Otázka:
Proč se požadavky na statické heslo používají tak často?
HopefullyHelpful
2016-11-17 14:42:01 UTC
view on stackexchange narkive permalink

Nebylo by chytřejší měřit entropii hesla a odmítat hesla s nízkou entropií?

To by umožnilo předat krátká hesla s využitím celé znakové sady, stejně jako dlouhá hesla pouze s využitím částí znakové sady .

Je výše uvedené schéma možné, nebo podrobnosti implementace brání tomu, aby se něco takového stalo?

Zahrnuje již nějaký web nebo program takové požadavky na heslo?

Použití takového formuláře pro zadávání hesla může být trochu nepříjemné, pokud mi řekne jen „vaše heslo není dostatečně silné“, aniž byste mi řekli, jak ho posílit („přidat 27 bitů entropie“ není moc užitečné).
Kolik entropie obsahuje moje náhodné 8místné heslo založené na celém tisknutelném / typovatelném znakovém prostoru, který mimochodem a zcela náhodně obsahuje pouze znaky ASCII?
@ Matti „Entropy“ není užitečným odkazem na uživatele, ale hodnota by mohla být v obvyklém týdnu vyjádřena silným posuvníkem a zároveň by uživateli poskytla obvyklou radu, jak posílit jeho heslo.Myslím, že bod, který OP dělá, je důvod, proč jsou požadavky jako „musí obsahovat jeden speciální znak“, které nutí uživatele, aby provedli určité volby hesla, když použití delšího hesla bez speciálních znaků může být stejně silné jako kratší se speciálními znaky.
Problém je v tom, že neexistuje žádný spolehlivý způsob výpočtu entropie řetězce ... vždy bude existovat několik špatných hesel, díky nimž bude thourgh.Pokud použijete statické limity jako „alespoň 12 znaků, musí obsahovat písmena, číslice a interpunkci“, máte alespoň určitou minimální záruku ...
Stanford Univ před několika lety implementoval pro své uživatele adaptivní systém zásad hesla: https://uit.stanford.edu/service/accounts/passwords/quickguide
Hesla nemají entropii.* Metody generování hesel * mají entropii.
@n00b Každý ví, že „correcthorsebatterystaple“ je nejsilnější heslo a je ve skutečnosti nezvratné!Každý by měl používat tento!-END REŽIM JOKE- Skutečným problémem je, že lidé si téměř pokaždé zvolí slabá hesla.Potřebujete systém, který automaticky přiřadí heslo, kde je známá (a vysoká) entropie.Uživatelé by to neměli mít možnost změnit „jen proto, že se jim to nelíbí“, protože to snižuje entropii.
@CJDennis pak máte uživatele, kteří dělají * jiné * nebezpečné postupy, jako je psaní jejich PW dolů na lístek s poznámkou vedle jejich monitoru, místo aby měli jakoukoli šanci zapamatovat si „? _2Amd =, _} eZ <# j`.
@MattDMo Nenavrhoval jsem přidělování nezapomenutelných hesel.Věřím, že komiks XKCD ukazuje, že náhodná hesla mohou být silná a snadno zapamatovatelná.Pokud by vám byla přidělena položka „righthorsebatterystaple“, bylo by ti to snadnější nebo hůře zapamatovatelné než `? _2Amd =, _} eZ <# j`?
@CJDennis samozřejmě ten slovně založený.Problém je v tom, že většina společností se stále drží myšlenky „čím divnější znaky, tím lepší“, což mě nutí, abych si vzal docela silné heslo (podle ZXCVBN) a vložil `@ @ pro` a`, `$` pro `s`atd., jen aby splnili jejich kritéria síly.Bohužel jsem musel snížit počet znaků, protože psaní v náhodných kapitálech a symbolech trvá mnohem déle (je * dobrý producent karpálního tunelu, pokud jste jej museli psát 1000krát za sebou), zatímco pokudbylo to jen 4–6 náhodných slov s mezerami nebo podtržítky, bylo by nemožné to prolomit.
@Mark Entropii hesla lze definovat jako nejmenší entropii, která je dostatečná pro její generování pomocí běžné metody generování hesla.Tak to bude stejně popraskané.
Jedenáct odpovědi:
ChristianF
2016-11-17 17:52:29 UTC
view on stackexchange narkive permalink

Po slavném pásu XKCD bylo zahájeno několik projektů zabývajících se přesně tímto druhem kontroly entropie. Jednou z nich byla kontrola hesla ZXCVBN, kterou vytvořil zaměstnanec Dropboxu.

Je to možná nejdůkladnější kontrola hesla svého druhu. Kontroluje vzory, slova a další a podle toho přidává (nebo odečítá) skóre entropie. Je podrobně vysvětleno na jejich blogu.

Věřím, že se jedná o webovou verzi: https://dl.dropbox.com/u/209/zxcvbn/test/index.html
Hm ... Nemyslím si, že bych zadal heslo do náhodného webového nástroje ...
@IonoclastBrigham, ale zdá se, že tento konkrétní nástroj nedělá hovory za zády, že?
Vždy byste si měli dávat pozor na to, abyste zadali skutečné heslo i na web.Ale v tomto případě je to jen ukázka, která ukazuje, jak ZXCVBN funguje, a jako taková je určena k použití s příklady hesel.Nejde o náhradu za vlastní implementaci na vašem webu.
@s.m Zapomněli jste přidat „v době psaní tohoto článku“
pokud jste opravdu paranoidní, můžete při používání formuláře vypnout síťový adaptér.
Vypadá to, že je to stejně tak JavaScript na straně klienta.Jak to ale snadno ověřit?
Pokud nikdo nebyl vyroben, neznamená to, že žádný nebude.Kombinace tohoto s webovým proxy, který dočasně zakáže požadavky, nebo něco podobného, alespoň zajistí, co se stane, když selžou.
AviD
2016-11-17 14:55:34 UTC
view on stackexchange narkive permalink

Je to skvělý nápad, ve skutečnosti je to jediný správný způsob měření síly hesla.

Ale jak byste změřili entropii hesla?
Entropie je aspektem procesu generování, nikoli výstupu.

Například jaký by byl výstup takového měření pro Tr0ub4dor&3 ? Jakýmkoli rozumným měřítkem možné entropie založené na daném hesle by to bylo celkem slušné - přes 70 bitů entropie. Nebo možná, s přihlédnutím k předpokládanému procesu generování hesla, bych mohl být dost chytrý, abych si uvědomil, že je ve skutečnosti omezen na pouhých 28 bitů, protože každý znak není vybrán náhodně, ale nejprve je vybráno celé slovo . Ale ve skutečnosti bych měl celý tento nápad vyhodit úplně, protože jsem to zjevně zkopíroval přímo z toho komiksu.

Stejný problém by platil, kdyby bylo heslo správné sešívání koňské baterie (jedno z nejpopulárnějších hesel u určité populace).

Takže ano, požadavky na heslo by měly být založeny na entropii hesla, ale tento požadavek po daném hesle nelze použít.

(Btw, jak jsem zmínil v další odpovědi na toto téma (z jiného směru), může být dobrý nápad implementovat systém, kde jsou hesla / přístupová hesla automaticky generovány pro danou úroveň entropie a poskytovány uživateli, místo toho, abychom uživatele žádali, aby přišli s takovým, který splňuje naše požadavky. To je samozřejmě to, co by na klienta udělal dobrý správce hesel ...

Myslím, že jediným možným způsobem by byla standardní systémová knihovna pro všechny populární operační systémy, které obsahují nejmodernější slovník hesel a poté vyhledají pozici hesel.Jinak byste museli poslat slovník / cracker hesel v js, což by stálo spoustu zdrojů.Nebo můžete poslat heslo v holém textu nebo rsa zakódované na server.V tu chvíli by byl proces pro většinu serverů podle mě příliš nákladný.
Nerozumím - jen kvůli tomu, co je možné?Chcete-li vypočítat entropii hesla, ve skutečnosti ji nemusíte rozluštit nebo vůbec žádný slovník - stačí prozkoumat míru náhodnosti v procesu generování.To je ono, není třeba hádat hrubou silou.
Ano, ale entropie hesla je pouze měřítkem k popisu, jak dlouho by zhruba trvalo prolomení hesla.Pokud se chcete ujistit, že uživatel nepoužívá program `Tr0ub4dor & 3`, budete muset uhodnout jeho proces vytváření, který nemůžete, takže si můžete vytvořit slovník, který vyhledá jeho heslo a zjistí, zda je silné nebo ne.
@HopefullyHelpful Takže navrhujete prolomit heslo na straně serveru, abyste věděli, zda je slabé.Pokud váš server nedokázal prolomit heslo během jednoho týdne, necháte jej projít.To by mohlo být řešením, pokud byste měli týdny výpočetního výkonu nazbyt.
@HopefullyHelpful To byl přesně můj názor - toto řešení nedává smysl a nemůže fungovat.Entropii nemůžete měřit na základě hesla (pomocí crackingu, slovníků nebo čehokoli jiného), protože entropie je atributem procesu.Proto jsem místo hádání, zda je heslo silné, navrhl generovat silná hesla.
Btw, váš server je téměř zaručeno, že nebude nejúčinnější při prolomení hesla, takže toto řešení je ještě méně užitečné.
Pokud se lidem zobrazí hesla, která si nelze dobře zapamatovat, nebo si je vůbec nebudou pamatovat, jednoduše si je zapíší a nalepí sbírku poznámek po celé ploše, zadní straně notebooku a v pouzdře na kalendář a mobil ...
@jwenting samozřejmě.Proto jsem navrhl buď jim poskytnout zapamatovatelné přístupové fráze, nebo povzbudit / povolit použití správce hesel.
Pokud gzip a base64 „ahoj“, dostanu dlouhou sekvenci „náhodného pohledu“, o které si možná myslíte, že byla vysoká entropie, ale ve skutečnosti tomu tak není.Jediným způsobem, jak můžete _zajistit_, že generování hesla je „vysoká entropie“, je vygenerovat si ho sami a vydat ho ... ale to má další problém bezpečné výměny, zapamatovatelnosti atd.
Myslím, že tato odpověď je příliš negativní, protože, jak (nepřímo) zdůrazňuje odpověď ChristianF, existuje * rozumný přístup k poskytování užitečných opatření entropie hesla, která je obsažena v [zxcvbn password meter] (https: //blogs.dropbox.com / tech / 2012/04 / zxcvbn-realistický-odhad síly hesla /): použijte statistický model, který odhaduje, jak by heslo obstálo proti tak chytrému útočníkovi, jak dokážeme modelovat.To není spolehlivé, stále se dá trochu vylepšit a má to nežádoucí „závod ve zbrojení“, ale je to lepší než pravidla pro složení hesla.
Cody P
2016-11-17 23:10:49 UTC
view on stackexchange narkive permalink

Zásady statického hesla se volí ze dvou hlavních důvodů: použitelnost a soubor výzkumu prokazujícího přijatelnou účinnost. Většina z mých odpovědí pochází z vynikajícího výzkumného dokumentu o pokročilém měřiči síly hesla, Telepathwords.

Nejprve shrňte některé výzkumy použité k zálohování aktuálních zásad pro hesla:

Pravidla pro skládání hesel sahají přinejmenším do roku 1979, kdy Morris a Thompson informovali o předvídatelnosti hesel používaných uživateli v jejich unixových systémech; navrhli, aby hesla delší než čtyři znaky nebo čistě abecední hesla delší než pět znaků byla „opravdu bezpečná“ [19] [Nicméně] Bonneauanalyzoval v roce 2012, o 33 let později, téměř 70 milionů hesel, dopad minimálního požadavku na šest znaků ve srovnání s žádným požadavkem [2]. Zjistil, že to téměř nijak nezměnilo nejistotu ...

To zahrnuje práci Komanduri a kol. [13] a Kelleyet al. [12], který pomocí podobných návrhů studií provedl srovnávací analýzy pravidel skládání hesel. Tyto předchozí studie zjistily, že zvyšující se požadavky na délku hesel obecně vedly k více použitelným heslům, u nichž bylo také méně pravděpodobné, že budou identifikovány jako slabé pomocí algoritmu hádání [ 13 12]. V poslední době Shay et al. Studovali zásady skládání hesel vyžadující delší hesla a zjistili, že nejlepší výkon vychází ze smíchání minima 12 znaků s požadavkem tří znakových sad [25].

Použitelnost je obrovským důvodem, proč se častěji nepoužívají složitější kritéria, jako je entropie hesla:

Ve studii o distribuci hesla zásadami Florencio a Herley zjistili, že imperativy použitelnosti se zdají hrát alespoň 75% roli zabezpečení mezi 75 zkoumanými weby [8]. ...

Ur a kol. také studoval vliv měřičů síly hesla na vytvoření hesla. Zjistili, že když se uživatelé frustrují a ztratí důvěru v měřič, objeví se více slabých hesel. [28]...

Zatímco [Dropbox's] zxcvbn poskytuje tolik potřebné zlepšení důvěryhodnosti jeho odhadů síly ve srovnání s přístupy, které se opírají pouze o pravidla složení, toto důvěryhodnost je nepravděpodobná, že by ji uživatelé pozorovali. Ve skutečnosti může její vnímaná důvěryhodnost trpět, pokud uživatelé, kterým bylo řečeno, že přidávání znaků zvyšuje sílu hesla, viz přidávání určitých znaků ke snížení skóre. Příklad, když zadáte iatemylunch, odhad síly se sníží z druhého nejlepšího skóre (3) na nejhorší skóre (1), když se přidá poslední znak. I když uživatelé považují odhady síly zxcvbn za důvěryhodné, je nepravděpodobné, že pochopí mechanismus odhadu základní entropie, a nebudou si tedy jisti, jak zlepšit jejich skóre. [30]

Nakonec si pro úplnost musíme uvědomit, že definování entropie v tomto příkladu je velmi obtížné (ale zdaleka nemožné). Existuje mnoho různých předpokladů, které můžeme o sofistikovanosti hádacího algoritmu nebo slovníku crackerů hesel vyvodit, a všechny vedou k odlišným odpovědím na entropii hesel jako „Tr0ub4dor&3“ nebo „správná svorka koňské baterie“. Nejsofistikovanější opatření entropie hesla jsou založena na slovnících milionů hesel a pokročilém studiu vzorů hesel, a této úrovně propracovanosti je pro mnoho správců (a hackerů) obtížné dosáhnout.

+1 pro skutečné zodpovězení otázky „proč“ místo „jak a proč změnit“.
Na stupnici od 1 do 10, jak těžké se chystám do pekla číst slovo „Telepathwords“ hlasem Mikea Tysona?
Peter
2016-11-18 04:37:10 UTC
view on stackexchange narkive permalink

Entropie se počítá podle toho, jak si vytváříte heslo. Abyste mohli vypočítat entropii, nepotřebujete znát heslo , místo toho potřebujete vědět, jak bylo vytvořeno. Heslo vám při výpočtu entropie nepomůže, pouze vám umožní udělat velmi špatný odhad entropie.

Příklad:

Heslo123

Pokud naše heslo „Password123“ bylo vybráno ze seznamu 3 nejpoužívanějších hesel, která obsahují písmena, číslice, velká a malá písmena a jsou delší než 10 znaků, entropie hesla123 je směšně nízká.

Pokud stejné heslo „Password123“ bylo vybráno dokonalým náhodným generátorem, který vytváří 11místná hesla s každou číslicí vybranou z 5 000 možných kódových bodů unicode, entropie hesla123 je směšně vysoká.

Jste na něčem, ale „entropie“ je špatné slovo - „entropie“ již má jiný význam. To, co hledáte, je „síla“ hesla. A sílu hesla je těžké měřit správně a ještě obtížněji komunikovat. Nepomůže ani fakt, že síla se mění vždy, když se změní metody útoku.
„Síla“, kterou používají téměř všechny online měřiče hesel, je celkem bollocks.Vyzkoušejte QWEqwe123! "$ Nebo nějaké podobné hovno (jednoduché vzory klávesnice) a divte se jim, že jsou pravidelně hodnoceny jako velmi bezpečné. Navzdory skutečnosti, že každý software pro crackování hesel výslovně kontroluje vzory klávesnice."
@Tom Ve skutečnosti * „sílu hesla je těžké měřit správně“ * Dokonce i nástroj propojený v přijaté odpovědi si myslí, že „correcthorsebatterystaple“, ** nejběžnější 25místné heslo na světě **, je neuvěřitelně silné.A myslí si, že „HowILearnedtoStopWorryingandLovetheBomb“ trvá staletí.
A. Hersean
2016-11-17 15:08:31 UTC
view on stackexchange narkive permalink

Entropii hesla nemůžete měřit, můžete pro ni měřit pouze horní hranici. Jakýkoli odhad síly hesla je chybný.

Použití nástroje pro odhad hesla nebo otravných pravidel má stejný účinek, díky kterému se uživatel pokusí splnit požadavky a heslo si co nejsnadněji pamatuje. Čím tvrdší je požadavek, tím těžší bude pokus o vytvoření snadno zapamatovatelného hesla. Například pomocí hesel jako Pa $$ word1 nebo passwordpasswordpassword. Problém je v tom, že snadno zapamatovatelné heslo je také snadno uhádnutelné heslo.

Pokud je služba, kterou poskytujete, volitelná, máte také riziko odcizení uživatelů příliš silnými požadavky a ztrátou zákazníků.

Můžete však vynutit dolní mez 10 znaků, protože všechna hesla s méně než 10 znaky jsou slabá a splnění požadavku není příliš obtížné. Můžete jim také poradit, aby si vytvořili silná hesla.

Pokud jde o vaši poslední otázku „Zahrnuje již nějaký web nebo program takové požadavky na heslo?“, Myslím, že takové stránky najdete. Nedoporučoval bych však dodržovat jejich praxi. Není to proto, že to dělá někdo jiný, že je dobrý nápad udělat totéž.

* snadno zapamatovatelné heslo je také snadno uhodnutelné heslo. * to je špatně.Přístupová hesla jsou snadno zapamatovatelná, ale těžko uhodnutelná kvůli naprosté velikosti vyhledávacího prostoru.(jejich problém spočívá v tom, že pokud nejste rychlý typer, je do nich peklo vstoupit, ale to je jiný příběh)
@Tom Mnoho by s vámi nesouhlasilo.Výzkum na toto téma je již starou novinkou: https://www.schneier.com/blog/archives/2012/03/the_security_of_5.html http://arstechnica.com/business/2012/03/passphrases-only-marginally-více bezpečnější než hesla špatná volba /
Z vašeho zdroje: * „To je mnohem lepší než hesla“ * - 20 bitů entropie místo 10 bitů entropie je ve skutečnosti mnohem lepší.Že přístupové fráze nejsou všelékem, by mělo být zřejmé („Jsem bůh“ je čtyřslovná přístupová fráze, ale má pouze 7 znaků bez mezer).
pscs
2016-11-17 18:03:28 UTC
view on stackexchange narkive permalink

Jak měříte heslo „entropie“?

Je to nemožné.

Heslo jako „hresda“ může mít „nízkou entropii“, protože bylo vybráno z malých písmen, ale pokud bylo náhodně vygenerováno ze sady znaků obsahujících velká / malá písmena, číslice a symboly a výsledek právě se stalo obsahuje pouze malá písmena, má tedy vyšší entropii. Heslo jako „A63ba!“ může mít nižší entropii než „hresda“, pokud byla vytvořena konkrétně jako [velká písmena] [číslice] [číslice] [malá písmena] [malá písmena] [symbol], nikoli jen náhodně vybrána.

Entropie v procesu generování vám samozřejmě nepomůže, pokud náhodné pole vyplivne slovo ze slovníku.Opravdu je třeba odhadnout „cracking“, a to je u „hresda“ skutečně nižší, bez ohledu na to, jak velká byla původní znaková sada.
Pragmatická odpověď: entropie se měří jako počet odhadů, které bude muset provést běžný nástroj pro prolomení hesel.Dokonale možné a přiměřeně objektivní.Můžete tvrdit, že heslo má _less_ entropii, než se zdá, pokud znáte pravidlo použité k jeho generování, ale heslo nikdy nemůže mít _more_ entropii, než se zdá ... to prostě nedává smysl.
Šance na jakékoli heslo „s nízkou entropií“ generované procesem s vysokou entropií jsou stále nižší.Jako „je více pravděpodobné, že v silně auditovaném softwaru s otevřeným zdrojovým kódem došlo k chybě, která jej vygenerovala, což způsobilo, že se v některých situacích uzamkla malými písmeny“ nízká.Jako „Nevěřím ti“ nízko.Jako: „otočili jste minci 1000krát a všichni se dostali do hlavy“ nízko.Vzhledem k náhodně vybranému prostoru s vysokou entropií bude jakýkoli konkrétní subprostor s nízkou entropií směšně malý a nepravděpodobný.„Mohlo by se to“ stát, pravděpodobně, ale ne za života vesmíru, nízko.
Předpokládejme, že váš systém má při generování hesla 2 000 bitů entropie (silný systém!).Prostor 6 znaků malých anglických písmen má přibližně 28 bitů.** maximální šance **, že se takové heslo vygeneruje, je 1 ku 2 k síle roku 1972.
Také bych dodal, že pokud v nějakém cizím jazyce „A63ba!“znamenalo „heslo“, vaše heslo by bylo v zásadě okamžitě prolomeno, pokud by se mimozemšťané rozhodli to zkusit jako první.Dolní hranice entropie jakéhokoli hesla může být vždy 0. Entropie hesla je to, co mu dáme pomocí vlastních informací a znalostí.
Noctis Skytower
2016-11-18 03:31:28 UTC
view on stackexchange narkive permalink

Ano, existují programy, které měří entropii hesla a rozhodují, zda je dost dobré nebo ne. Jakmile je takový program Wabol Talk. Funkce je implementována pomocí metody odhad_kvality v hlavním modulu programu. Nakonec se metoda používá v metodě těsně nad ní ( chyba ) k ověření polí hesla, která se používají ke generování klíčů a inicializačních vektorů. Odhad je pouze minimální kvality, protože neposuzuje hesla na základě jejich četnosti používání, ale ukazuje jeden z nejjednodušších způsobů, jak zjistit, kolik bitů entropie je v hesle.

Zatímco „odhad_kvalita“ dělá slušnou práci při odmítání špatných hesel, ve skutečnosti to není odhad entropie.Například pouhé převzetí délky hesla by bylo z hlediska teorie lepší odhad entropie (i když by bylo dost špatné odmítat špatná hesla: `aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa`).
Bez znalosti délky nebo vzhledu „špatného“ příkladu hesla by někteří tvrdili, že je to stále docela dobré heslo.
Vaše teorie je patrová, když uvidíte heslo, které odpovídá běžnému vzoru, je mnohem pravděpodobnější, že bylo vytvořeno pomocí vzoru, než aby náhodou vypadlo z generátoru náhodných čísel.
Není to moje osobní teorie.Pokud by heslo mělo jednu miliardu znaků a nebylo známo nic víc, mohlo by se to považovat za neodmyslitelně bezpečné bez ohledu na to, jak bylo vytvořeno (za předpokladu, že jeho konstrukční metoda byla útočníkovi neznámá).
Realističtější je, že je zbytečné vytvářet heslo, které má více bitů dat, než je počet bitů vrácených z této hodnoty hash, která jej zajišťuje.
@ Noctis Skytower Nevíte náhodou, proč WiFi WPA2 generuje 256 bitový klíč ze 160 bitů SHA 1 hash pomocí PBKDF2?
Proč je něco tak, jak to je?Buď to bylo navrženo tak (vědomě nebo nevědomě), nebo došlo k chybě.Volby provedené v minulosti by mohly být učiněny jinak, pokud by si to tvůrce rozhodnutí přál.Chcete-li odpovědět na svou otázku, přečtěte si část [Odvození 256bitového klíče z PBKDF2-SHA1] (http://crypto.stackexchange.com/questions/34686).Díky tomu nebude směšně dlouhé heslo o nic lepší.Pokud je prostor pro heslo větší než hash, existuje pravděpodobně lepší způsob řešení „problému“ než pokus o vygenerování původního hesla.
Vlastně plně souhlasím s vaším názorem (v komentáři), že moje vzorové heslo má vysokou entropii, protože je dlouhé.Množství náhodnosti při generování `g) yJa # Hu` a` aaaaaaaaa` je naprosto stejné.Nesouhlasím s tím, že procedura `odhad_kvalita` v propojeném kódu odhaduje entropii.Použitím stejného příkladu by tento postup řekl, že `g) yJa # Hu` je lepší než` aaaaaaaaa`, i když jejich entropie by měla být podobná, ne-li stejná.
Je tomu tak proto, že argument „odhad_kvalita“ vytváří alespoň jeden předpoklad: útočník bude vědět něco o tom, jaké sady znaků byly použity při vytváření hesla.Heslo `aaaaaaaaa` vyžaduje k uložení v efektivním formátu ~ 43 bitů, ale heslo` g) yJa # Hu` vyžaduje k uložení v efektivním formátu ~ 52 bitů.
TV's Frank
2016-11-18 16:01:47 UTC
view on stackexchange narkive permalink

Poznámka o mezinárodním prostředí. Pokud je heslo vytvořeno pro web otevřený pro celý svět (není neobvyklý), je pravděpodobné, že uživatel nemluví anglicky jako rodným jazykem, a může místo toho zvolit, řekněme, švédská slova jako základ pro metodu vytvoření hesla xkcd.

„paraplyost“ (deštníkový sýr) by se pravděpodobně umístil níže v entropické kontrole, která věděla o švédském slovníku, než ta, která ne. Pokud útočník ví, že uživatel je švédský (není to nejběžnější scénář, ale může se to stát), mohl by být schopen hacknout heslo uživatele snadněji, než si byl entropický kontrolor vědom, ledaže je v entropickém kontroléru naloženo stovky (nebo tisíce) ?) slovníků.

Jedním z příjemných vedlejších účinků je to, že pokud mluvíte jazykem, který není jedním z nejběžnějších na světě, můžete si jako anonymní uživatel na internetu vytvořit ještě bezpečnější hesla. mezinárodní webové stránky. :)

Nemyslím si, že je problém vytvořit slovník všech slov na světě.
Dmitry Grigoryev
2016-11-21 16:33:51 UTC
view on stackexchange narkive permalink

Zahrnuje již nějaký web nebo program takové požadavky na heslo?

Několik webů to dělá. Například přejděte na https://www.dropbox.com/login a zkuste se zaregistrovat pomocí hesla, které je běžným slovníkem s 8 znaky nebo více (např. slovník ). Uvidíte, že měřič síly ukazuje nejnižší skóre. Nyní zkuste náhodně zamíchat písmena (např. ioictnadry ) a použít to - uvidíte, jak měřič síly stoupá.

Zjevnou nevýhodou této metody je, že musíte každému klientovi pomocí přihlašovacího formuláře nahrát slovník běžných hesel. To se nedávno stalo v pořádku, ale před 5 nebo 10 lety to bylo naprosto nepřijatelné.

Dick99999
2016-11-18 15:11:26 UTC
view on stackexchange narkive permalink

Můj dojem je, že většina trhlin používá existující seznamy hesel pro slovo &. A několik variant, jako je přidávání čísel nebo opakování slova. Výjimka je uvedena níže.

Takže heslo je také slabé, pokud se objeví na seznamu , jakkoli silné by se však mohly ukázat výpočty entropie (procesu generování). Význam „seznamu“: pokud seznam crackerů neobsahuje vaše heslo, je silný, navzdory výpočtu entropie. Je tedy téměř nemožné předem zkontrolovat (neznámý) seznam. Pokus o 65 milionů slov nepoškodí, viz Stanfordská hesla SUNet ID. 65M je hodně, ale tento seznam obsahuje téměř 2,5 miliardy hesel: Hesla MySQL

Proces generování PW s vysokou entropií a nástroj, který entropii kontroluje, by měl být doplněn krokem odmítnutí který používá seznamy a vzory. I tyto procesy s vysokou entropií mohou generovat snadno uhodnutelná hesla, například aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa (viz níže) a heslo1 .

Požádal jsem crackera o Ashley Madison hashuje, jak by mohli rozbít dlouhé přístupové fráze, které zveřejnili. Jen obecná odpověď, ale po analýze publikovaných odpovědí jsem zjistil, že většina z těchto dlouhých frází jsou běžné výrazy nebo hash značky, viz zdroj některých popraskaných frází AM

The Jedinou výjimkou ze seznamů jako zdrojů jsou hesla, která mají vzor jako: kapitál, potom malá písmena následovaná číslem. Běžné vzory s% úspěšnosti jsou k dispozici na internetu. Ty lze skutečně snadno předem zkontrolovat.

- úprava upravena o 2,5 miliardy; část „aaaaaaa“ přidána; přeformulované odmítnutí

Tom
2016-11-22 17:00:19 UTC
view on stackexchange narkive permalink

Jedno slovo: Zásady

Za posledních zhruba deset let je hlavní posun v zabezpečení informací směrem k dodržování předpisů, kontrole a zásadám. V podstatě to, co dnes děláme, je vybudování ISMS (Information Security Management System) na základě závazku na úrovni C a podnikových zásad.

A když se dostanete k psaní zásad hesla, nejste na technická úroveň. Píšete dokument, který si zaměstnanci musí přečíst, porozumět mu a případně jej podepsat. Píšete dokument, který vedení musí přijmout a podporovat. Nemůžete se dostat příliš hluboko do matematiky, nebo se nedočkáte přijetí.

Nakonec, když přemýšlíte o tom, jak skutečně implementovat politiku hesel, téměř ve všech organizacích nemáte svobodu vymýšlet svá vlastní pravidla . Budete mít spuštěnou něco jako Active Directory a vaše implementace s ním musí pracovat, se systémem IDM, se starým zásobníkem nebo s čímkoli jiným.

Takže se slzami v očích píšeme zásady hesla, které známe být napůl hloupý, protože je to to nejlepší, co můžeme skutečně udělat.



Tyto otázky a odpovědi byly automaticky přeloženy z anglického jazyka.Původní obsah je k dispozici na webu stackexchange, za který děkujeme za licenci cc by-sa 3.0, pod kterou je distribuován.
Loading...