Kdyby sis prostudoval kód, tak bys zjistil, že se slovníky (nějaké základní) jsou obsaženy v staženém JavaScriptu, a dále, že se na server nic neposílá.

10687696 - crack time: 3 hours
106876969 - crack time: 7 minutes
10687696969 – crack time: 3 minutes

chápu, že je tam pattern "69" a proto asi trvá rozluštění méně času, ale vysvětlí mi někdo vztah mezi 2. a 3.? proč je heslo s jednou "69" navíc rozluštěno rychleji?

Původně odeslal Flay

10687696 - crack time: 3 hours
106876969 - crack time: 7 minutes
10687696969 – crack time: 3 minutes

chápu, že je tam pattern "69" a proto asi trvá rozluštění méně času, ale vysvětlí mi někdo vztah mezi 2. a 3.? proč je heslo s jednou "69" navíc rozluštěno rychleji?

viz muj predchozi prispevek

jinak to vyhodnocovani neni moc dobry... Predpoklada ze utocnik vi jak se heslo tvori, coz ale ve vetsine pripadu neni pravda... pak se timpadem doba cracknuti rapidne prodluzuje... co ukazuje dropbox je prakticky jen idealni pripad, nikoliv realna situace

to jejich vyhodnocovani zkratka ukazuje dokonalej idealni pripad a ten nenastane ani v 0,0000000000000000001% pripadu... v naprosty vetsine pripadu to pujde nahodne pres slovnik nebo bruteforce a tam zkratka bude rozlousknuti trvat radove uplne jinej cas nez pise ten script...