КР
Кажущаяся непредсказуемость пароля перестаёт влиять на его стойкость, как только пароль перестаёт быть "словарным", из тех, которые приоритетно проверяются до того, как стартанёт брутфорс простым перебором.
А так же - усложняет жизнь пользователю, который в итоге запишет этот непроизносимый пароль на листок бумаги и засветит его на фотке.
Машине пофигу, что перемалывать при бруте. На эту тему есть выпуск комикса xkcd о парольных фразах. Длина пароля практически всегда важнее его "разнообразия", пользуйтесь парольными фразами.
Отсюда мысль, что ограничение на длину пароля сверху, да ещё в 10-20 символов - это бред сивой кобылы, гораздо более опасный, чем сокращение пространства символов.
А так же - замечу, что регистрозависимость символов - не особо влияет на стойкость. Приведу простой пример.
Сравним условную стойкость паролей из пространства
"латинские буквы обоих регистров (26*2), цифры (10) и условно набор из 20 ходовых спецсимволов"
и
"латинские буквы одного регистра (26), цифры (10), и всё те же 20 возможных спецсимволов".
Нетрудно показать, что добавление к длине пароля всего одного символа значительно увеличивает сложность перебора пароля условно менее стойкого пространства символов.
Предположим, регистрозависимый пароль - популярной длины в 8 символов и сравним его с 9 значным регистронезависимым:
(26+10+20)^9/(26*2+10+20)^8
WolframAlpha говорит, что это примерно 2.65/1
Разумеется, (26+10+20)^8/(26*2+10+20)^8 даёт нам уже ~0.05/1
Пугающая разница в сложности перебора при равной длине. Зато, наглядно демонстрирует что лучше длинный пароль, чем выпендрёжный :)
А так же - усложняет жизнь пользователю, который в итоге запишет этот непроизносимый пароль на листок бумаги и засветит его на фотке.
Машине пофигу, что перемалывать при бруте. На эту тему есть выпуск комикса xkcd о парольных фразах. Длина пароля практически всегда важнее его "разнообразия", пользуйтесь парольными фразами.
Отсюда мысль, что ограничение на длину пароля сверху, да ещё в 10-20 символов - это бред сивой кобылы, гораздо более опасный, чем сокращение пространства символов.
А так же - замечу, что регистрозависимость символов - не особо влияет на стойкость. Приведу простой пример.
Сравним условную стойкость паролей из пространства
"латинские буквы обоих регистров (26*2), цифры (10) и условно набор из 20 ходовых спецсимволов"
и
"латинские буквы одного регистра (26), цифры (10), и всё те же 20 возможных спецсимволов".
Нетрудно показать, что добавление к длине пароля всего одного символа значительно увеличивает сложность перебора пароля условно менее стойкого пространства символов.
Предположим, регистрозависимый пароль - популярной длины в 8 символов и сравним его с 9 значным регистронезависимым:
(26+10+20)^9/(26*2+10+20)^8
WolframAlpha говорит, что это примерно 2.65/1
Разумеется, (26+10+20)^8/(26*2+10+20)^8 даёт нам уже ~0.05/1
Пугающая разница в сложности перебора при равной длине. Зато, наглядно демонстрирует что лучше длинный пароль, чем выпендрёжный :)
