Otázka:
Jak bezpečné je Snowdenovo MargaretThatcheris 110% SEXY heslo?
SilverlightFox
2015-06-30 15:31:50 UTC
view on stackexchange narkive permalink

V rozhovoru z rozhovoru Edwarda Snowdena s Johnem Oliverem Snowdon doporučuje, aby bylo použito dobré heslo, například MargaretThatcheris110% SEXY. .

Také na blogu Errata Security Robert Graham říká o této věci:

Únik NSA Edward Snowden nedávno naznačil, že silné heslo bude vypadat jako „MargaretThatcheris110% SEXY". byl za to kritizován, ale ve skutečnosti je to docela silné. Ano, existuje spousta slovníků a markovské slabosti, ale jsou kompenzovány délkou. Když jsou všechny ostatní stejné, delší je lepší. Bez ohledu na to, jaké heslo nyní máte, jednoduše přidáním řetězce „xxxxxxxxxxx“ na konec je pravděpodobné, že bude nerozbitné, a jeho zapamatování je mimořádně snadné. Heslo jako „MaThis110% SX“ je 12místné heslo, takže je nepravděpodobné, že by jej mohl prolomit ani NSA, pokud by to bylo vaše heslo Lastpass - Snowdenova delší forma to nezhoršuje. (Všimněte si, někteří lidé tvrdí, že tento příklad Snowdena není tak bezpečný, ale mýlí se.)

Nyní jsme se při předchozích diskusích zde dozvěděli, že lidský mozek je špatné na tom, že jsou náhodné. Víme také, že entropie hesla není založena na tom, co je ve skutečném hesle, ale jak bylo heslo vygenerováno. Například následující heslo může být na první pohled považováno za silné:

  zTzG5rUev2fBBkp6dEMJHNEQWWmFTSjBBn26cQCgkVXSydep3nUx6pF4uf6Pu59RYKDEwkwnTdFJht2n  > ve svém textovém souboru pro generování hesel v náhodném pořadí  a útočník to ví , pak heslo není tak silné.  
  kVXSydep3nUx6pF4uf6PzTzG5rUev2fBBkp6dEMJHNEQWWmFTSjBBn26cQCgu59RYK>  pre> 

Jeden z komentářů k článku Wired je:

kdybych se pokoušel rozbít hash, nečekal bych od začátku, že všechna hesla následují female_names + surnames + english_word + english_word + known_passwords vzor a poté počkejte až 7 dní, abyste zjistili, zda mám pravdu. Kdybych věděl, že to byl ten vzor, ​​pak by Snowdenovo heslo mělo 33 041 bitů entropie. Jinak by entropie byla podstatně vyšší (> 100 bitů).

Toto popisuje podstatu mé otázky. Pokud jsem vytvořil takové heslo jako MargaretThatcheris110% SEXY. , „měřič síly“, jako je zxcvbn, dává entropii hodnotu 39,6 (včetně tečky). Nikdo však neví, že jsem vygeneroval způsob, jakým to zxcvbn rozbije. A i kdyby věděli, že jsem tuto metodu použil v minulosti, mohl bych pro své další heslo použít jinou metodu (např. male_name + number + english_word + french_word + known_password + diceword ).

Jak uvádí tylerl v jiné odpovědi:

Můžeme odhadnout, jaké slovníky budou útočníkovi k dispozici, ale nemůžeme to s jistotou vědět . Proto jako proxy pro velikost slovníku místo toho používáme entropii. Je to špatná náhrada, protože neodráží skutečnou útočnou mechaniku, ale je potenciálně lepší než nic.

Pokud útočník ví, že bych k vyplnění těchto sekvencí mohl použít definice sekvence „lidský mozek vytvořen“, případně s hodnotami „lidský mozek vytvořen“, pomůže mu to v praktickém smyslu? Co mám na mysli, je hodnota entropie 39,6, ve skutečnosti neznamená, že na ni může zaútočit útok hrubou silou vyplňující tento klíčový prostor, protože útočník nezná strukturu. Uvědomuji si v oblasti bezpečnosti, že jediné, co by mělo být tajné, jsou hesla a tajné klíče, samotné mechanismy by měly být považovány za známé a veřejné. Způsob generování hesla by však mohl být považován za soukromý, protože zná někdo jiný zná přesnou metodu. Snowden to zjevně veřejně prozradil, ale pro své další heslo to udělá trochu jinak. Proto Graham nesouhlasí s tím, že Snowdenův příklad je bezpečnější, než naznačuje entropická analýza?

Také související: Byla někdy entropie vytvářená člověkem skutečným problémem?

Cítím zde velké zmatky ohledně některých základních bodů. Abych tedy něco z toho odvrátil, dovolte mi připomenout lidem: mluvit o entropii (jediného) hesla nemá smysl; to není dobře definované. Nemůžete mluvit o entropii jediné hodnoty; místo toho je dobře definovaná entropie * distribuce * nebo * náhodného procesu *. Pokud tedy předpokládáme určitý náhodný proces pro generování hesla, můžeme vypočítat entropii tohoto procesu. Tyto online „kalkulačky entropie“ entropii ve skutečnosti nepočítají; jen vypočítají nějakou (možná mizernou) aproximaci.
Myslím, že spoléhání se na utajení vašeho schématu generování hesel z hlediska bezpečnosti je porušením Kerckhoffsova principu. To znamená, že 39,6 bitů entropie se zdá být v pořádku pro něco jako vzdálená webová služba, za předpokladu, že jde o přesný výpočet (nejsem si jistý, zda je nebo není). 4 náhodná běžná slova se stále jeví jako lepší schéma IMO.
Pokud by na to nikdo nikdy nepřišel jako na heslo, neznamená to, že entropie je skutečně nekonečná? Vše, co musíte udělat, je nahradit jiné procento a je dobré jít ... (* pozn.: * Toto se zjevně říká žertem. Skutečný život je mnohem komplikovanější.)
čtyři odpovědi:
SilverlightFox
2015-06-30 15:47:56 UTC
view on stackexchange narkive permalink

Jak poznamenal tylerl, entropie ve skutečnosti není měřítkem síly hesla, ale je to to nejlepší, co máme:

Účel hesla složitost je postavit se proti útoku hrubou silou. Velikost nejmenšího dostupného slovníku, který obsahuje vaše heslo, určuje dobu potřebnou k prolomení hesla. Můžeme hádat, jaké slovníky budou útočníkovi k dispozici, ale nemůžeme to s jistotou vědět. Proto jako proxy pro velikost slovníku místo toho používáme entropii. Je to špatná náhrada, protože neodráží skutečnou mechaniku útoku, ale je potenciálně lepší než nic.

Porovnání hesel na základě výpočtů entropie může být potenciálně přínosné, ale měli byste být opatrní, abyste se vyhnuli také připisování velká hodnota pro číslo, které nakonec nepřímo souvisí s tím, jak dobře heslo vydrží.

I když heslo MargaretThatcheris110% SEXY. při analýze má entropii 39,6 bitů, generační metoda je randomizovaná (i když lidským mozkem). To ztěžuje měření její skutečné síly. Tato faux randomizace také znesnadní útočníkovi sestavit seznam slov bez znalosti samotné struktury konkrétního hesla. Pokud koncový uživatel nepoužívá stejnou strukturu pro více hesel (což by se mohlo náhodou stát, pokud by vygenerovali dostatek, který si musí pamatovat), pak tento nedostatek entropie útočníkovi opravdu nepomůže. To je důvod, proč Graham nesouhlasí s tím, že Snowdenovo heslo je slabé.

Nelze posoudit, zda je dané heslo jediné „slabé“ nebo „silné“.

  DyZ29ZQ8JswmeKutXHDHh77YqpkmD  kód> 

může být zabezpečené heslo, ale pokud je ve slovníku útočníka, není tomu tak. Měřiče „síly“ hesla, jako je zxcvbn, mohou poskytnout rozpis toho, jak může být vaše heslo vytvořeno , a pokud spadá do běžné posloupnosti, může vás vyzvat k zadání jiný.

Pořadí

  ženská jména + příjmení + anglické slovo + anglické slovo + číslice + společné heslo + znak  

že zxcvbn určuje z MargaretThatcheris110% SEXY. není příliš časté, proto by se útočník rozhodl zaútočit na klíčový prostor této distribuce entropie pouze v případě, že k tomu má konkrétní důvod. To znamená, že MargaretThatcheris je 110% SEXY. je pravděpodobně důkazem NSA, jak navrhuje Graham.

takže jste položili otázku, abyste na ni mohli odpovědět, pro body nebo co? Vím, že je to povoleno, ale zdá se to hloupé
@n00b Zajímalo by mě to samé. Na SO jsem však položil otázku a pak o pár hodin později na to vlastně přišel.
Odpověď na vaši vlastní otázku: http://meta.stackexchange.com/questions/17845/etiquette-for-answering-your-own-question
„entropie ve skutečnosti není měřítkem síly hesla“ - nejste si jisti, jaké je vaše ospravedlnění tohoto tvrzení. Neexistuje žádný zdroj ani citace ani vysvětlení. Zní to jako pochybný závěr. Proč * by to * nebyla míra síly hesla?
@D.W .: Odpověď aktualizována s citací (byla však spojena a částečně citována v původní otázce).
„entropie ve skutečnosti není měřítkem síly hesla, ale je to to nejlepší, co máme“ - řekl bych, že entropie je dokonalou mírou síly hesla, ale nemůžete měřit entropii hesla, jenjako byste nemohli určit, zda je mince spravedlivá vzhledem k výsledku jednoho převrácení.Weby, které tvrdí, že analyzují entropii hesla, které zadáte, ve skutečnosti hádají, jak jste heslo vygenerovali, například hádají, že „Hlavy“ byly výsledkem převrácení spravedlivé mince.Pokud mají pravdu, pak je jejich odhad entropie správný, a pokud se mýlí, pak je špatný.
Gerald Davis
2015-06-30 20:10:51 UTC
view on stackexchange narkive permalink

Určitě je nyní známý „algoritmus“ hesla Snowden, který snižuje potenciální prostor klíčů na útočný rozsah. Nyní je Snowden dost chytrý, aby to věděl, a předpokládal bych, že v budoucnu nebude používat heslo založené na stejném algoritmu nebo dokonce jednom podobném. Je však třeba vzít v úvahu dva problémy.

Prvním je únik informací při sdílení odvozených tajemství. Jedinou výhodou použití algoritmu nad pouhými náhodnými slovy (diceware) by bylo vytvoření několika bezpečných tajemství z algoritmu. Příkladem by mohlo být odvození dvou hesel, která by bylo snazší zapamatovat si než dvě čistě náhodné hodnoty.

Předpokládejme, že bez znalosti algoritmu jsou obě odvozená hesla příliš složitá na to, aby je bylo možné zlomit hrubou silou. Problém je v tom, že existují další způsoby, jak získat jedno z hesel, a to snižuje sílu druhého noe. Například pokud někdo jedno heslo k zašifrování dokumentu a druhé jako přihlašovací jméno pro facebook, bylo by to velmi špatné. Donucovací orgány by mohly použít zákonné pravomoci k zachycení hesla facebooku a na základě výsledků odvodit algoritmus nebo podstatnou část algoritmu a poté snížit entropii hesla tajného dokumentu z> 100 bitů na 40. Od nerozbitného k rozbitnému kvůli únik.

Takže ano, v abstraktní analýze je to velmi bezpečné, ale skutečný svět je složitý. Musíme zvážit, kde budou odvozená hesla použita. Když jsou propojeny dvě hodnoty, existuje větší riziko, protože únik informací může ohrozit základní algoritmus. Pokud předpokládáte, že algoritmus zůstane tajemstvím, pak je to problém. Pokud předpokládáte, že algoritmus nezůstane v tajnosti, budete potřebovat složitější hesla a ztratíte hodnotu algoritmu, řekněme jen pomocí více náhodných hesel.

Když předáme tajemství třetí straně (tj. přihlášení k webu), ztratíme nad ním kontrolu a to je v kostce ten problém. Použil jsem příklad donucovacího facebooku pro zaznamenání dalšího přihlášení, ale mohl by to být web, který má špatné zabezpečení a ukládá ho v prostém textu, nebo jeden ze zaměstnanců ve škodlivém kódu a zaznamenává všechna přihlášení, jak k nim dojde, nebo je web napaden to neví a přihlašování tajně zaznamenává třetí strana (možná jedno s 3 písmeny).

Pokud nemohu ovládat zabezpečení tajemství, nechci toto tajemství svázané s jinými tajemstvími. Nemohu ovládat, jestli facebook ohrozí bezpečnost tohoto jednoho tajemství, ale mohu rozdělit škody. Správce hesel chráněný silným heslem, které ukládá náhodně generovaná hesla webů, zajišťuje, že nedochází k žádnému navazujícímu propojení. Kompromis hlavního hesla, kompromituje všechna uložená hesla, ale pro uniklé heslo facebooku neexistuje žádný způsob, může ohrozit heslo tajného dokumentu.

Stále s „hlavním heslem“, i když není k dispozici propojení proti proudu existuje propojení všech tajemství a hlavního hesla, což je z podobných důvodů potenciálně špatné. Pro vyšší úroveň zabezpečení může být užitečné izolovat vyšší tajemství zabezpečení od nižších tajemství zabezpečení pomocí algoritmu plus náhodné hodnoty uložené ve správci hesel pro tajemství vysoké úrovně. Kompromitování hlavního hesla by tedy ohrozilo všechna nízkoúrovňová tajemství, ale ne nutně ta vyšší.

Může to být nyní známý algoritmus, ale klíčový prostor „relativně krátké anglické věty, která může nebo nemusí dávat smysl“ je sakra velký klíčový prostor pro pokus o bruteforce. PGP / GPG není o nic méně bezpečný jen proto, že lidé vědí, jak se počítá.
Sobrique
2015-06-30 21:14:45 UTC
view on stackexchange narkive permalink

Problém entropie jako měřítka síly hesla spočívá v tom, že se skutečně musí aplikovat na vstup , ne výstup .

Pokud kóduji v base64 slovo „heslo“, dostanu něco, co vypadá silně, ale ve skutečnosti to není.

Takže měření entropických bitů je opravdu nejlepší případ . Pokud se podíváte na čistě náhodnou generaci, entropie na symbol i pro relativně malé klávesové prostory ve skutečnosti není tak špatná, jak si dokážete představit.

S odkazem na: https://en.wikipedia.org/ wiki / Password_strength # Random_passwords

Písmena bez rozlišování velkých a malých písmen jsou 4,7 bitů na symbol. Všechny ascii je 6,5 na symbol. Takže pokud je moje heslo používající pouze „normální písmena“ o 50% delší, je „bezpečnější“.

Ale realisticky - ani náhodně vygenerované heslo nemusí být tak náhodné. Vypadá to dobře, ale není. Heslo generované lidským mozkem je podobné ... ne tak náhodné, ale je tu důležitá námitka - pokud nevím, jak funguje váš mozek, nemohu říci algoritmus, který jste možná použili.

Můžu být schopen uhodnout - a skutečně takto fungují slovníkové útoky. Vytvoříte sadu slovníkově řízených „pravidel hesla“, což je velmi jednoduše případ, kdy slepíte symboly a pokusíte se je „uhodnout“. To výrazně snižuje vaši entropii z „nejlepšího případu“ náhodných postav. Myslím, že XCKD cituje „correcthorsebatterystaple“, protože přináší kolem 44 bitů namísto teoretických 122, kterými řetězec může být.

Takže ... krátká odpověď - je to téměř nemožné říct. Nenechte lidi hrubou silou vaše hesla, i když jste si jisti :).

Jeff Meden
2015-06-30 22:08:33 UTC
view on stackexchange narkive permalink

Myslím si, že nejdůležitější součástí pokusu o kvantitativní analýzu je

„měřič síly“, jako je zxcvbn, dává entropii hodnotu 39,6 (včetně tečky). Nikdo však ví, že jsem vygeneroval způsob, jakým to zxcvbn rozbíjí. “

Takže s ohledem na to je třeba zahrnout permutace algoritmů generování hesel jako kousky entropie, protože je možné, že útočník je tam sestavit stabilní hrubou sílu pro každé možné generační schéma (schéma xkcd, schéma zxcvbn, schneierovo schéma atd., které všechny obchodují s určitou entropií pro snadné vyvolání paměti) a nakonec je všechny spojí a vyhodit je z hash, pokud mají šanci.
Chytré používání google by pravděpodobně odhalilo nejlepších 6 nebo 8 metod pro „zapamatovatelné vytváření hesel“ a to by bylo místo, kde začít, pokud byste chtěli přijít s úplnější analýza entropie.



Tyto otázky a odpovědi byly automaticky přeloženy z anglického jazyka.Původní obsah je k dispozici na webu stackexchange, za který děkujeme za licenci cc by-sa 3.0, pod kterou je distribuován.
Loading...