Contraseñas: Dos de 50 caracteres vs uno de 100 caracteres

Question

En esta Información de la pregunta de Seguridad, se discute si es o no un $100$ carácter secreto generado al azar el nombre de usuario es equivalente a un $50$ carácter secreto generada aleatoriamente nombre de usuario además de una $50$ carácter secreto generado al azar contraseña.

Esta respuesta [borrar] afirma que hay una diferencia matemática.

Que dice:

Si asumimos que el id de usuario puede ser mantenido en privado y es elegido al azar, que permitiría hacer más combinaciones. Si vamos a realizar un ejemplo con una base de $62$ posibles personajes para elegir a $(a..z, A..Z, 0-1)$, obtenemos:

$62^{100} = 10^{179}$ combinaciones [frente a] $62^{50} + 62^{50} = 80^{89}$ combinaciones

Es esto correcto?

Parece errónea a mí, que requieren dos $50$ carácter de los elementos sería el mismo número de combinaciones que requieren una $100$ carácter de elemento. Si me equivoco, me puede ayudar a entender mi error?

Answer 1

Depende de cómo estén verificadas.

Si usted proporciona tanto el nombre de usuario y la contraseña, y el equipo le dice "sí" o "no", entonces no se $62^{100}$ combinaciones posibles: cada una de las $62^{50}$ posible los nombres de usuario pueden ser emparejado con cada una de las $62^{50}$ posibles contraseñas para obtener $62^{50} * 62^{50} = 62^{100}$ posible nombre de usuario/contraseña de combinaciones.

Si, por otro lado, independientemente, puede comprobar el nombre de usuario y la contraseña (por ejemplo, si el equipo comprueba el nombre de usuario antes de la comprobación de la contraseña), $62^{50} + 62^{50}$ es correcta. Usted necesita $62^{50}$ conjeturas de averiguar un nombre de usuario válido y, a continuación, $62^{50}$ más que conjeturas para averiguar la contraseña.

Answer 2

Estás en lo correcto, son equivalentes. La respuesta que usted cita, añade $62^{50}$ $62^{50}$ en lugar de multiplicar estos números juntos.

Un centenar de personajes es uno de los cientos de personajes. Si ayuda, pensar en lo que sucede con el menor número de caracteres. (Tomar un ejemplo extremo, como que sólo permite a las letras "a", "b" y "c" en el nombre de usuario y contraseña, y comparando el número de caracteres de los nombres de usuario con un carácter contraseñas para el número de dos caracteres en los nombres de usuario.)

¿Cómo podría usted escribir un centenar de caracteres de nombre de usuario? Te gustaría escribir un centenar de caracteres. ¿Cómo podría usted escribir un cincuenta caracteres de nombre de usuario junto con un cincuenta caracteres de la contraseña? Te gustaría escribir un centenar de caracteres. Si usted vino a través de un centenar de caracteres en algún lugar, ¿cómo se sabe que proceso se utiliza para crear la cadena? Usted puede traducir cualquier cadena de un centenar de caracteres en un nombre de usuario/contraseña de pareja, o en un nombre de usuario, y esta traducción es un bijection en cada caso.

Answer 3

Es esto correcto?

No. Esto es incorrecto: $62^{50} + 62^{50}$

Hay $62^{50}$ nombres de usuarios posibles, y para cada uno, hay $62^{50}$ contraseñas posibles. Por lo tanto, todos juntos, no se $62^{50} \cdot 62^{50} = 62^{100}$ combinaciones.

Answer 4

La respuesta a la que te refieres es incorrecta, el número total de combinaciones de ser $62^{50}\cdot 62^{50}=62^{100}$

Answer 5

En el contexto de los servicios que permiten el registro en línea (la gran mayoría de los sitios web existentes), en efecto, hay una diferencia. Es trivial comprobar la validez del nombre de usuario solo simplemente tratando de registrar un nuevo usuario con ese nombre. Para la validez de los nombres de usuario, el sitio va a tener ninguna opción pero para informar de que el nombre ya está tomada.

En caso de un ataque de fuerza bruta (probando todas las combinaciones posibles) adivinar un nombre de usuario válido, a continuación, un password válido lleva a la $62^{50} + 62^{50}$ resultado citado en la respuesta.