it-swarm.com.de

Wie wird die Passwortstärke berechnet?

Ein Passwort, das enthält:

  • mindestens ein Großbuchstabe,
  • mindestens einen kleinen Buchstaben,
  • mindestens eine Nummer und
  • mindestens ein nicht alphanumerisches Zeichen,

wird auf allen Systemen, die ich bisher verwendet habe, als mittel bis stark (manchmal sogar sehr stark ) angesehen ... mit Ausnahme von Wordpress, wo es sich befindet als sehr schwach . Was vermisse ich hier?

Wenn es sich um ein sehr schwaches Passwort handelt, welche Regeln sollten Sie beachten, um stark oder sehr stark von einer Person, die ein Passwortstärkemessgerät erstellt hat, berücksichtigt zu werden? Wordpress.org Netzwerksystem?

4
trejder

Das Passwortstärkemessgerät in den neuesten Versionen von WordPress verwendet eine Bibliothek namens "zxcvbn", die von Dropbox im Jahr 2012 erstellt wurde.

Die Bibliothek ist kostenlos auf Github verfügbar: https://github.com/dropbox/zxcvbn

Eine Erklärung der Bibliothek finden Sie hier: https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-estimation/

Aber die Kurzversion ist, dass sie Muster im Passwort analysiert, anstatt eine einfache "hat es Großbuchstaben" - und "hat es ein Symbol" -Methode zu sein.

Zum Beispiel ein Passwort von "Passw0rd123!" ist nach modernen Maßstäben kein gutes Passwort. Es wird ein Wörterbuch-Wort verwendet, es werden häufig Leet-Speak-Ersetzungen verwendet, es beginnt mit einem Großbuchstaben, es endet mit einem Symbol und es enthält eine ganze Zahl, bei der es sich um ein allgemeines Muster aus aufeinanderfolgenden Ziffern handelt. Es ist ein menschliches Muster, und moderne Systeme zum Knacken von Passwörtern sind darauf ausgerichtet, genau diese Art von Passwort zu knacken.

Die zxcvbn-Bibliothek ("zxcvbn" ist ein Beispiel für ein falsches Kennwort) enthält eine Liste gängiger Kennwörter, ein gängiges englisches Wörterbuch und viele Methoden zum Erkennen dieser Muster sowie anderer Muster, z. B. gängiger Tastaturmuster (Beispiele: wasd "= Verbundene Buchstaben, häufig von Spielern verwendet, während" 951357 "die Form eines X auf einem Ziffernblock hat). Diese Art von Dingen wird dann alle eingestuft und eine Punktzahl gebildet.

Moderne Passwörter müssen im Grunde genommen komplettes Kauderwelsch oder lange Phrasen sein, keine einfachen Muster. Alles andere ist für moderne Passwort-Cracker-Programme in der Regel unsicher.

Probieren Sie aus, was Ihrer Meinung nach ein "gutes" Passwort in der Javascript-Demo ist. Es könnte sich als aufschlussreich erweisen:

https://lowe.github.io/tryzxcvbn/

10
Otto