Výpočet síly hesla
Nedávno jsem potřeboval do jedné aplikace zavést nějaký výpočet síly hesla a předejít tak zadávání slabých hesel. Po chvíli googlení jsem našel jeden zápisek. Po implementaci popsaného výpočtu jsem provedl ještě několik úprav.
Napřed jsem změnil požadovanou délku hesla - jsem lehce paranoidní a tak tedy požaduji, aby to heslo mělo alespoň 6 znaků. Dále jsem doplnil kontrolu na sekvence - heslo 123456 nebo abcdef podle původních kontrol dostalo docela dost, přestože mít takovéhle heslo není vůbec dobrý nápad. K tomu jsem ještě sehnal aspoň nějaký slovník slov (bude přiložen) a při kontrole hledám shody ve slovníku se zadaným heslem. Nakonec jsem ještě pozměnil bodování.
Při testech původní implementace jsem dostával pocit, že velkou část skóre dostávají hesla, která bych rozhodně povolit nechtěl a naproti tomu aspoň trochu dobrá hesla jsou ohodnocovány docela vysoko. Výsledkem bylo, že člověk viděl jak moc je to heslo k ničemu, naproti tomu dobré heslo od ještě lepšího nerozlišil. Původní přidávání 10 nebo 15 bodů jsem snížil na přidávání pouze 5ti bodů a posunul jsem hodnotící hranice. Výsledek vypadal docela pěkně - při testu na živých objektech :-) se skóre pohybovalo okolo 50 bodů (ovšem u technicky zdatných jedinců, abych se přiznal). Naproti tomu plných 100 bodů dosáhne až opravdu brutální heslo (musí mít minimálně 18 znaků a to ještě při tom musí splnit všechny bonusové požadavky a naopak se nedopustit žádného prohřešku). Hranice, které považuji za vhodné, jsou takovéhle:
- Pod 20 bodů - moc slabé, nebrat
- Pod 30 bodů - rozumné a použitelné heslo
- Pod 45 bodů - dobré heslo
- Pod 60 bodů - silné heslo
- Pod 80 bodů - velice silná hesla, avšak už dosti nezapamtovatelná
- 80 - 100 bodů - šílená hesla :-)
Současný výpočet skóre (hodnota od 0 do 100, kde 100 je nejsilnější heslo) vypadá takto:
- Pokud je heslo kratší než 6 znaků nebo je shodné s uživatelským jménem, skóre je 0 a končí se
- Jako základní skóre se vezme délka hesla a vynásobí se čtyřma
- Prozkoumá se počet opakujících se znaků a jejich celkový počet (všechny znaky, u kterých je opakování) se odečte ze skóre. Tedy pokud je heslo třeba aabbcd, odečte se 4 (protože 2x a + 2x b). Navíc pokud počet opakovaných znaků (v minulém příkladu jsou dohromady 2 - a má první znak a druhé a je první opakující se a stejně tak b, dohromady tedy 2) je větší nebo roven než polovina délky hesla a zároveň samotný počet znaků, které se opakují (tedy třeba u hesla aabbcd jsou 2 - a se opakuje a b se opakuje, u hesla aaabcde je to 1 - opakuje se pouze a) je 2 nebo menší, strhne se navíc ještě 15 bodů
- Pokud heslo obsahuje alespoň tři číslice, přičte se 5 bodů
- Pokud heslo obsahuje alespoň 2 speciální znaky, přičte se 5 bodů
- Pokud heslo obsahuje malé i velké písmena, přičte se 5 bodů
- Pokud heslo obsahuje číslice a písmena, přičte se 5 bodů
- Pokud heslo obsahuje číslice a speciální znaky, přičte se 5 bodů
- Pokud heslo obsahuje písmena a speciální znaky, přičte se 5 bodů
- Pokud heslo obsahuje jen písmena, odečte se 10 bodů
- Pokud heslo obsahuje jen číslice, odečte se 10 bodů
- Nyní se vyšetří sekvence, tedy písmena a čísla, která jsou po sobě (abcdef, 123456, platí jak pro malá tak velká písmena). Po vyšetření se počítá s počtem nalezených sekvencí a délkou každé z nich. Heslo 123456 obsahuje jednu sekvenci o délce 6, heslo 12qabcd obsahuje 2 sekvence, jednu o délce 2, druhou o délce 6. Ze skóre se odečte (počet sekvencí +1)součet délek sekvencí, u prvního hesla je to tedy 26, u druhého 35
- Stejně tak se vyšetří a ohodnotí obrácené sekvence, tedy 6543210, dcba a podobně
- Prohledá se slovník - slova ze slovníku se hledají v hesle a za každý nalezený výskyt se odečte 20 bodů. Pokud máme heslo motorka a slovník obsahuje slova motorka i motor, odečte se 40 bodů, protože obě tyto slova se v hesle najdou
- Jelikož chceme výsledek od 0 do 100 a během tohoto počítání jsme se mohli dostat přes 100 nebo i pod 0, ořežeme skóre na maximální/minimální hodnotu, v případě že bylo překročeno
Implementace v pythonu vypadá takto:
- import re
- def convertOrd(char):
- if (char >= ord("a") and char <= ord("z")):
- return char - 32
- else:
- return char
- def getSequences(password):
- sequences = []
- pos = 0
- while (pos < len(password)):
- charnum = 0
- try:
- charnum = ord(password[pos])
- except:
- pos += 1
- continue
- charnum = convertOrd(charnum)
- if ((charnum >= ord("A") and charnum <= ord("Z")) or (charnum >= ord("0") and charnum <= ord("9"))):
- x = 1
- seqlen = 0
- while (pos + x < len(password)):
- charnum2 = 0
- try:
- charnum2 = ord(password[pos+x])
- except:
- if (seqlen > 0):
- sequences.append(seqlen)
- x += 1
- break
- charnum2 = convertOrd(charnum2)
- if (charnum + 1 == charnum2 and (charnum2 <= ord("Z") or charnum2 <= ord("9"))):
- seqlen += 1
- x += 1
- charnum = charnum2
- else:
- break
- if (seqlen > 0):
- sequences.append(seqlen)
- pos += x
- else:
- pos += 1
- return sequences
- def dictionaryCount(password):
- # Vrátí počet slov ve slovníku nalezených v hesle
- f = open("slovnik", "r")
- count = 0
- for line in f:
- line = line.rstrip("\n")
- #print line
- if (password.find(line) != -1):
- count += 1
- f.close()
- return count
- def passwordStrength(password, username):
- # Vypočítá skóre od 0 do 100 pro dané heslo
- score = 0
- if (not (password == username or len(password) < 6)):
- score = len(password) * 4
- rep = 0
- repchars = 0
- pos = 0
- tested = []
- for i in password:
- if (not i in tested):
- tested.append(i)
- if (re.match("[\d\w]", i)):
- count = len(re.findall(i, password[pos+1:]))
- if (count > 0):
- score -= count
- rep += count
- repchars += 1
- pos += 1
- score -= repchars
- if (repchars <= 2 and rep >= len(password)/2):
- score -= 15
- numcount = len(re.findall("\d", password))
- if (numcount >= 3):
- score += 5
- spcharscount = len(re.findall("[-.\[\]!@#&\,%\^&*?_~€\(\)<>}{°]", password))
- if (spcharscount >= 2):
- score += 5
- lowcasecount = len(re.findall("[a-z]", password))
- upcasecount = len(re.findall("[A-Z]", password))
- if (lowcasecount > 0 and upcasecount > 0):
- score += 5
- if (numcount > 0 and (lowcasecount > 0 or upcasecount > 0)):
- score += 5
- if (numcount > 0 and spcharscount > 0):
- score += 5
- if (spcharscount > 0 and (lowcasecount > 0 or upcasecount > 0)):
- score += 5
- if (lowcasecount + upcasecount == len(password)):
- score -= 10
- if (numcount == len(password)):
- score -= 10
- # Sekvence
- seq = getSequences(password)
- for i in seq:
- score -= (len(seq) +1) ** (i+1)
- seq = getSequences(password[::-1])
- for i in seq:
- score -= (len(seq) +1) ** (i+1)
- # Slovník
- score -= 20 * dictionaryCount(password)
- if (score > 100):
- score = 100
- elif (score < 0):
- score = 0
- return score
Daný zdrojový kód je ke stažení včetně slovníku zde. Také si můžete hned vyzkoušet online verzi.