Paroolitugevuse kontrollijad pole reeglina eriti usaldusväärsed. Nad kalduvad tuginema liiga lihtsatele arvutustele, mis eeldavad, et ründajad üritavad teie parooli ära arvata ainult , proovides kõiki võimalikke tähemärkide kombinatsioone, mis on praktikas harva tõene.
Tegelikkuses võib motiveeritud ründaja teie parooli äraarvamiseks välja mõelda igasuguseid erinevaid strateegiaid, millest mõnda pole paroolide tugevuse kontrollijat kunagi programmeeritud kaaluma.
Näiteks parool "! QAZXSW @ #EDC "võib tunduda üsna juhuslik, kuni mõistate, et kirjutasin selle, vajutades inglise tavalisel klaviatuuril väga lihtsat võtmemustrit. Ründaja, kes kasutab programmi, mis on loodud klaviatuuripaigutusel põhinevate paroolide äraarvamiseks, võib sellise parooli mõne minutiga hõlpsalt lõhkeda. (Ja tõepoolest, kas ma olen olnud Pwnesi Pwned paroolide kontrollija näitab, et seda parooli on juba mitu korda kasutatud ja see on mitu korda lõhenenud.) Samamoodi võib teie jaoks tüüpiline "ma lähen lõunat sööma" paroolitugevuse kontrollija, kuid ründaja võib selle hõlpsasti lõhkeda, kasutades selleks programmi, mis on mõeldud levinud ingliskeelsete lausete arvamiseks.
Seal on paroolitugevuse kontrollijad, mis on sellistes asjades paremad kui teised (näiteks ZXCVBN suudab tuvastada ülaltoodud klaviatuuripõhise parooli ja anda realistlikuma tugevuse hinnangu), kuid lõpuks pole alati võimalik öelda, kui tugev parool on lihtsalt parooli enda analüüsimine . Ei ole ohutu eeldada, et lihtsalt sellepärast, et teie kasutatav paroolitugevuse kontrollija ei suuda arvata, millist meetodit parooli valimiseks kasutasite, ründaja teie parooli ära arvata ei tee. Seda eeldust tuntakse kui "varjatud turvalisust" ja seda peetakse halbaks tavaks, millele tugineda infoturbe kogukonnas.
Mida peaksite selle asemel tegema? Valige oma paroolid juhuslikult , eelistatavalt kasutades juhuslikkuse allikat nagu täringut, mida inimese loomulik eelarvamus ei saa nõrgendada. Nii saate isegi arvata, et ründaja teab täpselt , kuidas te oma parooli genereerisite, siiski hõlpsalt välja arvutada, mitu arvamist peaks ründaja enne parooli õigeks äraarvamiseks proovima.
Diceware on hea näide sellisest meetodist paroolide loomiseks. Neli juhuslikku Diceware'i sõna võtab ründaja jaoks äraarvamiseks keskmiselt 7776 4 / 2 = ~ 1,83 kvadriljonit oletust, isegi kui nad teavad täpse loendi sõnadest, mille olete oma parooli valinud alates. Paroolihalduri loodud paroolid on sarnasel põhjusel tugevad.
Paroolide turvalise valimise kohta lisateabe saamiseks soovitan Thomas Pornini vastust väljaandele "XKCD # 936: Lühike keerukas parool" või pikk sõnaraamatu parool? ", milles käsitletakse üksikasjalikult parooli entroopiat ja juhuslikult loodud parooli tugevuse arvutamist.