Como é que o indicador 1Password password strength determina a força de uma palavra-passe?

A forma usual de determinar a força de uma senha específica é sacrificar uma galinha e depois ler as entranhas. Mas no 1Password, nós fazemos melhor. Nós calculamos o horóscopo da galinha antes de a sacrificar. Dado que alguns dos nossos funcionários são vegetarianos, estamos sempre à procura de abordagens alternativas.

O triste fato é que os medidores precisos de força de senha são impossíveis (falta de anos ou décadas para tentar quebrar a senha oferecida). A razão é que a força de uma senha depende em grande parte do sistema pelo qual ela foi gerada. Isso não é algo que pode ser determinado com confiança através de uma única senha inspecionada.

Então a força da senha medida em 1Password usa o mesmo tipo de heurística que outros usam. Ele verifica em relação a uma lista de 10000 senhas populares. Ele procura por palavras simples e combinações simples. É muito sensível ao comprimento da senha.

Uma razão pela qual eu'estou hesitante em entrar em muitos detalhes é porque nós mexemos nos detalhes. E nós definitivamente mexemos com os cortes para várias etiquetas, como "forte". O medidor de força da senha em 1Password 2.5.9 (janeiro de 2008) é muito mais generoso do que o de hoje. Então esta é uma daquelas partes da 1Password que estão sujeitas a alterações.

Existem muitas coisas que poderíamos fazer para torná-la mais forte. Poderíamos usar algo como PACK password analysis and cracking kit to figure out the rules used for the most common passwords and then test submitted passwords against those rules. Poderíamos incluir os métodos usados pelo zxcvbn Dropbox Tech Blog - zxcvbn: estimativa realista da força da senha e existem outros smarts adicionais que podemos incorporar no sistema.

A razão pela qual temos't temos feito muito disso é por causa da diminuição dos retornos marginais. Cada verificação adicional que colocamos adiciona complexidade ao código e torna as coisas mais lentas, mas faz uma melhoria relativamente pequena nos resultados reais.

Então a má notícia é que não importa o quão inteligente você faça o seu medidor de força de senha, ele's será limitado em sua precisão. A boa notícia, é que os medidores de força de senhas, por mais imperfeitos que sejam, ajudam as pessoas a selecionar melhores senhas. É oficial: Os medidores de força de senhas não são teatro de segurança

Há uma melhoria I'gostaria de ver no nosso medidor de força. Ele deve distinguir entre senhas criadas com 1Password's Strong Password Generator e tudo mais. Para coisas criadas com o Gerador de Senhas Fortes, nós podemos calcular a força precisa. E qualquer, digamos, senha de 16 caracteres criada com o nosso Gerador de Senhas (mesmo que limitada apenas a letras) será enormemente mais forte que qualquer senha criada por humanos.

Mas até lá, temos que afinar o gerador sob a suposição de que as pessoas estão inventando as senhas que estão sendo testadas. Isto dramaticamente sob relatórios a força das senhas criadas com o nosso gerador de senhas.