Entropie in der Physik und in der Informationswissenschaft ist nur der Logarithmus (typischerweise natürliches Log in der Physik; Basis-2-Log in der Informatik) der Anzahl gleich wahrscheinlicher Möglichkeiten, da es im Allgemeinen einfacher ist, mit dem Logarithmus von umzugehen und darüber nachzudenken Diese außergewöhnlich große Anzahl von Möglichkeiten als die Möglichkeiten direkt.

Wenn ich zufällig 128-Bit als meinen zufälligen AES-128-Schlüssel generiert habe (den ich irgendwo speichere), ist es leicht zu erkennen, dass es 2 128 gibt sup> = 340.282.366.920.938.463.463.374.607.431.768.211.456 mögliche Schlüssel, die ich hätte verwenden können (2 gleich wahrscheinliche Auswahlmöglichkeiten für jedes Bit; und Wahrscheinlichkeiten multiplizieren sich). Wenn es um die Komplexität von Informationen geht, ist es einfacher, über den Schlüssel mit 128 Bit Entropie zu sprechen, als insbesondere über 340 x 10 ^{36 sup> oder 340 Undecillion (kurze Skala)} Wenn Sie es mit einem 256-Bit-Schlüssel mit 2 256 = 115,792,089,237,316,195,423,570,985,008,687,907,853,269,984,665,640,564,039,457,584,007,913,129,639,936 vergleichen möchten, ist es technisch gesehen kein zufälliger Benutzer.

Weisen Sie ihm eine Entropie zu.

Sie können einem Modell zum Generieren von Kennwörtern nur eine Entropie zuweisen. Wenn Sie also aufgefordert werden, eine Entropie für ein Kennwort zu schätzen, müssen Sie das Modell annehmen, das dieses Kennwort möglicherweise generiert hat.

Wenn ich Ihnen ein Passwort wie P [rmDrds, r geben würde, könnten Sie annehmen, dass ich zufällig 10 Zeichen aus einem Satz von 95 druckbaren ASCII-Zeichen ausgewählt habe, und für Brute-Force müssten Sie 95 durchlaufen ^{10 sup> ~ 2 65,7 sup> Möglichkeiten und es hätte eine Entropie von 65,7 Bit. Es ist jedoch nur ein sehr schwaches Passwort OpenSesame , bei dem ich meine Hände auf der Tastatur um einen Buchstaben nach rechts verschoben habe (was wahrscheinlich eine der häufigsten Methoden ist, um die Eingabe zu ändern Passwort mit niedriger Entropie merken). Wenn Sie OpenSesame in einer Liste von beispielsweise 1.000 (1000 ~ 2 10 sup>) häufigsten Passwörtern finden könnten, dann wäre die Entropie von P [rmDrds, r liegt näher an 16 Bit (Möglichkeiten von 2 10 sup> x 2 6 sup>), wenn bei der Kennworterzeugung eine von 64 gängigen Methoden zum Verschleiern eines Kennworts ausgewählt wird Wählen Sie ein Passwort aus einer Liste von 1000 gebräuchlichen Passwörtern. Nach ungefähr 64.000 Versuchen könnte ein hoch entwickelter Brute Forcer, der diesen Angriffsweg ausprobiert hat, zu P [rmDrds, r gelangen. Daher ist es genauer, die Entropie auf ungefähr 16 Bit als 65,7 Bit zu schätzen, was 2 entspricht 65.7-16 sup> ~ 2 49.7 sup> ~ 914 Billionen Mal einfacher zu erzwingen als das 65,7-Bit-Passwort.}

Nun, offensichtlich hat ein weniger ausgefeilter Brute-Force-Angreifer die Möglichkeit ignoriert, Zeichen auf der Tastatur um ein Leerzeichen nach links zu verschieben, während er allgemeine Kennwortlisten durchläuft. Aber um sicher zu gehen, ignorieren Sie dumme Angreifer und gehen davon aus, dass ein sehr hoch entwickelter Angreifer alle Ihre Methoden zur Passwortgenerierung in Betracht gezogen hat ( Kerckhoffs Prinzip besagt, dass Sie Sicherheit durch Dunkelheit vermeiden sollten; nehmen Sie an, dass der Feind Ihre geheime Technik unter vielen anderen Methoden in Betracht gezogen hat ). Wenn also jemand sagt, dass Sie ein Passwort mit hoher Entropie benötigen, ist Ihr Ziel kein Passwort, das sehr zufällig zu sein scheint (und einige einfache Passworttester bezeichnen es als Passwort mit hoher Entropie). Sie möchten ein zufälliges Passwort, das aus vielen zufälligen Auswahlmöglichkeiten besteht, die in Ihr Passwortgenerierungsverfahren eingegeben werden. Sie sollten keine aussagekräftigen Wörter für sich auswählen und ein Passwort dafür mit obskuren Tricks wie dem Verschieben von Buchstaben oder Leetspeak-Ersetzungen erstellen. Für ein sicheres Passwort sollten Sie sich darauf verlassen, dass mehr als 80 Bits nicht menschlicher Zufälligkeit in Ihre Prozedur eingegeben werden. Sie sollten beachten, dass ein Bit Entropie in einem Kennwortgenerierungsverfahren einer Entscheidung mit zwei Optionen entspricht (z. B. etwas, das durch einen Münzwurf bestimmt werden könnte).

Und wieder mit sehr geringer Wahrscheinlichkeit kann zufällig ein Passwort mit vielen zufälligen Auswahlmöglichkeiten generieren und es endet ein sehr schwaches Passwort; Beispielsweise ist es technisch möglich, dass Sie zufällig 12 Zeichen auswählen und password1234 oder dddddddddddd erhalten. In der Praxis ist dies eine Möglichkeit, obwohl dies unwahrscheinlich ist (z. B. wenn Sie eine Prozedur verwenden, die ein 90-Bit-Kennwort generiert, besteht die Möglichkeit, dass ein Kennwort generiert wird, das auch mit einer einfacheren Prozedur mit nur 34 Bit generiert werden könnte 2 ^{34 sup> / 2 90 sup> = 1 in 2 56 sup> Dies entspricht ungefähr der Wahrscheinlichkeit, genau zwei Mega Millions-Tickets hintereinander zu kaufen und den Jackpot zu gewinnen beide Male).}

Nach Ihrer Beschreibung bin ich mir nicht sicher, ob Sie verstehen, wie die Kennwortentropie berechnet wird. Die Entropie eines Passworts würde korrekter als log (R) beschrieben, wobei R eine Zufallsmetrik und keine Komplexitätsmetrik ist.

Zum Beispiel Dies hat nichts mit der Verwendung von Sonderzeichen zu tun. Das Passwort Tr0ub4dor&3 hat 0 Entropie, weil ich es von irgendwo genommen habe. Andererseits hat das Passwort 1101111110101000001011001110101110011111010100101111001110101011 eine Entropie von 64 Bit, da ich es gerade generiert habe, indem ich 8 zufällige Bytes genommen und sie binär gedruckt habe.

Die Entropie eines Passworts ist die Entropie aus der Informationstheorie. Es misst die Menge an Informationen, die jemand, der versucht, das Passwort zu brechen, nicht kennt. Sofern nicht anders angegeben, gehen Sicherheitsleute davon aus, dass sich das System gegen Personen mit mindestens normaler Intelligenz verteidigen muss. Nach dem Prinzip von Kerckhoffs gehen wir davon aus, dass der Angreifer die Methode kennt, mit der das Passwort ausgewählt wurde. Daher ist der Informationsgehalt, der dem Angreifer über die Methode fehlt, 0. Was der Angreifer jedoch nicht wissen kann, ist die Ausgabe meines Zufallsgenerators. Somit ist die Entropie eines Passworts der Informationsgehalt, der vom Zufallsgenerator bereitgestellt wird. Unter der Annahme eines perfekten Zufallszahlengenerators und einer Kennwortgenerierungsmethode, die unterschiedliche RNG-Ausgaben in unterschiedliche Kennwörter umwandelt, entspricht dieser Informationsgehalt der aus dem RNG gelesenen Datenmenge.

Die Passwortentropie ist additiv. Wenn ein System über zwei Kennwörter verfügt, sodass Sie beide angeben müssen, um sich anzumelden, ist die Entropie des Kennwortpaars die Summe der Entropie der beiden Kennwörter. Beachten Sie, dass hier eine Unabhängigkeitsannahme besteht! Wenn Sie herausfinden können, ob ein Passwort korrekt ist, ohne das andere zu kennen, ist die Entropie des Systems mit zwei Passwörtern geringer als die Summe der Entropie. (Betrachten Sie im Extremfall ein Kennwort mit einer festen Länge von N Bits: Sie können jedes Bit des Kennworts als separates Minikennwort betrachten. Wenn Sie jedes Bit unabhängig testen können, sind nur 2N Versuche erforderlich, um es anstelle von 2 zu brechen ^ N). Diese Eigenschaft stammt wiederum aus der Informationstheorie: Sie können die Entropie zweier separater Informationsquellen hinzufügen, es ist jedoch nicht sinnvoll, die Entropie zweier sich überlappender Quellen hinzuzufügen.

Der Grund, warum die Kennwortentropie normalerweise wie log₂ (D) aussieht, ist, dass dies die Shannon-Entropie für eine Informationsquelle ist, die eine einheitliche Wahrscheinlichkeitsverteilung für alle potenziellen Ergebnisse aufweist, wenn die Anzahl der potenziellen Ergebnisse D beträgt. Ergebnisse bedeutet Ergebnisse eines stochastischen Passwortgenerierungsprozesses.

Und wie andere hier hervorgehoben haben, ist Entropie keine Eigenschaft eines einzelnen Passworts. Entropie ist eine Eigenschaft eines Ensembles von Passwörtern, die durch ein bestimmtes Regelwerk definiert ist. Wenn Sie sich jedoch nicht darum kümmern, streng zu sein, können Sie manchmal lose auf diese Regeln schließen, indem Sie ein einzelnes Passwort überprüfen, z. Das Vorhandensein von Ziffern und Großbuchstaben impliziert lose Regeln, die ein größeres Ensemble (mit einer einheitlichen Wahrscheinlichkeitsverteilung) angeben, als wenn nur Kleinbuchstaben vorhanden sind.

Für ein einzelnes Passwort gibt es ein anderes Maß namens Kolmogorov Complexity misst, wie viele Informationsbits erforderlich sind, um dieses bestimmte Passwort aus einem vorgegebenen Algorithmus zu erzeugen. Dies ist offensichtlich ein relatives Maß, da es vom Algorithmus abhängt. Sie können jedoch die komprimierte Länge des Kennworts als Proxy für die Komplexität von Kolmogorov verwenden.

Eine bessere Möglichkeit, sich die Entropie eines Passworts vorzustellen, ist die minimale Anzahl von Bits, die erforderlich sind, um die im Passwort enthaltenen Informationen zu übermitteln. Einige Beispiele:

Wenn mein Passwort "aaaaaaaa" lautet, ist eine gültige Methode zum Anzeigen der Entropie des Passworts 5,9 Bit (Entropie für ein einzelnes alphanumerisches Zeichen, bei dem zwischen Groß- und Kleinschreibung unterschieden wird) plus 3 Bit (zur Angabe) es wiederholte sich 3 mal).

Wenn für einen Dienst zwei Kennwörter erforderlich sind und beide so eingestellt sind, dass sie miteinander übereinstimmen, habe ich die Informationsmenge für die Kommunikation der Kennwörter über ein einziges Kennwort seit "Kennwort123" und "Kennwort123" nicht wesentlich erhöht 1 'sind in Bezug auf die Entropie nicht so unterschiedlich.

Wenn ein Dienst zwei Passwörter erfordert und beide (separat) zufällig generiert werden, habe ich die Entropie in der verdoppelt Passwörter (obwohl es sinnvoller wäre, nur ein einziges Passwort mit strengeren Mindestanforderungen zu haben).

Wie andere bereits gesagt haben, handelt es sich nicht um eine Kennwortentropie, sondern um eine Entropie zur Kennwortgenerierung : Wie schwierig ist es, ein bestimmtes Kennwort zu duplizieren, wenn man genau weiß, wie es erstellt wurde.

Um die Entropie zu berechnen, schreiben Sie den Prozess Schritt für Schritt auf. Bestimmen Sie dann, wie viele Versuche erforderlich sind, um ein durch diese Schritte generiertes Kennwort zu finden.

Kennwort: 01012006

Vorgang: Der Geburtstag meines Kindes im Format MMTJJJJ. 365,25 pro Jahr, das derzeitige Höchstalter der Menschen und das Mindestalter für eine erfolgreiche Geburt eines Kindes ergeben einen Bereich von nicht mehr als 115 Jahren. 115 x 365,25 = 42.004 Versuche, bevor Sie sicher sind, das Passwort gefunden zu haben.

Vorgang: Wählen Sie 8 Zufallszahlen mit 10-seitigen Würfeln aus. 10 ^ 8 Versuche, bevor Sie sicher sind, das Passwort gefunden zu haben.

Das gleiche genaue Passwort ist wesentlich einfacher zu erhalten und unterliegt einer Out-of-Band-Optimierung (Informationen sind nicht direkt Teil des Prozesses, aber welche Grenzen die Optionen). Wenn ich das Geburtsdatum Ihrer Kinder kenne, liegt die aktuelle maximale Anzahl von Versuchen wahrscheinlich unter 1000 und so niedrig wie 1.

Ob es additiv ist: nicht genau. Sie haben nur einen Algorithmus zur Kennwortgenerierung. Er enthält lediglich einen Schritt, der an anderer Stelle als vollständiger Prozess zum Generieren eines Kennworts verwendet wurde.

Die Entropie des Passworts entspricht der Entropie jeder Informationsquelle: Sie ist -log_2 der Bayes'schen Wahrscheinlichkeit dieses genauen Passworts für den Angreifer. Daher ist die Entropie eines Passworts streng genommen vom Angreifer abhängig, da es sich um die Bayes'sche Wahrscheinlichkeit für ihn handelt, einschließlich aller Informationen, die er bereits besitzt.

Die Entropie des Passworts ist für Sie Null, da die Bayes'sche Wahrscheinlichkeit für das richtige Passwort für Sie 1 beträgt: Das Universum besteht nur aus einem einzigen Passwort, weil Sie es kennen.

Wenn Sie sich entschieden haben, ein einheitlich zufällig ausgewähltes Wort aus einem 4096-Wörter-Wörterbuch zu entfernen, und der Angreifer dies weiß, beträgt die Kennwortentropie 12 Bit. Wenn der Angreifer jedoch nicht weiß, welches der 256 möglichen Wörterbücher (mit unterschiedlichen Wörtern, z. B. wegen unterschiedlicher Sprachen) Sie ausgewählt haben, und wenn er jedem von ihnen gleiche Wahrscheinlichkeiten zuweist, enthält Ihr Kennwort 20 Bit Entropie für ihn.

Wenn er andererseits eine 50% ige Chance gibt, dass Sie es aus dem richtigen Wörterbuch genommen haben, und er die anderen 50% / 255 den anderen 255 Wörterbüchern zuweist (mit anderen Worten, er vermutete das richtige Wörterbuch mit 50%), dann hat Ihr Passwort nur 13 Entropiebits für ihn. Beachten Sie, dass Ihr Passwort tatsächlich 21 Entropiebits enthält, wenn er das Hauptwörterbuch falsch erraten hat, da er dem richtigen Wörterbuch nur 50% / 255 zugewiesen hat. Mit anderen Worten, die Entropie eines Passworts hängt davon ab, was der Angreifer tut schätzt bereits, dass Sie Ihr Passwort kennen.

Der einzige absolut sichere Weg, ein Passwort mit hoher Entropie zu erhalten, ist die Verwendung eines echten Zufallszahlengenerators (basierend beispielsweise auf dem zweiten Hauptsatz der Thermodynamik oder der Quantenphysik), wobei Die physikalische Entropie wird verwendet, um eine Informationsentropie zu erzeugen. Der Punkt ist, dass niemand einen besseren Bayes'schen Schätzer hat als die physikalisch gegebene Entropie (oder auf andere Weise würde der zweite Hauptsatz der Thermodynamik verletzt: genau das sagt der zweite Hauptsatz tatsächlich).

Kryptographischer Eins- Art und Weise, wie Falltürfunktionen keine Entropie hinzufügen: Im besten Fall erhalten sie Entropie. Wenn Sie eine Zahl zwischen 1 und 32 auswählen und dann SHA-256 oder SHA-1 oder eine beliebige lustige Kombination von Hash-Funktionen berechnen, sehen Sie etwas aus, das wie ein sehr zufälliges Passwort aussieht, aber nur 5 Bits enthält der Entropie, wenn Ihre Auswahl von 1-32 einheitlich zufällig war: Es gibt nur 32 mögliche Ergebnisse, unabhängig davon, wie viele Bits Sie in Ihrem endgültigen Passwort haben.

Pseudozufallsgeneratoren fügen ebenfalls keine Entropie hinzu: Sie verschleiern Sie die Entropie, die sich im Samen befindet. Sie sind nichts anderes als eine komplizierte Folge von Hash-Funktionen, die auf den Startwert angewendet werden.

Die Kennwortentropie wird dadurch angegeben, wie lange ein Angreifer, der Ihr Kennwortgenerierungsschema kannte, normalerweise benötigt, um alle möglichen Kennwörter zu durchlaufen, die er generieren könnte.

Zum Beispiel verwende ich einen Kennwortgenerator das sind im Grunde Wörterwörter. Ich verwende eine kryptografisch starke Methode, um ein zufälliges Wort zu generieren, und verwende dann Gruppen von 6 Bits, um aus einem Wörterbuch mit 64 englischen Wörtern mit 3 Buchstaben (Ratte, Kuh, Männer ...) auszuwählen, um das Passwort für den Menschen lesbarer zu machen /usable/memorable.

Obwohl die scheinbare Entropie (Angreifer kennt die Methode nicht) eines Zeichens aus dem resultierenden Passwort ungefähr 5 oder 6 Bits (ein Zeichen aus 26 Alpha oder mehr alphanumerisch) beträgt, beträgt die Die wahre Entropie (der Angreifer hat mein Programm) beträgt nur 2, da bekannt ist, wie es generiert wurde.

Ein sicheres Passwort wird einfach durch eine ausreichende Anzahl von Zeichen erreicht. Eine Zeichenfolge mit 39 Zeichen enthält 78 Bit echte Entropie.