Frage:
Ist der NHS in Bezug auf Passwörter falsch?
Robin Winslow
2016-10-07 01:31:03 UTC
view on stackexchange narkive permalink

Ein mir bekannter NHS-Arzt musste kürzlich seinen obligatorischen Online-Schulungsfragebogen ausfüllen, in dem eine Reihe von Fragen zu klinischer Praxis, Sicherheit und Schutz gestellt werden. Der gleiche Fragebogen wurde an alle Ärzte in diesem NHS-Trust gesendet.

Der Fragebogen enthielt die folgende Frage:

Welche der folgenden Fragen würde das sicherste Passwort ergeben? ? Wählen Sie eine aus:

a. 6 Buchstaben einschließlich Klein- und Großbuchstaben.
b. 10 Buchstaben eine Mischung aus Groß- und Kleinbuchstaben.
c. 7 Zeichen, die eine Mischung aus Zahlen, Buchstaben und Sonderzeichen enthalten.
d. 10 Buchstaben in Großbuchstaben.
e. 5 Buchstaben, alle in Kleinbuchstaben.

Sie antworteten mit "b" und verloren eine Note, da die "richtige Antwort" anscheinend "c" war.

Es Nach meinem Verständnis führt das Erweitern der Kennwortlänge in der Regel zu mehr Entropie als das Erweitern des Alphabets. Ich nehme an, der NHS könnte argumentieren, dass Menschen normalerweise lange Passwörter aus sehr vorhersehbaren Wörtern bilden, was sie leicht zu erraten macht. Wenn Sie die Benutzer jedoch dazu zwingen, "Sonderzeichen" einzuführen, verwenden sie diese auch auf sehr vorhersehbare Weise, mit denen Algorithmen zum Erraten von Passwörtern keine Probleme haben.

Obwohl sie vollständig offengelegt werden, bin ich kein Passwort-Experte - ich habe meistens diesen Eindruck von Randall Munroe bekommen (zur Diskussion klicken):

password strength

Bin ich falsch?

Ich mag es, dass sie Leute auf die Konzepte von Passwörtern testen, aber das ist eine schreckliche Reihe möglicher Antworten.
Letztendlich ist es eine sehr schlecht formulierte Frage ohne klare Antwort.Sie haben Recht, dass die Länge im Allgemeinen wichtiger ist als der Zeichensatz, wenn es darum geht, ein Tier beim Knacken eines Passworts zu verhindern, aber ohne zu definieren, welche Zeichen in "Sonderzeichen" enthalten sind, ist es unmöglich zu sagen, welches besser ist.Option c gibt auch keine Groß- und Kleinbuchstaben an, sodass es durchaus möglich ist, dass es sich um einen kleineren Zeichensatz und ein kürzeres Kennwort handelt.26 Kleinbuchstaben +10 Zahlen + ein halbes Dutzend gebräuchliche Sonderzeichen sind weniger Zeichen als nur Groß- und Kleinbuchstaben
Hattest du Training oder war dieses Quiz aus heiterem Himmel?Die richtige Antwort ist die, die das Training angeboten hat, nicht die "wahre" Antwort.Dies ist ein trauriger Zustand, aber ich gehe davon aus, dass er nicht auf Infosec beschränkt ist und Sie ähnliche Probleme mit medizinischen Dingen haben.Requisiten als NHS-Arzt;Ich bin Brite und du machst tolle Arbeit.
Wenn man bedenkt, wie viele / Banken / in Bezug auf die Passwortsicherheit falsch liegen, kann ich nicht sagen, dass ich überrascht bin…
Ich vermute, die Autoren betrachten dies eher vom praktischen als vom theoretischen Standpunkt aus.Tatsache ist, dass die meisten Cracking-Versuche mit wörterbuchbasierten Suchen beginnen, möglicherweise mit einigen trivialen Substitutionen.Während also mehr Buchstaben weniger erraten werden können als weniger Zeichen, einschließlich Interpunktion, versuchen Cracker ziemlich wahrscheinlich zuerst alle Buchstaben, bevor sie den Zeichensatz erheblich erweitern.Die praktische Unterbrechungszeit kann sich also stark von der theoretischen unterscheiden.
Dies ist eine dieser Internet-Fragen, die mich wütend machen und eine wütende Briefkampagne an jemanden starten wollen.
@Michael wir brauchen ein "Ich habe im Internet herausgefunden, dass jemand IN REAL LIFE falsch ist" xkcd für diese Gelegenheiten.
Die "c" -Antwort ist auch schlecht, weil sie ein 7-stelliges Passwort erwähnt, das für alle Standards * viel * zu kurz ist.
@keshlam Das ist irgendwie meine Frage.Ich bin eigentlich mehr an den praktischen Auswirkungen interessiert als an der absoluten Gesamtzahl zufälliger Möglichkeiten.Das Problem mit dieser Logik für Sonderzeichen ist jedoch, dass jeder, der versucht, irgendwo mit der Anforderung für Sonderzeichen einzudringen, über die Anforderung Bescheid weiß.Ich vermute, dass die Leute dazu neigen, Sonderzeichen auf sehr vorhersehbare Weise zu verwenden, und daher ist der Vorteil einer längeren Länge (ahem) immer noch weit überlegen.Aber ich würde jeden begrüßen, der sich mit Forschung zu diesem Thema auskennt.
Das einzige Problem, das ich mit diesem Comic habe, ist, dass ich dieses Passwort fast nirgendwo verwenden kann, da jeder die Nummer, den Fall (und manchmal sogar das Sonderzeichen) benötigt.
Und vor welcher Bedrohung geschützt?Wenn der Server das Passwort im Klartext speichert, sind alle gleichermaßen sicher.Sie könnten argumentieren, dass die kürzeste Zeit am sichersten ist, da Sie sie am seltensten aufschreiben und auf Ihrem Schreibtisch liegen lassen.
Dies ist derselbe NHS, der immer noch die Homöopathie finanziert.Verstehen Sie mich nicht falsch, ich denke, der NHS ist eines der besten Dinge, die wir in Großbritannien haben - aber er hat chronische Managementprobleme, und seine Erfolgsbilanz mit der IT lässt sich am besten mit dem Zitat von Despair.com zusammenfassen: "Manchmal ist Ihr Ziel inDas Leben soll anderen als Warnung dienen. "So überrascht über die Tatsache, dass sie keine IT-Grundausbildung erhalten können, oder?Nicht sehr.
Es gibt den Punkt, dass das C-Passwort (wenn entsprechend eingeschränkt) einige "Sonderzeichen" enthält, wodurch die Verwendung einfacher Namen oder gebräuchlicher Wörter / Phrasen verhindert wird.Dies erhöht nicht die statistische Stärke des Passworts, macht es jedoch weniger anfällig für ein Wörterbuch-Cracking-Schema.
Nein, das tut es nicht.Der Punkt, den das OP nach gängigen Substitutionen fragt / macht, ist tot auf dem Geld, und aktuelle Algorithmen zum Knacken von Passwörtern verwenden heuristische Analysen, keine einfachen Brute-Force-Wörterbuchangriffe.Unabhängig davon, welche Zeichen in einem 7-stelligen Passwort enthalten sind, wird es in relativ kurzer Zeit unterbrochen.Es gibt einfach nicht genug Permutationen und der Computer kann jede einzelne Möglichkeit unabhängig von der Komplexität in kurzer Zeit ausprobieren.8 Zeichen sind eine Größenordnung besser, aber immer noch zu kurz.9 ist um * große * Ränder weitaus besser als 8 und 10 weitaus besser als 9.
Was ist NHS? ....
10 ^ 26 >> 26 ^ 10.Das heißt, sechsundzwanzig Ziffern haben viel größere Kombinationen als zehn Buchstaben.Länge ist fast immer wichtiger als Breite.
Die Entropie hängt vom Alphabet und der Anzahl der verwendeten Symbole ab.Im Fall von englischen Wörtern (die ungefähr eine Million sind): Ein Passwort von vier solchen zufällig ausgewählten Wörtern ergibt eine Entropie von 79, dh (log2 (10 ^ [6 * 4]). Klar, wenn wir englische Wörter wählen - unsereDas Alphabet ist keines von 52 ungeraden Elementen ... wie einige hier zu verwirren scheinen.
Natürlich kann auch ein Satz mit 26 Symbolen eine Folge von Wörtern beschreiben ... In dieser Hinsicht muss nur eine ausreichende Länge sichergestellt werden, damit die Passwortentropie, wie sie mit der Alphabetansicht mit 26 Symbolen gesehen wird, vergleichbar ist.Für eine Entropie von mehr als 72 benötigen wir insgesamt rund 17 Zeichen.d.h. 72 / Log2 (26)
@Celeritas (National Health Service) (https://en.wikipedia.org/wiki/National_Health_Service) im Vereinigten Königreich.
Erinnert mich an das Quiz zur Einhaltung der IT-Sicherheitsbestimmungen, das von einem Gesundheitsdienstleister in Texas durchgeführt wurde. Bei einer der Quizfragen wurde versucht, herauszufinden, ob Menschen ihr Wissen über biologische Viren auf Computer-Malware projizieren würden.Unglücklicherweise für die vermeintlichen Experten, die das Quiz schreiben, verursachen Computerviren höchstwahrscheinlich einen Anstieg der Systemtemperatur und der Trägheit aufgrund der CPU-Auslastung, die durch die Malware verursacht wird, die versucht, sich zu verbreiten.
Beachten Sie, dass ein ** menschlicher Faktor ** an ihrer Entscheidung beteiligt sein kann.Wenn Sie sie von Nur-Buchstaben-Passwörtern entfernen (auch wenn dies bedeutet, dass sie nicht so lange verwenden, weil es schwer zu merken ist), können Sie im Durchschnitt sicherere Passwörter erstellen, nur weil weniger Leute Dinge wie "Secretpass" verwenden`(das sind 10 Zeichen ... aber wahrscheinlich ziemlich schnell gebrochen) oder andere extrem vereinfachte Passwörter im Wortstil.... aber immer noch eine miese Frage.
Mögliches Duplikat von [XKCD # 936: Kurzes komplexes Passwort oder lange Wörterbuch-Passphrase?] (Http://security.stackexchange.com/questions/6095/xkcd-936-short-complex-password-or-long-dictionary-passphrase))
Ich denke, die meisten Antworten hier verfehlen den Punkt.Die Frage lautet nicht, ob eine Reihe von Netzwerkadministratoren "welches Kennwort _Anforderungen_ am besten durchsetzen soll?", Sondern eine Reihe von Benutzern, "welches Kennwort (vorausgesetzt, alle erfüllen die Mindestanforderungen) besser zu wählen ist".Mit anderen Worten, es wird versucht, den Benutzer dazu zu bringen, darüber nachzudenken, wie er ein Passwort auswählt, und genau über die Faktoren nachzudenken, die viele Antworten als Schlüssel identifizieren (Zufälligkeit ist keine gültige Annahme in der realen Welt, es sei denn, wir erzwingen die Verwendung von Passwortmanagern).Die meisten von ihnen verwenden ein nicht zufälliges Passwort, um Zugang zu erhalten.
Nicht für ein bestimmtes radomisch generiertes Passwort, sondern für eine Richtlinie oder, wie Adam erwähnt, Anforderungen, sind sie richtig, dass die Sonderzeichen es wahrscheinlicher machen, dass es schwieriger wird, Passwörter zu erraten / zu begründen, da Benutzer dies im Allgemeinen nicht tunErstellen Sie völlig zufällige.
In dieser Frage wird gefragt, warum http://security.stackexchange.com/questions/139594/why-do-the-large-majority-of-big-organizations-have-known-bad-password-policie
@StarWeaver gibt es eine XKCD für diese: https://xkcd.com/386/
@ Evan Steinbrenner, Obwohl Sie im Prinzip richtig sind, haben "Zahlen und Sonderzeichen" einen einfachen intuitiven Satz (ich zögere, ihn "Definition" zu nennen): Es sind die Symbole auf den 21 nicht-alpahbetischen Tasten der linken Tastatur.Sie sind alle die folgenden: `1234567890- = ~! @ # $% ^ & * () _ + []; '\ ,. / {}:" | <>?
(Fortsetzung) Es ist leicht zu erkennen, dass 52 ^ 10 ~ = 1e17 und 94 ^ 7 <= 1e10 ^ 14.Was schwieriger zu beweisen ist, ist, dass "10 Zeichen in Groß- und Kleinbuchstaben" fast immer 1 oder 2 Wörter sind (ich würde ~ 20 Bit Entropie sagen, da alle langen Wörter einzeln sind), während "7 Zeichen in Großbuchstaben"und Kleinbuchstaben "ist ein Wort, aber mit seltsamer Scheiße (28 Bit laut Tabelle, aber lasst uns> 25 zustimmen, sollen wir?)
Weißt du was?Ich kann gut sagen, dass 2 Wörter <= 24 Bit sind, wie in der Tabelle angegeben.
Es ist interessant, dass niemand dies mit den verschiedenen Veröffentlichungen verglichen hat, die NHS-Organisationen zum Thema Passwortsicherheit herausgeben oder auf die sie verweisen.Außerdem [hier ist ein ähnliches, aber anderes Quiz des NHS Trust der Royal Wolverhampton Hospitals] (http://www.royalwolverhamptonhospitals.nhs.uk/jdoi/downloads/Intro_to_Information_Governance_Booklet_070411.pdf#page=33).Und genießen Sie [diese Anleitung zum Aufschreiben von Passwörtern aus einem anderen Teil des NHS] (http://www.northamptonshire.nhs.uk/resources/uploads/files/IM&T_14.pdf#page=16).
Schade, dass das Passwort [173467321476C32789777643T732V73117888732476789764376Lock] (https://www.youtube.com/watch?v=oNrWgjh9tnU) öffentlich bekannt ist
Doggone Ärzte.Sie haben den Tag in ihrer ersten Klasse der medizinischen Fakultät für Informatik verpasst, an dem es um Informationsentropie ging.Oh, warte, sie studieren Physiologie und Genetik an der medizinischen Fakultät, nicht Informatik.
Neun antworten:
Mark
2016-10-07 02:01:57 UTC
view on stackexchange narkive permalink

In jeder Hinsicht sind sie falsch:

Sieben zufällig druckbare ASCII: 95 7 sup> = 69 833 729 609 375 mögliche Passwörter.

Zehn zufällige Alphabetisierung: 52 10 sup> = 144 555 105 949 057 024 mögliche Passwörter oder mehr als 2000-mal so viele.

Länge zählt. Wenn Sie Ihre Passwörter zufällig generieren, zählt dies weitaus mehr als jede andere Methode, um sie schwer zu erraten.

Sie sagten kein ASCII und viele (die meisten?) Systeme erlauben Unicode-Passwörter.Es gibt 128.172 Unicode-Zeichen, daher wäre "c" auf dieser Basis korrekt.
Tatsächlich sagten sie für "b" nicht, dass es sich um lateinische Groß- und Kleinbuchstaben handelte.Ich gehe davon aus, dass Unicode eine Joblast von nicht-lateinischen Groß- und Kleinbuchstaben hat.
@paj28, Das Konzept der Großschreibung ist eigentlich nur ein Merkmal der lateinischen und griechischen Alphabete und einiger der daraus abgeleiteten Alphabete.
Mit einem [QuickScript] (http://dpaste.com/3HJGDJK) zähle ich 1984 Klein- und 1631 Großbuchstaben.3615 ** 10 = 381138671891365331133862350087890625 (für b), was immer noch weniger als 128172 ** 7 = 568266595760666481405057656211161088 (für c) ist.Vielleicht könnten wir einige nicht druckbare Zeichen aus (c) herausschneiden, um die Zahl zu verringern - aber es ist ziemlich klar, dass die Leute, die die Frage geschrieben haben, keine dieser Berechnungen durchgeführt haben!
@paj28 Im Großen und Ganzen ist dies ein guter Punkt, aber in der Praxis ist es meiner Meinung nach nicht realistisch zu erwarten, dass das durchschnittliche Arztsystem in einem Land, in dem Englisch als Primärsprache gesprochen wird, alles andere als ASCII-Schlüsseleingaben zur Verfügung hat (wenn sie es herausfinden müssen)So konfigurieren Sie mehrere Tastaturlayouts auf möglicherweise mehreren Computern, die möglicherweise nicht "ihnen" gehören, und die Eingabemethode für die Arbeit schaltet Hotkeys in ihren Kennworteingabefluss um und wird möglicherweise gesperrt, wenn sie sich bei einer Workstation anmelden müssen, die dies nicht istbereits so konfiguriert, könnte es genauso gut nicht existieren).
@mtraceur Wenn Sie die Sicherheit ernst genug nehmen, um Fragebögen zu erstellen, müssen Sie sie wahrscheinlich nicht mehr manuell eingeben. Sie müssen über physische Zugriffsschlüssel verfügen (z. B. einen RFID-Chip oder einen USB-Stick mit dem Schlüssel)..
@Kevin wenn nur ... Mit vielen miteinander inkompatiblen Systemen ist der NHS die Art von Institution, die mit aufgeschriebenen Passwörtern arbeitet.Das Beste, auf das Sie hoffen können, ist, dass es nicht auf einem Post-It unter der Tastatur steht.Einige * anspruchsvollere * Krankenhausmitarbeiter, denen ich begegnet bin, hatten ein Klartextdokument auf einem passwortgeschützten Telefon.Andere ein Buch.
@ChrisH Ernsthaft?Ich bin ein App-Entwickler, der Apps für niederländische Gesundheitseinrichtungen erstellt. Der NHS wird nächstes Jahr unser erster internationaler Kunde sein.Fast alle niederländischen Gesundheitsorganisationen verwenden RFID-Chips zur Authentifizierung. Die Gesundheitsinspektion zwingt sie grundsätzlich dazu.Wenn NHS wirklich so unsicher ist, freue ich mich nicht auf nächstes Jahr lol: P.
@Kevin Ich habe nur meine eigenen Augen, um weiterzumachen, und verbringe nicht viel Zeit im Gesundheitswesen, damit sich die Dinge möglicherweise weiterentwickelt haben.Es werden jedoch immer noch viele Legacy-Systeme verwendet und die klassischen Probleme mehrerer Passwörter mit unterschiedlichen Regeln, die alle bei unterschiedlichen Frequenzen stark geändert werden.Der NHS war eine der größten Einrichtungen, die für erweiterte XP-Unterstützung nach Lebensende zahlten.Ich glaube, sie haben jetzt aufgehört, aber das bedeutet nicht, dass sich alles weiterentwickelt hat
Jede amerikanische Tastatur hat diakritische Zeichen und kann in us-intl so konfiguriert werden, dass è, é, ò, ç, ë, õ .. 5 Diakritika gedruckt werden, normalerweise auf den 5 Vokalen, das sind 50 weitere Zeichen oder `145 ^ 7 = 1,3 10^ 15` oder nur 100 mal weniger.
[Diese Antwort] (http://security.stackexchange.com/a/137322/112339) auf eine andere Frage beschreibt den Fall gegen die Verwendung von Nicht-ASCII-Zeichen in Kennwörtern.Es hat nichts mit der Theorie zu tun (größere Zeichensätze sind besser) und alles mit der Praxis (Sie können Systemimplementierern von Drittanbietern nicht vertrauen, dass sie Nicht-ASCII-Text zuverlässig verarbeiten).
Und im Fall von c nimmt die Anzahl möglicher Passwörter natürlich ein gutes Stück ab, wenn das System verlangt, dass alle Passwörter eine Mischung aus oberem / unterem Symbol und Zahlen enthalten.
@JimmyJames, ebenso wie das Erhöhen der Alphabetgröße nicht viel hilft, das Verringern schadet den Dingen nicht viel - theoretisch.In der Praxis setzt jeder den Großbuchstaben am Anfang des Passworts und die Ziffer und das Symbol am Ende.
@Mark Bitte helfen Sie mir, dies zu verstehen.Angenommen, die Regeln erfordern mindestens einen Großbuchstaben, eine Ziffer und ein Symbol.Die Anzahl der möglichen Passwörter beträgt dann 23 * 10 * 26 * 95 ^ 4 = 487.074.737.500 oder 143-mal weniger als die Zahl 95 ^ 7.143 mal weniger ist viel in meinem Buch, z.143 Monate, um alle Hashes brutal zu erzwingen, sind viel mehr als 1 Monat.Entweder ist meine Mathematik falsch oder wir haben unterschiedliche Vorstellungen darüber, was "viel" bedeutet.
@JimmyJames, Zwei Fehler in Ihrer Mathematik.Erstens gibt es 33 Symbole, nicht 23, und zweitens können die eingeschränkten Zeichen an einer beliebigen Stelle im Kennwort erscheinen.Die richtige Formel lautet (33 * 10 * 26 * 95 ^ 4 * 7!) / (3! * 4!) = 24.459.622.687.500 oder etwa ein Drittel so groß wie 95 ^ 7.
@Mark Ja, ich habe den zweiten Fehler bemerkt, als ich mein Abendessenbier genossen habe.Offensichtlich hatte ich einen B12-Mangel.Also OK, kein so großer Unterschied, wie ich gedacht hatte, aber dennoch ist 1/3 kein unbedeutender Unterschied.
@njzk2: Es ist einfach albern zu behaupten, dass typische Benutzer diakritische Zeichen in ihre Passwörter einfügen werden.Es wird einfach nicht passieren, Ende der Geschichte.Die Länge des Passworts ist von größter Bedeutung.Und die Vielfalt der Eingabe ** in der Praxis ** ist kleiner als der vollständige ASCII-Zeichensatz.
@Craig richtig, denn typische Benutzer sind natürlich Amerikaner.Wie dumm von mir, den Rest der Welt zu betrachten.
@njzk2: schöne Zündung.Sie benutzen in Großbritannien viele Umlaute, oder?Englisch ist eine Sprache, die beispielsweise im Rest der Welt nicht viel für Unternehmen verwendet wird.Ich spreche nur zur Praktikabilität.Unter dem Strich ist die tatsächliche Größe des Alphabets, aus dem Passwörter ausgewählt werden, in der Praxis viel kleiner als der vollständige Unicode-Zeichensatz.Theorie ist schön, aber Realität ist was sie ist.Außerdem bist du derjenige, der über amerikanische Tastaturen und Diakritika sprach.
@Craig ja, denn das ist die Tastatur, auf der ich diesen Kommentar geschrieben habe.Dies sollte jedoch nur die Tatsache betonen, dass selbst Personen, die normalerweise keine Diakritika verwenden, noch einige in ihr Passwort eingeben können.(Aber wie Sie sagten, das ist Theorie. In der Praxis wissen wir alle, dass das Passwort immer "123456" ist.)Verschiebung der Größenordnung, aber nicht des Ergebnisses des Vergleichs)
Das Problem bei dieser Antwort ist, dass die Leute Passwörter nicht zufällig * überhaupt * auswählen.Es ist daher besser, sich eine große Datenbank mit tatsächlichen Kennwörtern anzusehen und für jede dieser Einschränkungen zu vergleichen, wie einfach es ist, das durchschnittliche Kennwort, das die Einschränkung erfüllt, zu knacken.
Die Kehrseite ist, dass, wenn Sie nur Buchstaben haben, die Wahrscheinlichkeit besteht, dass das Passwort ein Wörterbuchwort enthält .... Wahrscheinlich nur ein oder mehrere Wörterbuchwörter
@Kevin Der NHS verfügt tatsächlich über eine Smartcard-basierte Authentifizierungslösung.Wie bei jeder SSO-Lösung ist die Integration jedoch ein Problem, und viele Anbieter tun dies nicht, und natürlich ist sie nicht in Lösungen integriert, die vor ihrer Einführung erstellt wurden.
Nicht einverstanden mit dem "in irgendeiner Weise" - wer erstellt ein Passwort, das völlig zufällig ist?Fast niemand, weil es schwer zu merken ist.Da wir dem Auswahlprozess bereits ein Muster oder eine Reihenfolge auferlegen, führt welche der Optionen mit größerer Wahrscheinlichkeit wieder zu einer Zufälligkeit, die schwer zu erraten oder zu begründen ist, wenn jemand versucht, das Kennwort zu knacken?Unabhängig von der Anzahl der Zeichen, wenn ich etwas wie MyNameIsAndy auswähle, kann dies leicht erraten werden, wenn die Anforderung, dass ich irgendwo ein ungerades Zeichen einfügen muss, es zufälliger macht - MyName # IsAndy
@AndrewMattson Jedes anständige Tool zum Knacken von Passwörtern würde wahrscheinliche Passwörter ausprobieren und durch Zahlen und Symbolzusätze / -ersetzungen permutieren.Das Hinzufügen eines solchen Symbols macht ein leicht zu erratendes Passwort nicht viel stärker.
@JimmyJames - und mit einer etwas längeren Buchstabenfolge bieten Groß- und Kleinbuchstaben KEINEN Schutz vor einem "leicht zu erratenden" Hack.Ich weise darauf hin, dass die Prämisse, dass die längere Zeichenfolge stärker ist, nur dann anwendbar ist, wenn der Benutzer zufällig eine Kennwortkombination generiert, was so gut wie nie vorkommt.Es gibt eine Reihe von Möglichkeiten, Nicht-Buchstaben-Zeichen zu verwenden, sodass es stärker werden kann, da Sie mehrere Versionen desselben erratenen Kennworts testen müssten.MyN@meIsAndy, MyName! SAndy, MyNameIs@ndy, MyN@me! S@ndy, usw.
@AndrewMattson Ja, aber wenn die Hashes freigelegt sind, dauert das Ausprobieren dieser Kombinationen sehr wenig Zeit.
Abgestimmt, weil es völlig falsch ist, dass sie "in irgendeiner Weise" falsch sind.Es gibt leicht verfügbare Regenbogentabellen mit oberen bis unteren bis zu> 10 Zeichen.Diese sollten in erster Linie als * Nicht-Passwörter * betrachtet werden.Nur weil Sie theoretisch möglicherweise den gesamten ASCII-Zeichensatz verwenden, bedeutet dies nicht, dass Hacker dumm genug sind, anzunehmen, dass Sie dies getan haben.
@njzk2 In Bezug auf internationale Benutzer, die sich die Mühe machen, diakritische Zeichen zu verwenden - die meisten von ihnen werden dies nicht tun, selbst wenn sie es gewohnt sind, dies regelmäßig zu tippen.Zum Beispiel verwenden alle Chinesen, die ich kenne, das lateinische Alphabet plus Zahlen für ihre Passwörter.Ich hatte nicht so viel Kontakt mit Benutzern, deren Primärsprache viele lateinische Zeichen mit Akzent verwendet, aber was ich vorgeschlagen habe, ist, dass sie auch einfach die Akzente in Passwortfeldern überspringen.
@LoganPickup Als jemand, der einige diakritische Zeichen in meiner Muttersprache hat, zeigt mir meine Erfahrung, dass kaum jemand sie verwendet, insbesondere mit dem Aufkommen mobiler Geräte, bei denen das Tippen oft ärgerlich ist.Außerdem ist Ihr Konto von allen Computern ohne installierte polnische Tastatur nicht zugänglich. Außerdem besteht der Faktor, dass Sie nicht wissen, wie die Zielwebsite mit diesen Zeichen umgeht.Ich habe einmal den Zugriff auf mein Konto verloren, weil das Formular zum Ändern des Passworts anders behandelt wurde als das Anmeldeformular.
@WilliamKappler:-Regenbogentabellen sind nur bei ungesalzenen Hashes wirklich nützlich, die leider immer noch zu viele Datenbanken mit Anmeldeinformationen beschreiben.Aber pbkdf2, scrypt und bcrypt sind vor Regenbogentabellen sicher, ebenso wie ein direkter SHA1-Hash mit Salz.Das Problem mit gerade gesalzenem SHA1 ist, dass es zu schnell ist, sodass der Angreifer viele weitere Vermutungen anstellen kann.Moderne Angriffe verwenden Heuristiken und Wörterbuchschätzungen.Selbst das Aneinanderreihen von drei nicht verwandten Wörterbuchwörtern zu einem langen Passwort erhöht die Stärke des Passworts erheblich.Die Länge des Passworts ist kritisch.
Anders
2016-10-07 02:04:53 UTC
view on stackexchange narkive permalink

Die theoretische Perspektive

Lassen Sie uns hier rechnen. Es gibt 26 Buchstaben, 10 Ziffern und etwa 10 Sonderzeichen. Zunächst nehmen wir an, dass das Passwort völlig zufällig ist (und dass ein Zeichen in einer Gruppe nicht häufiger verwendet wird als ein Zeichen in einer anderen Gruppe).

Die Anzahl der möglichen Passwörter kann dann sein geschrieben als C = s ^ n wobei s die Größe des Alphabets und n die Anzahl der Zeichen ist. Die Entropie des Passworts ist definiert als: 

  log2 (C) = log2 (s ^ n) = log2 (s) * n

Lets plug die Zahlen aus der Frage in diese: 

  sn Entropie (Bits) A 52 6 34.2B 52 10 57.0C 72 7 43.2D 26 10 47.0E 26 5 23.5

In diesem Szenario ist C nach B und D nur die drittbeste Option.

Die praktische Perspektive

Dies alles unter der Annahme der Zufälligkeit. Dies ist keine vernünftige Annahme dafür, wie Personen Passwörter generieren. Menschen machen das einfach nicht so. Wir müssten also einige andere Annahmen treffen, wie die Passwörter generiert werden und in welcher Reihenfolge der Angreifer sie in seinem Wörterbuch versucht.

Eine nicht unangemessene Vermutung wäre, dass viele Wörterbücher mit Wörtern beginnen und erst später Fahren Sie mit dem Ersetzen und Hinzufügen von Sonderzeichen fort. In diesem Fall ist ein einzelnes Sonderzeichen in einem kurzen Passwort besser als ein wirklich langes gemeinsames Wort. Wenn der Angreifer jedoch weiß, dass immer ein Sonderzeichen verwendet wird, versucht er zuerst, diese Passwörter zu verwenden. Und auf der dritten Seite dreht sich das Wörterbuch vielleicht um völlig andere Prinzipien (wie das Auftreten in durchgesickerten Datenbanken).

Ich könnte für immer weiter spekulieren.

Warum ist das die Frage, nicht die Antworten, das ist falsch

Das Problem ist, dass es viele Prinzipien gibt, wie das Passwort generiert wird, aus denen ich auswählen kann, und ich könnte willkürlich eines auswählen, um fast jede Antwort zur richtigen zu machen. Die ganze Frage ist also sinnlos und dient nur dazu, einen wichtigen Punkt zu verschleiern, den keine Passwortrichtlinie auf der Welt durchsetzen kann: Es ist nicht das, was ein Passwort enthält, das es stark macht - es ist, wie es generiert wird.

Zum Beispiel enthält Passwort1! Groß- und Kleinbuchstaben, eine Zahl und ein Sonderzeichen. Aber es ist nicht sehr zufällig. ewdvjjbok enthält dagegen nur Kleinbuchstaben, ist aber viel besser, da es zufällig generiert wird.

Was sie hätten tun sollen

Wenn Sie einfach aufhören, sich auf das sehr fehlbare und begrenzte menschliche Gedächtnis zu verlassen, sind der Zeichensatz und die Länge keine begrenzenden Faktoren mehr, die Sie gegeneinander abwägen müssen. Sie können beides im Überfluss haben.

Eine Möglichkeit, dies zu tun, ist die Verwendung eines Passwort-Managers. Wie Dan Lowe in Kommentaren betonte, ist dies möglicherweise keine praktikable Option für ein Krankenhaus. Eine zweite Alternative ist die Verwendung einer Zwei-Faktor-Authentifizierung (z. B. eines Hardware-Tokens oder einer Schlüsselkarte), die die Sicherheit des ersten Faktors (des Kennworts) weniger wichtig macht.

Dies liegt in der Verantwortung des Systems Manager und nicht die Endbenutzer zu implementieren. Sie müssen die Tools bereitstellen, mit denen die Endbenutzer ihre Arbeit auf praktische und sichere Weise ausführen können. Keine Benutzererziehung kann dies ändern.

Als ich eine englischsprachige Tastatur in meiner Nähe betrachtete (eine, die tatsächlich Gravuren enthält!), Fand ich etwas mehr als dreißig verfügbare nicht-alphanumerische Zeichen (wobei nur Shift als Modifikator verwendet wurde - nicht Compose / Super / etc).Gleiches gilt für einen Touchscreen für medizinische Geräte.Sie können also wahrscheinlich die Punktzahl für C ein wenig erhöhen (es wird immer noch nie gewinnen!).
@TobySpeight Danke für die Eingabe - hatte nicht erwartet, dass es so viele geben würde!Ich denke, es ist eine Frage zu Wheater, es ist "verfügbare Sonderzeichen" oder "Sonderzeichen, die Menschen im Durchschnitt tatsächlich verwenden".Und dann kommen wir zurück zu der Tatsache, dass die ursprüngliche NHS-Frage zu vage ist, um beantwortet zu werden.
Der Passwort-Manager ist in einer medizinischen Umgebung nicht realistisch.Ärzte und anderes Personal melden sich in gemeinsam genutzten Terminals in Büroräumen, Fluren, Patientenzimmern usw. an. Nicht nur auf ihrem eigenen Computer oder Gerät.
Ihr Bit "Praktische Perspektive" geht davon aus, dass der Wörterbuchangriff zuerst alle Nur-Buchstaben-Variationen erschöpft.Wenn der Angreifer weiß, dass eine Reihe von Sonderzeichen und Zahlen erforderlich sind, versucht er wahrscheinlich, verschiedene Wortvarianten zu verwenden.Selbst wenn nicht, verwenden Benutzer wahrscheinlich immer noch Wörter und ersetzen Buchstaben durch visuell ähnliche Zeichen (wie E bis 3 oder T bis 7).Dies würde einen begrenzten Satz von Zahlen oder Sonderzeichen hinzufügen, um längere Wörter oder Phrasen zuzulassen, von denen ich nicht überzeugt bin, dass sie es in ein "sichereres" Gebiet bringen würden.
@DavidStarkey Der Punkt, den Sie in dem Kommentar machen, ist ungefähr der gleiche, den ich in der Antwort mache.Ich sage nicht, dass Sie davon ausgehen können, dass der Angreifer nur zuerst Buchstaben verwendet - tatsächlich schlage ich das Gegenteil vor.
Auch der Passwort-Manager kann illegal sein (ich weiß nicht), da ich nicht glaube, dass LastPass mit den HIPA-Speicheranforderungen in Großbritannien erstellt wurde.
@MaciejPiechotka Guter Punkt.Ich werde die letzte Vergangenheit der Antwort umschreiben, um sie später differenzierter zu gestalten, aber momentan keine Zeit.Danke für die Eingabe.
Ausgezeichnete Antwort, aber ich bin mit der Schlussfolgerung in Ihrem letzten Abschnitt ("Was sie hätten fragen sollen") auf subtile Weise nicht einverstanden.Nicht weil "Generieren Sie Ihre Passwörter zufällig mit einem Passwort-Manager" ein schlechter Rat ist, sondern weil es ein guter Rat für ** Endbenutzer ** ist, und weniger für ** Institutionen ** wie NHS, die, wenn sie es wirklich ernst meinenIn Bezug auf die Passwortsicherheit sollten sie sich stattdessen intensiv mit der Zwei-Faktor-Authentifizierung befassen.
@DanLowe Das wäre ein Argument für 2-Faktor-Authentifizierung.Aber dann geht es darum, das Risiko eines schwachen Passworts zu lindern, indem wir einen zusätzlichen Mechanismus verwenden, statt nur „Passwortstärke“ zu verwenden, was die Frage wieder schlecht macht.+1 zu dieser hervorragenden Antwort.
@MaciejPiechotka - Soweit ich das beurteilen kann, gibt es in Großbritannien keine spezifischen Rechtsvorschriften, die denen von HIPA ähneln.Dies würde bedeuten, dass es nach dem Datenschutzgesetz nur eine allgemeine Verpflichtung gibt, dass die für die Verarbeitung vertraulicher Informationen Verantwortlichen bewährte Verfahren befolgen sollten, um sicherzustellen, dass die Informationen nicht falsch offengelegt werden, jedoch keine spezifischen gesetzlichen Anforderungen an die tatsächlich verwendeten Technologien bestehen.
@TobySpeight Sind Sie sicher, dass alle Tastaturen gleich sind?Dass alle Arten von Desktop / Gamer / Notepad / OSD / & C-Tastaturen die gleichen Besonderheiten haben?
In einer höheren Anzahl von Sonderzeichen bearbeitet, stärkt dies natürlich nur die Schlussfolgerung.- Für Interessenten benötigen Sie mehr als 282 eindeutige Zeichen in einem zufälligen Passwort der Länge 7, um ein zufälliges Passwort der Länge 10 zu schlagen, das aus 52 eindeutigen Zeichen besteht.
Entschuldigung: Ich habe falsch vorausgesehen, was Sie schreiben wollten :).[return] Ich mag Passwort * Manager * nicht, weil Sie dem Passwortmodell den Speicher des physischen Besitzers des Passworts anvertrauen (Authentifizierung basierend auf dem, was Sie wissen).Durch die Einführung einer Software innerhalb dieses Vertrauenspfads fügen Sie viele Risiken hinzu.[return] Ich habe den Fehler gemacht zu glauben, dass die meisten Sicherheitsspezialisten diese Risikoanalyse geteilt haben.
Passwörter sind weitaus sicherer als Passwortmanager oder sie benötigen selbst Passwörter.Ein Arzt kann mehr als einen Computer benutzen und es ist wirklich sehr, sehr schlecht, wenn er nicht autorisierten Personen einen Stock oder einen solchen uneingeschränkten Zugriff gibt.
Ich muss sagen, es ist erfreulich, wie viele Systeme ich angemeldet habe, wobei "* light |" kein sicheres Passwort ist, sondern "Password1!".
Vality
2016-10-07 04:20:19 UTC
view on stackexchange narkive permalink

Mir ist klar, dass es bereits eine Reihe guter Antworten gibt, aber ich möchte einen Punkt klarstellen.

Die Frage ist nicht zu beantworten, da weder ein Zeichensatz noch die Kennwortauswahlmethode angegeben sind .

Um zunächst den zweiten Punkt anzusprechen, werden wir so tun, als würden die Passwörter innerhalb der zulässigen Domäne wirklich zufällig generiert, andernfalls können wir nicht einmal anfangen, in dieser Angelegenheit zu argumentieren.

Um extreme Beispiele zu nennen, sagen wir für unseren anderen Punkt, dass b Buchstaben nur im englischen Alphabet impliziert, also sagen wir 52 mögliche Symbole. Dies ergibt ungefähr 5,7 Bit Entropie pro Zeichen und somit insgesamt ungefähr 57 Bit Entropie.

Andererseits sagen wir (vielleicht etwas unvernünftig), dass Antwort c jeden völlig zufälligen Unicode-Codepunkt impliziert, der berücksichtigt wird ein Charakter sein (im Gegensatz zu einer Stückliste usw.). Derzeit gibt es ab Unicode 6 ungefähr 109.000 davon. Dies bedeutet ungefähr 16,7 Entropiebits pro Zeichen und insgesamt 117 Entropiebits.

Andererseits, wenn die Antwort c nur auf ASCII beschränkt war oder vielleicht ISO 8859-15 oder eine Teilmenge davon, könnte die gegenteilige Schlussfolgerung leicht gezogen werden.

Dies ist natürlich völlig unvernünftig, unterstreicht jedoch die Zerbrochenheit der Frage und wie man jede Antwort vernünftigerweise rechtfertigen kann. Um eine vernünftige Testfrage zu sein, müsste sie viel strenger formuliert werden, was es für Benutzer mit begrenzten technischen oder mathematischen Kenntnissen viel schwieriger machen würde, sie zu erarbeiten.

Am Ende würde ich vorschlagen, dass dies ein Test ist Wahrscheinlich ziemlich sinnlos, da eine Organisation im Idealfall nicht verlangt, dass Benutzer sich Kennwortanforderungen merken, sondern sie stattdessen technologisch durchsetzen (die einzige Anforderung, die ich auswendig lernen kann, ist, dass dasselbe Kennwort nicht an mehreren Stellen wiederverwendet wird)

Aus praktischer Sicht muss der Schlüsselbereich auf das beschränkt werden, was der Benutzer vernünftigerweise eingeben kann.Da dies der NHS ist, ist Englisch die einzige Sprache, von der sie sicher sein können, dass sie verfügbar ist.Ausländische Sprecher haben möglicherweise andere Dinge auf ihren Systemen konfiguriert, aber das bedeutet nicht, dass jeder Computer, den sie möglicherweise verwenden müssen, konfiguriert wird.
@LorenPechtel Ich verstehe das, und als ich zu implizieren versuchte, sagte ich nicht, dass das Beispiel wirklich realistisch ist, sondern nur, dass solche Unklarheiten ausreichen, um die Frage mit Sicherheit unmöglich zu beantworten.
Ich lehne diesen "unbeantwortbaren" Standpunkt ab.Ja, es gibt bestimmte Unbekannte, was bedeutet, dass es nicht möglich ist, absolut definitiv korrekte Zahlen über Möglichkeiten zu berechnen.Dies bedeutet * nicht *, dass es nicht zu beantworten ist, da wir hier nur nach Allgemeingültigkeiten suchen.Wir wissen, dass grobe Größen von Alphabeten verwendet werden.Und stimmt es nicht, dass die Anzahl der Möglichkeiten, die durch die Verlängerung der Länge von 7 auf 10 hinzugefügt werden, einen Unterschied von beispielsweise etwa 40% in Ihrer Alphabetgröße bei weitem überwiegt?Unabhängig von Unbekannten gibt es definitiv bessere und schlechtere Faustregeln.
Ich stimme mit allem außer dem letzten Absatz überein.Ich denke, es ist nützlich, die Leute über die * Argumentation * hinter den Anforderungen an die Passwortkomplexität im Allgemeinen zu unterrichten (obwohl ich nicht zustimmen würde, die Details eines bestimmten Regelwerks), denn wenn sie diese Argumentation verstehen, werden viele von ihnen (inTheorie, hoffentlich) könnte eher geneigt sein und in der Lage sein, auf eigenen Wunsch stärkere Passwörter zu wählen.Im Gegensatz dazu, nur das Nötigste zu tun, um die Anforderungen der vorhandenen technischen Durchsetzungsmechanismen zu erfüllen.
Jander
2016-10-08 12:40:19 UTC
view on stackexchange narkive permalink

Ist der NHS falsch, welche Passwörter im Idealfall am sichersten sind? Ja, absolut - und die anderen Antworten haben diesen Grund ziemlich gründlich abgedeckt.

Ist der NHS falsch, welche Passwörter in einer NHS-Umgebung am sichersten sind? Vielleicht nicht.

Wie könnte ein langes Passwort schlechter sein als ...

Es gibt Legacy-Systeme, die die Länge eines Passworts künstlich begrenzen - zum Beispiel das alte Windows LANMAN / Der NTLMv1-Kennwort-Hash begrenzt die Länge auf 14 Symbole und der alte DES-basierte UNIX-Kennwort-Hash auf 8. Schlimmer noch, bei der Kennworteingabe auf einem solchen System können Sie häufig ein Kennwort eingeben, solange Sie möchten, und danach alles ignorieren die ersten n Symbole.

Tatsächlich scheint es wahrscheinlich, dass NTLMv1 das spezielle Legacy-Schema ist, das sie ausführen. Wie @MarchHo hervorhebt, teilt NTLMv1 Ihr Passwort in zwei Hälften mit jeweils bis zu 7 Zeichen auf, und jede Hälfte kann separat geknackt werden. Wenn Sie also NTLM mit einem 10-stelligen alphanumerischen Passwort verwenden, haben Sie wirklich ein 7-stelliges alphanumerisches Passwort und ein 3-stelliges alphanumerisches Passwort. Ersteres ist deutlich schlechter als 7 Zeichen aus dem vollständigen Symbolsatz, und letzteres kann auf einem 10 Jahre alten PC in Millisekunden unterbrochen werden.

Warum wird etwas so Altes noch häufig verwendet?

Grundsätzlich, weil es funktioniert und ein Upgrade teuer wäre.

Nun, das spekuliere ich, aber: Ich schlage vor, dass insbesondere in Gesundheitsumgebungen wahrscheinlich Legacy-Systeme ausgeführt werden. wegen der Sensibilität der Gesundheitsversorgung. Neue Systeme müssen wahrscheinlich einer gründlichen Prüfung unterzogen werden, bevor sie als Lösung akzeptiert werden. Dies bedeutet, dass Upgrades von Gesundheitssystemen in der Regel langsam und mit hohen Kosten durchgeführt werden.

Wenn Sie also wissen, dass es häufig verwendete Systeme gibt, die sich so verhalten Wenn Sie sie nicht beheben können, können Sie Ihren Benutzern am besten mitteilen, dass sie ein Kennwort mit der Länge n unter Verwendung des größtmöglichen Symbolpools auswählen sollen.

Im Allgemeinen: Sind Sie sicher, dass Ihre Passwörter nicht abgeschnitten sind?

Leider hat dies auch Auswirkungen auf den allgemeinen Fall, insbesondere auf uns, die unsere Passwörter lange mögen. Wie sicher sind wir, dass wir uns nicht mit nur dem ersten oder zweiten Wort unserer Passphrase auf https://example.com in unser Konto einloggen können? So schlecht die Verwendung des bekannten "korrekten Pferdebatterystapels" auch ist, die versehentliche Verwendung von "richtig" wäre noch schlimmer. Um in Ihren Passwörtern sicher zu sein, reicht es nicht aus, sicherzustellen, dass Sie genügend Entropie generieren. Sie müssen auch sicherstellen, dass das System am anderen Ende nicht das meiste davon wegwirft.

NTLM teilt das 14-stellige Passwort auch in zwei 7-stellige Hashes auf, sodass die effektive Passwortlänge 7 beträgt.
@MarchHo: Ich denke, Sie haben vielleicht gerade das Rätsel gelöst!Meine Antwort wurde aktualisiert.
Der NTLM-Hashing-Prozess teilt das Kennwort vor dem Hashing nicht in zwei 7-stellige Segmente auf.Sie denken an den LM-Hashing-Prozess, der dies tatsächlich tut.LM konvertiert auch alle alphabetischen Zeichen vor dem Hashing in Großbuchstaben.
NTLM Version 1 verwendet den Prozess, über den ich spreche, den es von LANMAN geerbt hat.Siehe z.[Wikipedia] (https://en.wikipedia.org/wiki/NT_LAN_Manager) und [MSDN] (https://msdn.microsoft.com/en-us/library/cc236699.aspx).NTLMv2 behebt dieses Problem, indem Sie zu einem MD4-basierten Schema wechseln.Guter Punkt bei der Umstellung auf Großbuchstaben.
@Jander Ich denke, wir mischen Diskussionen über die Authentifizierungsprotokolle und die Hashing-Methoden.
Das ist sehr interessant.Doch ein beschissenes Microsoft-Sicherheitsprotokoll, das die meisten Menschen nicht verwenden, reicht nicht aus, um die 7 Zeichen als allgemeine Regel zu rechtfertigen.
Erneut bearbeitet.Ich denke, ich habe die Antwort besser auf die Kernfrage bezogen.
Es ist sicherlich richtig, dass das Upgrade von Gesundheitsumgebungen * sehr * langsam sein kann.2014 sah ich IE6 immer noch in Webserver-Protokollen für eine Web-App im Gesundheitswesen.
Isolierte Sichtungen von IE6, so selten sie auch sein mögen, sind in keinem Zusammenhang überraschend.
UTF-8
2016-10-07 02:06:19 UTC
view on stackexchange narkive permalink

Bei dieser Frage gibt es einige Probleme. Eine davon ist, dass nicht angegeben wird, wie die Passwörter ausgewählt werden, aber ich denke, der logischste Ansatz besteht darin, anzunehmen, dass die Passwörter zufällig ausgewählt werden, aber die jeweiligen Bedingungen erfüllen, sodass ich diese Konvention für meine Antwort verwenden werde. Beachten Sie, dass Randalls Comic diese Annahme eindeutig nicht teilt, aber in der Frage nicht angegeben wurde, auf welche Weise ein Passwort gewählt wird. Ich denke, wir können das bestmögliche Ergebnis erzielen, und das ist die zufällige Auswahl eines Passworts. Darüber hinaus basiert der Test wahrscheinlich nicht auf Randalls Comic.

Das Schlüsseltempo der Option b ist recht einfach zu berechnen, wenn wir davon ausgehen, dass das englische Alphabet verwendet wird. Ja, mehr Annahmen, ich weiß. Da der Test jedoch auf Englisch und nicht sehr schwierig zu sein scheint, können wir diese Annahme treffen.

Das englische Alphabet enthält 26 Kleinbuchstaben und ebenso viele Großbuchstaben 52 insgesamt. Es gibt also 52 ^ 10 ≈ 1,45 * 10 ^ 17 Elemente im Schlüsselbereich der Option b .

Option c ist weitaus weniger spezifisch als die Option b . Da wir jedoch davon ausgegangen sind, dass das englische Alphabet verwendet wird - was für die Option c spricht -, können wir auch davon ausgehen, dass nur ASCII für die Sonderzeichen verwendet wird - was für die Option spricht b . Wenn wir mehr Sonderzeichen als ASCII angenommen haben, müssen wir mehr Buchstaben annehmen als in ASCII, da ä wohl ein deutscher Buchstabe ist. Dies macht den Schlüsselraum der Option b noch größer als den der Option c . *

Das Beste, was wir für die Option tun können c Wenn wir uns auf das ASCII-Alphabet beschränken, verwenden wir jedes druckbare Zeichen (außer dem Leerzeichen) in unserem Alphabet (Hinweis: andere, allgemeinere Verwendung des Wortes "Alphabet"). Das sind 94 Zeichen, was der Option c einen Schlüsselraum von 94 ^ 7 ≈ 6,48 * 10 ^ 13 Elementen gibt.

Da eine unserer Annahmen zur Lösung der Frage darin besteht, dass das Passwort zufällig mit den jeweiligen Einschränkungen ausgewählt wird und diese Regel der zufälligen Auswahl eines Passworts aus dem jeweiligen Schlüsselraum entspricht, wird ein Passwort mit der Option b ausgewählt Code> ist wohl schwerer zu erraten, da es mehrere Größenordnungen mehr Optionen gibt, die beim Knacken des Passworts versucht werden können.

Wenn wir davon ausgehen, dass die Kosten für das Knacken eines Passworts mit Brute Force ungefähr linear sind Die Größe des Schlüsselraums, das Knacken eines über die Option b ausgewählten Passworts, ist 52 ^ 10 / (94 ^ 7) ≈ 2'229-mal so schwer wie das Knacken eines über die Option ausgewählten Passworts c zeigt deutlich, dass die angeblich richtige Antwort auf diese Frage falsch ist.

* Dies ist mathematisch recht einfach zu beweisen, aber dieser StackExchange bietet keine LaTeX-Unterstützung und Sie wahrscheinlich wird es sowieso besser durch eine Textbeschreibung verstehen.

Die einzige Vorteilsoption c gegenüber der Option b ist das größere Alphabet (wieder allgemeinere Verwendung des Wortes "Alphabet"). Die Option b macht dies jedoch mehr als wett, indem Sie ein längeres Kennwort auswählen. Wenn wir mehr und mehr Zeichen hinzufügen (wie ü , à , Ø , Æ usw.) Wir machen die Alphabete gleich groß, wodurch der Vorteil von c gegenüber b abnimmt, während der Vorteil von b gegenüber c ist nicht betroffen.

Damit "c" die richtige Antwort ist, müssen Sie zusätzlich zu den alphanumerischen Zeichen mindestens 221 Sonderzeichen zur Auswahl haben.Viel Glück beim Finden einer Tastatur, mit der Sie Ihr Passwort eingeben können!
Hierbei handelt es sich um Schulungsfragebögen für Ärzte, nicht um eine Comp Sec-Prüfung.Während Sie die Entropie mathematisch zugunsten einer anderen Antwort beweisen können, besteht ihr Ziel darin, die Leute dazu zu bringen, "Pa $$ w0rd" anstelle von "Passwort" zu denken.
@Mark Ja.Und Sie hoffen besser, dass die Tastatur nicht mehr Buchstaben bietet.Oh, Moment mal.Grundsätzlich bietet jede Tastatur bereits Zeichen wie "à", wodurch diese Zahl dramatisch erhöht wird.
@ShaneAndrie Es sagte "Buchstaben", nicht "Wörter".
@UTF-8, Ich habe drei Tastaturen auf meinem Schreibtisch und keine von ihnen bietet "à" als typisierbares Zeichen.Ich weiß, wie man es auf dem Linux-System eingibt (`compose`-`backtick`-`a`), und ich kann den Mac gut erraten (` option + backtick` als toter Schlüssel zum Erstellen der Akzentmarke).dann "a", um es zu kombinieren), aber ich werde mich auf keinen Fall an den "alt + keypad" -Code erinnern, um ihn unter Windows einzugeben.
Sie können das Backtick-Ding unter Windows nicht machen?
@UTF-8 Ich verstehe das, aber da es grob spezifisch für die Mathematik ist, hat der Freund von OP es falsch verstanden, weil das Ziel des Tests nicht pedantisch war, sondern eine politische Anforderung voranzutreiben.Bei dieser Richtlinie ging es nicht um die Theorie der Entropie-Passwortstärke, sondern darum, die Leute dazu zu bringen, nicht '123456' zu wählen und das für gut zu halten.
@ShaneAndrie Die Frage lautete "Welche der folgenden Optionen würde das sicherste Kennwort ergeben?", Nicht "Welche Kennwortrichtlinie veranlasst die Benutzer, im Durchschnitt sicherere Kennwörter auszuwählen?".Darüber hinaus können Sie leicht versehentlich Passwörter gemäß der Option "c" erstellen, die nicht zu den beliebtesten Millionen-Passwörtern gehören.Benutzer sind weitaus weniger anfällig dafür, versehentlich ein Passwort zu erstellen, das nicht Teil der beliebtesten Millionen-Passwörter ist, wenn sie nur die Option "b" einhalten müssen.Es sollte immer überprüft werden, ob ein Passwort eines der Millionen beliebtesten des Dienstes ist.
@UTF-8 Und ich stimme zu.Und wenn wir es speziell lesen wollen, können wir diese Fragen nicht beantworten, weil wir es nicht tun, wenn A) der Zeichensatz in seinem Umfang auf die Person beschränkt ist, die das Passwort oder auch das System erstellt, und B) Personen, die das Passwort erstellenPasswort.Ich argumentiere nur, dass die Personalabteilung nicht so denkt, und die Person, die die Frage geschrieben hat, auch nicht.
@UTF-8 Ich kann dieses Zeichen auf meiner US-Tastatur überhaupt nicht erstellen, außer Windows Alt + ... für CP439-Zeichen und Linux Strg + Umschalt + U + ... für Unicode-Codepunkte.
@ShaneAndrie Ihr Ziel ist also falsch.Sie sollten die Leute nicht dazu bringen, "Pa $$ w0rd" anstelle von "Passwort" zu denken.Sie sollten die Leute dazu bringen zu denken, "dies ist eine Passphrase und man kann es nicht erraten" anstelle von "Passwort", was viel effektiver auf ihr _real_ Ziel hinarbeiten würde.
Denken Sie tatsächlich, wenn Leute versuchen, ein Passwort zu knacken, führen sie jedes Zeichen in ASCII aus?Darum geht es wirklich.Alles andere als <4 Zahlen oder ein leicht zu erratendes Wort ist in Bezug auf * Benutzereingabekennwörter * bereits sicherer als Ihr Bankkonto.In Bezug auf das Knacken ist die Abweichung von Alpha-Num ein großer Sicherheitsvorteil.
Shane Andrie
2016-10-07 01:51:24 UTC
view on stackexchange narkive permalink

Ich liebe Entropiefragen:

Die kurze Antwort:

Ja, Sie sind "technisch" korrekt, wenn Sie mehr Entropie haben (am besten richtig) ).

Die lange Antwort

Die Entropie wird weitgehend von zwei Dingen beeinflusst. Anzahl der Symbole, die ein Passwort verwenden kann, und Länge. Im Szenario des NHS wäre es logisch, dass "Sonderzeichen" verfügbare Symbole sind, die in der 10-Zeichen-Antwort verwendet werden können. Je länger ein Passwort ist, desto höher ist die Entropie und theoretisch sicherer.

Wir müssen uns jedoch mit Menschen auseinandersetzen und sind faul. Die Frage ist, die Leute dazu zu bringen, Sonderzeichen in ihr Passwort aufzunehmen, weil dadurch Entropie erzwungen wird.

Ohne ihn ist Randalls Comic mathematisch korrekt, obwohl er frech ist, aber jeder SysAdmin, der den richtigen Pferdebatterystapler für richtig hält, ist ein gutes Passwort, weil er lange ins Gesicht geschlagen werden muss, denn das steht schon seit einiger Zeit in meinen Regenbogentabellen während.

Um fair zu sein, denke ich, dass es ein gutes Konzept ist, vier Wörterbuchwörter zu verwenden und sie aneinander zu reihen (was wir als Passphrase bezeichnen), aber die Leute, wie ich sagte, sind faul und werden wahrscheinlich auf gemeinsame Muster hereinfallen.

Danke dafür.Gibt es Hinweise darauf, dass Personen, die gezwungen sind, Sonderzeichen zu verwenden, tatsächlich zu unvorhersehbareren Passwörtern führen?Weil ich davon ausgehen würde, dass jemand, der gezwungen ist, ein 10-stelliges Passwort ohne andere Regeln zu erstellen, möglicherweise ein Passwort erstellt, das schwerer zu erraten ist als jemand, der gezwungen ist, ein 7-stelliges Passwort mit Sonderzeichen zu erstellen.Das ist hier die eigentliche Frage.
Und fürs Protokoll, in meinem Team verwenden wir an einigen Stellen "richtige Pferdebatterie-Heftklammern";).Orte, an denen wir nicht glauben, dass es überhaupt ein Passwort geben muss ...
Im Gegenteil, es ist schrecklich, Leuten zu erlauben, Passwörter auszuwählen.Wir neigen dazu, Mnemonik und eine nicht sehr große Liste von Mustern zu verwenden.Dies macht uns leicht zu profilieren und daher leicht zu erraten.Passwort-Physiologie ist eine Sache, und es ist einer der Gründe, warum Zertifikate stark vorangetrieben werden.
@RobinWinslow Ich würde eher denken, dass englische Wörter mit 10 Buchstaben einen großen Teil der ausgewählten Passwörter ausmachen würden, da die Benutzer bestrebt sind, sie einprägsam und nicht unvorhersehbar zu machen
Luis Casillas
2016-10-07 01:42:07 UTC
view on stackexchange narkive permalink

Sowohl der zitierte Test als auch Ihre Gegenargumente sind falsch, im Grunde genommen, weil die Entropie ein Maß für die Zufälligkeit eines Passworts ist - nicht für die Länge, nicht für die Alphabetgröße. Das von Ihnen zitierte XCKD-Comic-Schema ist genau dann für die angegebene 44-Bit-Sicherheitsstufe sicher, wenn die 44 kleinen grauen Kästchen unter "Richtige Pferdebatterie-Heftklammer" die Ergebnisse von Münzwürfen (oder einer ähnlichen Uniform) darstellen. unabhängige zufällige Ereignisse), die zur Auswahl der Passwörter verwendet wurden. Wenn ein Mensch die Wörter ausgewählt hat, sind alle Wetten deaktiviert.

Da weder der NHS noch Sie über diesen kritischen Faktor sprechen, ist es unmöglich, etwas Konkretes über die Sicherheit der Passwörter zu sagen, außer wenn dies nicht der Fall ist Nach dem Zufallsprinzip einheitlich ausgewählt, sind sie wahrscheinlich schwach.

Nach meinem Verständnis führt das Erweitern der Kennwortlänge in der Regel zu mehr Entropie als das Erweitern des Alphabets.

Wenn d die Alphabetgröße und n die Kennwortlänge ist, hat ein zufällig ausgewähltes Kennwort log2 ( d) * n Entropiebits. Durch Verdoppeln der Größe des Alphabets werden daher n Entropiebits hinzugefügt. Durch Hinzufügen eines zusätzlichen Symbols zum Kennwort werden log2 (d) -Bits hinzugefügt. Es kommt also auf die konkreten Werte von d und n an. Es macht wirklich wenig Sinn, eine Faustregel zu haben, wie Sie sie dort vorschlagen, da wir die Erhöhungen einfach berechnen können.

Dies scheint unnötig pedantisch.Ich bin mir bewusst, dass es bei Entropie um Zufälligkeit geht, aber ich frage, welche Politik besser ist.Wollen Sie damit wirklich sagen, dass es keinen Sinn macht, eine Passwortrichtlinie zu haben, außer "einen Zufallsgenerator verwenden"?
Wenn eine Gleichung "x" * zur Potenz von "y" enthält, ist es ziemlich klar, dass Erhöhungen von "y" einen größeren Einfluss auf die Größe haben.
@RobinWinslow: Mein Punkt ist, dass wir keinen Grund zu der Annahme haben, dass eine dieser Richtlinien tatsächlich sicher ist, wenn wir keine Zufälligkeit in die Gleichung einführen.Bei der Debatte zwischen diesen Alternativen, wenn Menschen die Passwörter wählen, fehlt der Wald vor lauter Bäumen.
@RobinWinslow: Wenn wir 2 ^ 2 als Ausgangspunkt nehmen, ist es trivial zu beobachten, dass 3 ^ 2> 2 ^ 3.Und mein größerer Punkt ist, dass es nicht notwendig ist, zu verallgemeinern, wenn Sie konkrete Beispiele haben, aus denen Sie einfach berechnen können.
Ich wusste, dass Sie mit einem extrem von Kirschen gepflückten Fall auf mich zurückkommen würden, bei dem die Macht weniger Unterschied machte.Vielen Dank für Ihren pedantischen Standpunkt.Es ist nicht nützlich und beantwortet die Frage nicht.
Diese Antwort ist nicht pedantisch und beantwortet Ihre Frage.Wenn Sie noch etwas wissen möchten, müssen Sie in Ihrer Frage klarer darüber sein.
@RobinWinslow: Die von Ihnen zitierten NHS-Beispiele zeigen jedoch ein offensichtliches * lineares * Wachstum der Passwortlängen (5, 6, 7, 10) gegenüber einem * exponentiellen * Anstieg der Alphabetgröße (26, 52, 95).Die Faustregel, dass "x ^ y" auf "y" schneller wächst als auf "x", kann Sie in diesem Beispiel in die Irre führen.Und wieder ist es so einfach, nur zu rechnen, dass wir nicht auf Faustregeln zurückgreifen müssen.
Das ist einfach so offensichtlich falsch!Um selbst den schlimmsten Fall Ihrer Beispiele zu nennen: "95 ^ 7 = 6.983373e + 13", während "26 ^ 10 = 1.411671e + 14".Selbst mit einem * erheblich * größeren Zeichensatz (was in der Praxis wahrscheinlich nicht der Fall ist) gewinnt die größere Länge.
@RobinWinslow Ein aus sechs Buchstaben bestehendes Passwort in gemischter Groß- und Kleinschreibung ist "besser" als ein aus sieben Buchstaben bestehendes Passwort in Kleinbuchstaben.Nur ein Beispiel.
@RobinWinslow Es ist pedantisch, aber eigentlich sollte es so sein.Der Punkt, den der von Ihnen eingebettete Comic gemacht hat, ist nicht nur, dass die Länge König ist (was normalerweise der Fall ist), sondern auch, dass die Intuition irreführend sein kann.Passwörter, die gut aussehen, sind möglicherweise nicht gut, und Passwörter, die leicht zu erraten sind, sind möglicherweise ziemlich sicher.Alle Faustregeln brechen irgendwann zusammen.(Tatsächlich ist in der xkcd "richtige Pferdebatterie-Heftklammer" ein Passwort der Länge 4 aus einem sehr großen Vokabular.) Die einzige narrensichere Methode zur Bestimmung der Passwortqualität (oder genauer gesagt der Qualität der Passwortgenerierungsmethode) ist * doDie Mathematik*.
@Ray: Ihre Beobachtung, dass "korrekte Heftklammer für Pferdebatterien" ein Passwort der Länge 4 aus einem großen Symbolsatz ist, ist genau richtig.Aber es untergräbt Ihre frühere Aussage, dass der Punkt des Comics (teilweise) ist, dass "Länge König ist" (oder normalerweise so).
@LuisCasillas Daher das "oder normalerweise so" -Bit.Ein Vokabular mit 2048 Elementen reicht (kaum) aus, um die Vokabulargröße relevant zu machen.Der bloße Wechsel von einem Vokabular der Größe 52 (in Option B) zu einem von ~ 80 (in Option C) entspricht jedoch nicht einmal der Menge, die benötigt wird, bevor die Länge nicht mehr der dominierende Faktor ist.Mein zentraler Punkt ist "Mach immer die Mathematik, wenn es möglich ist."Um dies zu unterstützen, habe ich darauf hingewiesen, dass selbst der (insgesamt recht gute) xkcd-Rat nicht intuitive Aspekte hat.
coteyr
2016-10-10 23:11:20 UTC
view on stackexchange narkive permalink

Hier ist die Sache, ob es Ihnen gefällt oder nicht, bei dieser Frage geht es nicht um Labor oder mathematisch sicherere Passwörter. Es geht darum, die Leute dazu zu bringen, bei der Auswahl über ihre Passwörter nachzudenken.

a. Ist falsch, weil es nur Buchstaben enthält.
b. ist falsch, weil es nur Buchstaben
c hat. ist richtig, weil es lang genug ist und "Sonderzeichen" enthält
d. ist falsch, weil es nur Buchstaben hat.

Oder mit anderen Worten, Passwörter, die nur Buchstaben verwenden, sind schlecht.

Nun ist es wahr, dass Sie ein sichereres Passwort erstellen können, indem Sie nur Buchstaben verwenden, wenn es lang genug oder zufällig genug ist . Sicherlich ist "asefhesesnh" besser als "p4ssw0rd!", Aber um ehrlich zu sein, ist dies ein Verständnis, das die meisten Menschen in der Zielgruppe dieses Tests nicht verstehen.

Stattdessen ist es "besser", Benutzer dazu zu bringen, ein Passwort zu wählen, das "länger" ist und Buchstaben, Zahlen und Sonderzeichen enthält.

Mit anderen Worten, C ist richtig, wenn Sie über eine Vielzahl von Benutzern mit unterschiedlichen technischen Fähigkeiten sprechen und ihre eigenen Passwörter erstellen. Sicher, die Mathematik könnte aus sein, aber es spielt keine Rolle. Kein Anbieter wird dort sitzen und die Passwortentropie herausfinden, aber er kann die Anzahl von $ in einem Passwort zählen.

"Durch 20 Jahre Bemühungen haben wir alle erfolgreich darin geschult, Passwörter zu verwenden, die für Menschen schwer zu merken sind, für Computer jedoch leicht zu erraten sind."
"C ist richtig, wenn Sie (sic.) Über eine breite Palette von Benutzern mit unterschiedlichen technischen Fähigkeiten sprechen und ihre eigenen Passwörter erstellen" - die meisten Experten hier scheinen anderer Meinung zu sein.Hast du irgendwelche Beweise?
@RobinWinslow Ich habe noch keinen Experten gesehen, der anderer Meinung ist.Das vorgeschlagene Argument ist Entropie, die ein normaler Benutzer nicht einmal kennt oder sogar definieren kann.Sie können keine Kennwortregel wie "Ihr Kennwort muss mindestens 40 Bit Entropy enthalten" festlegen und erwarten, dass die meisten Endbenutzer es "erhalten".Sie können jedoch einige grundlegende Richtlinien festlegen, und bei diesem Test geht es darum, Richtlinien einzuhalten.
Praktisch alle anderen haben gesagt, C sei eine schlechte Antwort (und die Frage ist im Allgemeinen schlecht, und Zufälligkeit ist die beste Lösung usw.).Ich glaube, dass selbst wenn Sie mit realen Menschen in der realen Welt zu tun haben, wenn Sie ihnen sagen, dass sie ein 10-stelliges Passwort mit nur Buchstaben erstellen sollen, sie ein Passwort erstellen, das für eine Maschine schwerer zu erraten ist, als wenn Sie ihnen sagen, dass sie es sich einfallen lassen sollenEin 7-Zeichen-Zeichen mit Sonderzeichen."Lazypsycho" ist besser als "Daphne!".
Wie gesagt, wenn Sie Beweise haben, die meiner Überzeugung hier widersprechen (oder sie sogar bestätigen), bin ich äußerst interessiert, sie zu sehen.
Mein Punkt ist, dass es nicht um ein einziges sicheres Passwort geht.Es geht darum, eine Gruppe von Desinteressierten dazu zu bringen, bessere Passwörter zu wählen.Wie würden Sie einer Gruppe von 20 nicht-technischen Personen erklären, wie man ein Passwort auswählt?Wie würden Sie es in weniger als 15 Sekunden tun?
Hier gibt es kein Missverständnis - wir haben genau das gleiche Ziel, wir sind uns einfach nicht einig.Mein Punkt ist, dass jeder aus Ihrer Gruppe von 20 nicht-technischen Personen ein stärkeres 10-stelliges Passwort nur für Buchstaben als ein 7-stelliges Passwort mit Sonderzeichen entwickeln würde.Meistens, weil sie alle am Ende genau 1 Sonderzeichen gesetzt haben, was wahrscheinlich ein Ausrufezeichen, ein Fragezeichen oder ein Punkt ist.Wie gesagt, wenn Sie Beweise haben, um diese Annahme zu widerlegen, bin ich ganz Ohr.
Lazypsycho!ist besser als Lazypsycho (beachten Sie, dass die 3 falschen Antworten keine Interpunktion enthalten), auch wenn nicht sehr viel.
https://www.betterbuys.com/estimating-password-cracking-times/ Probieren Sie beide Optionen aus.Ich denke, ihr Schätzer ist völlig falsch, weil er Wörterbücher und Muster ignoriert, aber ... Wieder desinteressierte Leute,
Das ist eine gute Ressource.Vielen Dank.Und sicher genug, "Daphne!"= 1 Monat 3 Wochen, während "Lazypsycho" = 4 Monate, 3 Wochen.Offensichtlich "Lazypsycho!"ist besser als "Lazypsycho", das ist ein Kinderspiel.
In der realen Welt erzeugt die Anforderung "c" ein Passwort, das in der Reihenfolge aus einem Großbuchstaben, vier Kleinbuchstaben, einer Ziffer und einem Interpunktionssymbol besteht.Ferner ist die Ziffer normalerweise eine "1" und die Interpunktion ist ein Punkt, ein Ausrufezeichen oder ein Fragezeichen.Das Gesamtergebnis wird eine Komplexität in der Größenordnung von 26 ^ 5 oder etwa zwölf Millionen möglichen Passwörtern sein.
@Mark Die Lösung für dieses Problem besteht eindeutig darin, dass wir die Regel festlegen müssen, dass die Zahl keine 1 sein darf und nicht am Anfang oder Ende des Passworts stehen darf. Damit wird das Problem gelöst, wetten Sie.
RocketNuts
2016-10-11 14:07:37 UTC
view on stackexchange narkive permalink

Option b bietet Ihnen 52 Möglichkeiten pro Zeichen.

Damit c besser ist, muss jedes der 7 Zeichen mehr als 52 10/7 sup> = mindestens 283 Möglichkeiten haben.

Dies bedeutet, dass ASCII- oder westliche ANSI-Zeichensätze nicht ausreichen. Sie müssten den Unicode-Zeichensatz (oder einige sehr arkane asiatische ANSI-Codepages) zulassen, damit Option c besser ist.

Es ist offensichtlich eine schlecht formulierte Frage. Es gibt 62 Zahlen und Buchstaben (Groß- und Kleinschreibung), daher lautet die richtige Antwort:

c Wenn 'Sonderzeichen' bedeutet, dass ich Unicode-Zeichen oder jeden anderen Zeichensatz verwenden kann, der mindestens enthält 221 nicht alphanumerische Zeichen (dh Sonderzeichen), andernfalls b.

Abgesehen davon, dass jeder, der versucht, ein Passwort zu knacken, es durch eine ziemlich erweiterte Alpha-Nummer laufen lässt, bevor er sich mit Sonderzeichen beschäftigt.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...