Frage:
Ist "das oft zitierte XKCD-Schema [...] kein guter Rat mehr"?
Nick T
2014-07-10 10:16:44 UTC
view on stackexchange narkive permalink

Ich stolperte herum und stieß auf diesen Aufsatz von Bruce Schneier, der behauptete, das XKCD-Passwortschema sei praktisch tot.

Modern Passwort-Cracker kombinieren verschiedene Wörter aus ihren Wörterbüchern: [...]

Aus diesem Grund ist das oft zitierte XKCD-Schema zum Generieren von Passwörtern - einzelne Wörter wie "korrektes Pferdebatterystaple" aneinanderreihen - kein guter Rat mehr . Die Passwort-Cracker sind mit diesem Trick beschäftigt.

Der Angreifer gibt alle persönlichen Informationen, auf die er Zugriff hat, über den Passwort-Ersteller in die Passwort-Cracker ein. Ein guter Passwort-Cracker testet Namen und Adressen aus dem Adressbuch, aussagekräftige Daten und andere persönliche Informationen. [...] Wenn Ihr Programm es jemals im Speicher gespeichert hat, wird es von diesem Prozess abgerufen.

Seine Behauptung scheint dies zu sein, da bekannt ist, dass Benutzer ihre Passwörter möglicherweise so erstellen dass es es zugänglich macht, aber es scheint, dass die Stärke nur in der Kraft der Exponenten liegt. Ich nehme an, er spielt auf Leute an, die die Wörter nicht wirklich zufällig auswählen, was vielleicht nicht völlig unaufrichtig ist, da ich ein paar Mal nachgerollt habe, um etwas zu bekommen, das nicht nur Adverbien und Adjektive sind. Ich gehe jedoch davon aus, dass das Verringern der Entropie um den Faktor 2-10 nicht wirklich signifikant ist (wenn die Wortliste auf 4000 verdoppelt wird, nicht so schwer, ist der Verlust mehr als wiederhergestellt).

Die Ein anderer Witz über "Wenn Ihr Programm es jemals im Speicher gespeichert hat" ist allerdings etwas beunruhigend ... Sind nicht alle Passwörter zu der einen oder anderen Zeit im Speicher gespeichert? Das scheint ein bisschen übertrieben zu sein; Worauf bezieht er sich eigentlich?

Eine Diskussion mit 123 Kommentaren dazu finden Sie unter http://www.reddit.com/r/technology/comments/1yxgqo/bruce_schneier_on_choosing_a_secure_password/
Beim Mouseover enthüllt der Bildtitel: _ "Für jeden, der Informationstheorie und Sicherheit versteht und sich in einem wütenden Streit mit jemandem befindet, der dies nicht tut (möglicherweise in gemischten Fällen), entschuldige ich mich aufrichtig." _ Dies würde Ihnen helfen :)
Dieser TED-Vortrag enthält einige interessante Forschungsergebnisse zu verschiedenen Schemata zur Kennworterstellung, einschließlich des xkcd-Schemas: http://www.ted.com/talks/lorrie_faith_cranor_what_s_wrong_with_your_pa_w0rd
War es jemals ein guter Rat? Für mich ist das Problem mit dem von Randal vorgeschlagenen Schema, dass es nur 44 Entropiebits hat. Und das war viele Jahre, nachdem die 56 Bits DES brutal gezwungen worden waren. Heutzutage erzwingt das Bitcoin-Netzwerk alle 10 Minuten ungefähr 66 Bit.
@kasperd Ich denke, da Passwörter mehrmals gehasht werden (oder sollten), ist es schwieriger, eine Kollision zu finden (oder ist es ein Vorbild, ich bin eindeutig kein Experte).
@NickT: Es ist nicht klar, worauf Sie sich beziehen, aber im Allgemeinen erhöhen mehrere Hashing-Runden die Wahrscheinlichkeit von Kollisionen und senken die Sicherheit. Wenn Sie unendlich oft hashen könnten, würden Sie unabhängig vom ursprünglichen Passwort immer denselben Hash erhalten. Der bcrypt-Algorithmus ist etwas anders, da er bei jeder Runde das ursprüngliche Passwort oder Salt wieder einführt.
Nur zur Veranschaulichung: Wenn Ihr Passwort tatsächlich "korrektes Pferdebatterie" war, wurde es jetzt viel weniger sicher!
@Aaronaught Jeder richtig gestaltete iterierte Passwort-Hash enthält das Passwort und Salt in jeder Iteration. Damit ist eine erhöhte Kollisionswahrscheinlichkeit kein Problem. Der eigentliche Nachteil iterierter Hashes besteht darin, dass sie den Server zu einem einfacheren Ziel für DoS-Angriffe machen.
@NickT Ein iterierter Hash erschwert das brutale Erzwingen des Kennworts. Wenn Sie 1000 Mal iterieren würden, würde dies ungefähr die gleiche zusätzliche Sicherheit bieten wie 10 weitere Entropiebits. Die 44-Bit-Entropie im Passwort könnte also möglicherweise genauso schwer zu knacken sein wie 56-Bit-DES oder sogar noch schwerer. Aber selbst mit der zusätzlichen Sicherheit durch Iterationen halte ich 44 Entropiebits nicht für ausreichend. Ich würde empfehlen, ein Passwort zu verwenden, das stark genug ist, um nicht beschädigt zu werden, selbst wenn es als einfacher Hash ohne Salt oder Iterationen gespeichert wird.
Seine Methode ist besser als die vorhergehende: passw0rd123
@kasperd: Sie können empfehlen, was Sie wollen; Normale Benutzer interessieren sich nicht für Entropiestücke und verwenden nur ein Schema, das leicht zu merkende Passwörter erstellt - oder sie aufschreiben lässt. Das Beste aus beiden Welten ist ein Passwort sicher, aber selbst wenn Sie eines verwenden, gibt es einige Fälle, in denen nicht darauf zugegriffen werden kann. Abgesehen davon, dass ein oder zwei zusätzliche Wörter zu einer von xkcd oder Diceware generierten Phrase hinzugefügt werden, sind mir keine Schemata bekannt, die wesentlich mehr Entropie erzeugen, ohne ständig zu vergessenen Passwörtern zu führen.
Ich denke, er hat vergessen, den Entropieverlust zu berechnen, als er * "WTF" * anstelle von * "Watch This Fail" * schrieb. ;)
Wenn Sie ein Passwort wie "recthorsebatterystaple "verwenden, achten Sie darauf, dass Sie sich nicht bei einem System anmelden, das es stillschweigend abschneidet! Ein Passwort wie "korrekt" ist wahrscheinlich leichter zu erraten als "N # y; f8eR".
@Leo Ich denke wirklich, dass Ihr Kommentar zu einer Antwort erhoben werden muss. Der Vortrag zitiert tatsächliche Experten, die Experimente durchführen und feststellen, dass die Technik ihr primäres Ziel, das Passwort leichter zu merken, verfehlt hat. Es heißt außerdem, dass Menschen, die sie hatten, aufgrund der längeren Länge mehr Fehler beim Eingeben gemacht haben. Obwohl es immer noch so sicher ist wie je zuvor, wird es nicht unbedingt als so guter Rat angesehen wie vor diesen Studien. (Ich würde die Antwort selbst geben, aber aus irgendeinem Grund bedeuten meine 100 Bonuspunkte, dass ich genug Vertrauen habe, um zu kommentieren, aber keine Antwort zu hinterlassen.)
@trlkly: Hmm, das gleiche scheint mir. Benötigen Sie mehr Ruf hier, um eine Antwort zu posten. Schade, war ein gutes Gespräch und hat viele Punkte aufgegriffen, die normalerweise übersehen werden.
@Leo Fyi Sie haben 101 Wiederholungen von Ihrem Kontozuordnungsbonus, mehr als genug, um eine Antwort zu posten. Zum Kommentieren sind 50 Wiederholungen erforderlich, und das tun Sie bereits.
@Ajedi32: Das habe ich auch gedacht, aber die Tatsache bleibt, dass ich auf dieser Seite keine geschützten Fragen beantworten kann. Mein 100-Punkte-Assoziationsbonus scheint nicht zu zählen, wenn es um die 10 Reputationspunkte auf dieser Website geht, die zur Beantwortung dieser Frage benötigt werden.
@Leo Wirklich? Das ist komisch. Sieht aber so aus, als ob Sie richtig liegen: http://meta.stackexchange.com/q/170937/192171
@snailboat Ihr Kommentar zum Abschneiden von Passwörtern ist wichtig. Es wird noch schlimmer, wenn ein Kennwort auf verschiedenen Systemen wiederverwendet wird, die unterschiedlich lang abgeschnitten werden.
In der Praxis scheinen Passphrasen nicht so viel zu helfen, wie XKCD Sie glauben machen würde: [dl.acm.org/citation.cfm?id=2335356.2335366 weibliches(http://dl.acm.org/citation.cfm?id = 2335356.2335366)
Das ist der Grund, warum Sie das große Wörterbuch anstelle des kleinen kaufen. Aber kannst du nicht kreativ sein? Sie könnten sich einfach einen Satz wie "TheSloppyCthulhuAte10Sandviches" vorstellen. Ich muss mich nur daran erinnern. Sobald Sie wissen, dass Sie Sandwich wegen eines populären Videospiels, das Sie mögen, falsch geschrieben haben und anscheinend Cthulhu buchstabieren können, sind Sie gut eingestellt und fertig
[Sie können dies immer verwenden, um die Passwortsicherheit anzuzeigen] (https://codepen.io/programmer5000/full/zZdaoJ/)
Warum sind alle Antworten so lang?Einfache Antwort ist nein, der Typ ist völlig falsch in seiner Argumentation, dass Angreifer, die das Schema kennen, es unsicher machen.Der XKCD-Comic geht davon aus, dass das Schema bekannt ist.Es geht nur um Entropie.Und wenn das Schema nicht sicher ist, dann nicht aus den von ihm angegebenen Gründen.
Zehn antworten:
Hybrid
2014-07-10 12:33:17 UTC
view on stackexchange narkive permalink

Der Heilige Krieg

Ich denke, Sie werden feststellen, dass die richtige Art, Passwörter zu generieren, einen heiligen Krieg auslösen kann, in dem jede Gruppe glaubt, dass die andere einen sehr einfachen mathematischen Fehler macht oder den Punkt verfehlt. Wenn Sie 10 Computer-Sicherheitsexperten in einem Raum haben und sie fragen, wie sie mit guten Passwörtern umgehen sollen, erhalten Sie 11 verschiedene Antworten.

Das Missverständnis

Einer der vielen Gründe, die es gibt Es gibt keine einheitlichen Ratschläge zu Passwörtern, sondern nur ein Problem der Bedrohungsmodellierung . Was genau versuchen Sie zu verteidigen?

Zum Beispiel: Versuchen Sie, sich vor einem Angreifer zu schützen, der speziell auf Sie abzielt und Ihr System zur Generierung von Passwörtern kennt? Oder sind Sie nur einer von Millionen Benutzern in einer durchgesickerten Datenbank? Verteidigen Sie sich gegen GPU-basiertes Knacken von Passwörtern oder nur gegen einen schwachen Webserver? Befinden Sie sich auf einem mit Malware infizierten Host [1]?

Ich denke, Sie sollten davon ausgehen, dass der Angreifer Ihre genaue Methode zum Generieren von Kennwörtern kennt und nur auf Sie abzielt. [2] Der xkcd-Comic geht in beiden Beispielen davon aus, dass alle Details der Generation bekannt sind.

Die Mathematik

Die Mathematik im xkcd-Comic ist korrekt und wird sich nicht ändern.

Für Passwörter, die ich eingeben und beachten muss, verwende ich ein Python-Skript, das wirklich zufällige Passwörter im xkcd-Stil generiert. Ich habe ein Wörterbuch mit 2 ^ 11 (2048) gebräuchlichen, leicht zu buchstabierenden englischen Wörtern. Ich könnte einem Angreifer den vollständigen Quellcode und eine Kopie meiner Wortliste geben, es werden immer noch 2 ^ 44 mögliche Passwörter vorhanden sein.

Wie der Comic sagt:

1000 Vermutungen / SecPlausible Angriff auf einen schwachen Remote-Webdienst. Ja, das Knacken eines gestohlenen Hashs ist schneller, aber der durchschnittliche Benutzer sollte sich darüber keine Sorgen machen.

Dies schafft eine gute Balance zwischen leicht zu merken und schwer zu knacken.

Was wäre, wenn wir mehr Leistung versuchen würden?

Sicher 2 ^ 44 ist in Ordnung, aber das Knacken von GPUs ist schnell und es wird nur schneller. Hashcat könnte in einigen Tagen und nicht in Jahren einen schwachen Hash [3] dieser Größe knacken. Außerdem muss ich mir Hunderte von Passwörtern merken. Selbst im xkcd-Stil wird es nach ein paar Stunden schwierig.

Hier kommen Passwort-Manager ins Spiel. Ich mag KeePass, aber es gibt viele andere, die im Grunde gleich sind. Dann können Sie nur eine längere xkcd-Passphrase generieren, die Sie sich merken können (z. B. 10 Wörter). Anschließend erstellen Sie für jedes Konto ein eindeutiges 128-Bit-Kennwort (Hex oder Base 64 sind gut). 128-Bit wird für lange Zeit stark genug sein. Wenn Sie paranoid werden möchten, ist es keine zusätzliche Arbeit, 256-Bit-Hex-Passwörter zu generieren.

[1] Hier kommt die Speichersache ins Spiel, wenn Sie eingeschaltet sind Ein kompromittierter Host, den Sie verloren haben. Es spielt keine Rolle, ob Sie es eingeben oder ein Programm wie KeePass zum Kopieren und Einfügen verwenden, wenn ein Angreifer Speicher protokollieren / lesen kann.

[2] Anstelle des schwächeren (aber wahrscheinlicher) Annahme, dass der Angreifer gerade ein Wörterbuch namens "Top Passw0rdz 4realz 111!" torrentiert hat.

[3] Sicher, wir sollten alle PBKDF2 usw. verwenden, aber viele Websites befinden sich noch auf SHA1. (und sie sind die Guten)

Ich dachte, dass GPU-Cracking aufgrund von Speicherbeschränkungen der GPU nicht möglich ist. Wenn das Wörterbuch nicht in den GPU-Speicher passt, besteht die einzige andere Möglichkeit darin, eine Liste aller möglichen Passphrasen zu erstellen, was für Phrasen ab 5 Wörtern nicht möglich ist.
@Dick99999 moderne GPUs können 6 GB Speicher auf einer einzelnen Karte haben (obwohl es 2 Steckplätze benötigen würde) und können problemlos ein Wörterbuch mit einigen tausend Wörtern speichern.
@NateKerkhofs Das ist beängstigend und erstaunlich zugleich. Mein erstes (programmierbares) Gerät hatte 1 MHz und 64 KB RAM und Sie sprechen von 6 GB Videospeicher ...
@PTwr Um fair zu sein, ich spreche von einer extrem hochwertigen Spielkarte, die tausend Euro kostet und nicht für die meisten Standard-Computergehäuse geeignet ist. Es gibt auch eine verbesserte Version, die 3000 EUR kostet und 12 GB Speicher hat, aber auch 3 Steckplätze belegt.
@NateKerkhofs also ... NSA haben Cluster von ihnen? Selbst dann hat mein Telefon zweitausendmal mehr Rechenleistung und 8192mal mehr RAM als mein erster Computer. Oh die Möglichkeiten! Und ich überprüfe nur E-Mails darauf ...
Ihr Passwortgenerator gefällt mir sehr gut.
Wird das von irgendwoher bezogen? Das klingt alles sehr vertraut.
"128-Bit-Passwort wirklich zufällig ..." Wirklich zufällig? Ist es nicht immer noch pseudozufällig?
Dies sollte die akzeptierte Antwort sein, wenn auch aus keinem anderen Grund als dem Teil des Heiligen Krieges.
@DLeh Sie können jederzeit 128 Mal eine Münze werfen und damit ein Passwort generieren und dann manuell in das Speicher-Tool eingeben.
@PTwr Die NSA verwendet zweifellos große Mengen von ASICs mit fester Hardware, die nur SHA1 (oder MD5, ..) parallel ausführen können. Wenn Sie der Meinung sind, dass eine GPU schnell ist, stellen Sie sich etwas vor, das mehrere Größenordnungen schneller ist und einen angemessenen Stromverbrauch aufweist. Ein Beweis dafür, wie einfach so etwas selbst für normale Menschen ist, sind all diese VLSI-Bitcoin-Miner da draußen. SHA1 mit PBKDF2 ist dort nur ein Pflasterstein. Was Sie wirklich wollen, ist so etwas wie eine Verschlüsselung, die viele Ressourcen beansprucht.
@user973810 Nur zur Verdeutlichung habe ich den Generator nicht geschrieben, ich benutze ihn nur.
@DLeh Ich habe mir den Generierungsalgorithmus von KeePass nicht so genau angesehen. Sie haben wahrscheinlich Recht damit, dass er pseudozufällig ist, aber Sie könnten einfach `dd tun, wenn = / dev / random bs = 1 count = 16 | base64` und speichern Sie das, wenn Sie wirklich zufällig wollten.
@TankorSmash Ich denke, jede kreative Arbeit ist abgeleitet, es ist meine eigene Antwort, aber ich habe die meisten Ideen von woanders bekommen. Zum Beispiel das bisschen über 10 Leute und 11 Antworten, das ich aus einem Terry Pratchett-Buch über Zwerge adaptiert habe und wahrscheinlich ursprünglich nicht für dort war.
@Hybrid Es ist das Zitat "wo jede Gruppe denkt, dass die andere einen sehr einfachen mathematischen Fehler macht oder den Punkt verfehlt", das von irgendwo anders stammen muss
@TankorSmash Ja, es ist von http://blog.xkcd.com/2008/09/09/the-goddamn-airplane-on-the-goddamn-treadmill/ Ich habe gerade angepasst "jede Gruppe denkt, die andere macht eine sehr einfache Physik Fehler"
Oder sogar besser als 10 zufällige Wörter, eine aussagekräftige Phrase, die immer noch schwer zu erraten ist. Beispiel: "XKCD ist ein Webcomic im Internet und enthält 1337 Erklärungen!" (Nur eine zufällige Sache, an die ich gedacht habe, aber Sie haben die Idee.)
@Doorknob Sobald Sie sinnvolle Kombinationen ausgewählt haben, verschwindet der größte Teil der Entropie. Ich werde nicht versuchen zu schätzen, wie viele Sätze Sie auswählen könnten, aber dies ist wahrscheinlich näher an einem von einer Milliarde als an einem von 2 ^ 44.
Nur 11 verschiedene Antworten? Nicht 12 oder 20?
@JoeZ. Eigentlich 2 ^ 11.
@JoeZ., Wer war es (LBJ?), Der, als er hörte, wie Ökonomen ständig sagten: "Einerseits ... aber andererseits ...", rief: "Jemand bringt mir einen Einhand-Ökonomen!"
Die Mathematik mag korrekt sein, aber wenn Benutzer nicht vorsichtig sind, können sie ihr Passwort durch eine schlechte Wortwahl erheblich schwächen. Wenn sie beispielsweise immer 4 Wörter auswählen ** Substantiv Verb Adjektiv Substantiv ** (um einen leicht zu merkenden Satz zu bilden), reduziert dies die Anzahl der möglichen Lösungen, die versucht werden sollen (Brute-Force-Angriff), erheblich.
@DLeh: Ich bin sicher, er meinte wirklich zufällig gegen eine Phrase, aber KeePass verfügt über Plugins und integrierte Unterstützung zum Sammeln zusätzlicher Entropie beim Generieren der Passwörter, einschließlich des Willens des Benutzers, die Maus willkürlich zu bewegen oder die Tastatur zu zerdrücken.
@Doorknob "zufällige Sache, an die ich gedacht habe" - das ist ein Widerspruch. Menschen denken nicht an zufällige Dinge, tatsächlich sind Menschen sehr arme Entropieerzeuger. Die Betonung und Annahme ist, dass diese * tatsächlich * zufällig sind, d. H. NICHT etwas, an das Sie "denken".
TL; DR einen Passwort-Manager verwenden?
"Der xkcd-Comic geht in beiden Beispielen davon aus, dass alle Details der Generation bekannt sind." Naja, so ungefähr. Der Comic erwähnte kurz, dass "Sie ein paar weitere Bits hinzufügen können, um die Tatsache zu berücksichtigen, dass dies nur eines von wenigen gängigen Formaten ist".
_ "Ich verwende ein Python-Skript, das Passwörter im XKCD-Stil generiert." _ Vergessen Sie nicht, dass es jetzt eine Vielzahl von Online-Passwortgeneratoren im XKCD-Stil gibt. Einige tun dies auch im Browser - wie [xkcd.pw] (https://xkcd.pw/).
"1000 Vermutungen / Sek. Plausibler Angriff auf einen schwachen Remote-Webdienst. Ja, das Knacken eines gestohlenen Hashs ist schneller, aber der durchschnittliche Benutzer sollte sich darüber keine Sorgen machen."Dies mag zum Zeitpunkt des Schreibens richtig gewesen sein, aber heutzutage denke ich, dass das Knacken gestohlener Hashes eine sehr berechtigte Sorge ist - vielleicht die bedeutendste?
@DennisJaheruddin Dies ist vielleicht eine ziemlich späte Antwort, aber ich denke, die grobe Zahl entspricht 1 Bit Entropie pro Zeichen des normalen Englisch, was darauf hindeutet, dass es eine Milliarde englische Phrasen mit 30 Zeichen gibt.
Tom Leek
2014-07-10 20:11:18 UTC
view on stackexchange narkive permalink

Schneier schreibt Folgendes:

Aus diesem Grund ist das oft zitierte XKCD-Schema zum Generieren von Passwörtern - einzelne Wörter wie "korrektes Pferdebatterystaple" aneinanderreihen - kein guter Rat mehr. Die Passwort-Cracker sind mit diesem Trick beschäftigt.

aber der Schlüssel zum Verständnis dessen, wonach er wirklich sucht, ist etwas weiter in seinem Aufsatz:

Es gibt noch etwas ein Schema, das funktioniert. Im Jahr 2008 habe ich das "Schneier-Schema"

beschrieben. Ole 'Bruce möchte behaupten, dass sein Schema das Einzige ist, das Beste, der Gewinner, das ultimative Schema. Daher muss er abfällige Dinge über die "Konkurrenten" sagen, unabhängig davon, ob solche Behauptungen wissenschaftlich fundiert sind oder nicht.

In diesem Fall wurde immer angenommen , dass die Die Methode zur Kennworterzeugung ist dem Angreifer bekannt. Das ist der springende Punkt bei Entropieberechnungen. siehe die Analyse. Dass Angreifer "auf diesen Trick" sind, ändert überhaupt nichts (wenn ein Angreifer die Methode zur Kennworterzeugung kennt, beschreibt die Entropieberechnung genau die Kennwortstärke; wenn der Angreifer es ist inkompetent und kennt die Methode zur Passwortgenerierung nicht, die Passwortstärke ist nur um einen Betrag höher, der nahezu unmöglich zu quantifizieren ist.

Der Witz über "Passwörter im Speicher" ist nur inkohärenter. Passwörter werden zwangsläufig irgendwann in den Arbeitsspeicher verschoben, unabhängig davon, ob Sie sie eingeben oder aus einem Passwort-Safe oder ähnlichem kopieren und einfügen.

Ich vermute, Bruce war betrunken.

Update: Schneier wurde ausdrücklich gebeten, sich zu seiner Verurteilung von Passphrasen in einer Reddit AMA zu äußern, die am 2. August 2016 stattfand. Er setzte sich weiterhin für sein System zur Passworterstellung als überlegene Alternative zu zufälligen Wörtern ein Passphrasen. Schneier sagte, sein Schema "gibt Ihnen mehr Entropie pro einprägsamem Zeichen als andere Methoden", was im Vergleich zu Zeichen, aus denen Wörter bestehen, zutrifft. Dies ist jedoch auch dann irrelevant, wenn ein System Wörter anstelle von Zeichen auswendig lernt und Sie genügend Wörter kombinieren dürfen, um eine angemessene "Entropie" für Ihre Passphrase als Ganzes zu erzeugen.

Ja, ich dachte, seine Kommentare wären eine merkwürdige Abweichung von seinem typischen guten Rat. Sein empfohlenes Schema ist wahrscheinlich nicht schlecht, wurde aber nicht viel getestet. Der Passphrasenansatz ist im Vergleich ziemlich einfach zu testen, und Sie würden denken, dass dies den Kryptographen in ihm ansprechen würde. Vielleicht überflog er nur die Nachrichten über das Knacken von Passphrasen in natürlicher Sprache und sah keinen Unterschied zwischen diesen und Passphrasen mit zufälligen Wörtern.
Keines der 'bemerkenswerten' Beispiele von Schneier zeigt eine Spur von zufällig ausgewählten Wörtern. Wenn diese erfolgreichen Hacking-Übungen genügend Hash-Codes erhalten, finden sie jede Woche einige Sätze, was nicht bemerkenswert ist: Es liegt in der Mathematik. Selbst wenn eine Phrase mit 4 zufälligen Wörtern durchschnittlich 5 Jahre lang erraten werden muss, ist die Wahrscheinlichkeit, dass sie am ersten Tag wiederhergestellt wird, eine von 3650, siehe auch mein Plädoyer für Tag 1 .
Link zum originalen Schneier-Beitrag?
Ihr Argument, dass er die Konkurrenz verunglimpfen muss, schlägt fehl, da er unmittelbar nach der Beschreibung seines Schemas sagt: "Noch besser ist es, zufällige, nicht einprägsame alphanumerische Passwörter (mit Symbolen, wenn die Site dies zulässt) und einen Passwortmanager wie Password Safe to zu verwenden erstelle und speichere sie_ ".
@wfaulk Password Safe ist eine Kreation von Bruce Schneier, daher bleibt sein Argument über die Konkurrenz bestehen. Deine Fehleranweisung schlägt fehl ;-)
@AviD: Das wusste ich überhaupt nicht.
@TomLeek, Es ist so einfach, ein sicheres Passwortschema zu erstellen. Wirf einfach einen 62-seitigen Würfel X-mal und verwende die Zahlen, die als Passwort erscheinen.
Ich denke, er bezog sich auf die Tatsache, dass Hash-Cracking-Software diesen Trick verstanden hat.AFAIK können sie jetzt Regelsätze ausführen, die Wörterbuchwörter kombinieren und 1337-Text ersetzen, sowie andere sehr intelligente Algorithmen, die diese Methode viel weniger effektiv machen würden.Ich würde mir vorstellen, dass alle vier Wörter aus dem XKCD-Comic in einer Wörterbuchliste enthalten sind.Es würde nicht allzu lange dauern, bis sie sich vereinigten und eine Iteration der Buchstabenersatzregeln herausfand, welche geändert worden waren.Spiel ist aus.Gegen die Standard-Brute-Force-Methode "Alle Buchstaben kombinieren" würde es gut funktionieren.
Was Sie vermissen und anscheinend auch Schneier, ist, dass es keinen "Trick" gibt, an dem Sie sich "festhalten" können.Die Sicherheit von Diceware * setzt bereits voraus, dass der Angreifer über das Schema Bescheid weiß *. Tatsächlich wird davon ausgegangen, dass das Wörterbuch selbst bekannt ist.Es spielt keine Rolle, ob der Angreifer Ihr genaues Wörterbuch und die Anzahl der Wörter hat: Es gibt einfach zu viele Kombinationen, um einen erfolgreichen Angriff durchzuführen, bevor die Sonne explodiert.
Jeffrey Goldberg
2014-07-11 03:20:39 UTC
view on stackexchange narkive permalink

[Offenlegung: Ich arbeite für AgileBits, die Hersteller von 1Password]

Einer der Gründe, warum ich mich in Toward Better Master für ein XKCD-ähnliches Schema ausgesprochen habe (bevor es so genannt wurde) Passwörter im Jahr 2011 sind genau deshalb so wichtig, weil der Angreifer nicht weiß, welches Schema Sie verwendet haben. Wenn ich mich selbst zitieren darf

Das Tolle an Diceware ist, dass wir genau wissen, wie sicher es ist, selbst wenn der Angreifer das verwendete System kennt. Die Sicherheit ergibt sich aus der echten Zufälligkeit des Würfelns. Die Verwendung von vier oder fünf Wörtern sollte gegen die plausiblen Angriffe in den nächsten Jahren ausreichen angesichts der beobachteten Geschwindigkeit von Passwort-Crackern [gegen 1Password-Master-Passwort]

Was die XKCD Comic kommuniziert nicht effektiv ist, dass die Auswahl der Wörter (einheitlich) zufällig sein muss . Wenn Sie Menschen bitten, Wörter nach dem Zufallsprinzip auszuwählen, erhalten Sie eine starke Neigung zu konkreten Substantiven. Solche Vorurteile können und werden ausgenutzt werden.

Wie viel Kraft Sie wollen

In einer perfekten Welt möchten wir, dass die Stärke unseres Passworts so stark ist wie die Schlüssel, mit denen wir schützen es. Sagen wir 128 Bit. Aber trotz dieser Techniken werden die Menschen das nicht erreichen. Schauen wir uns also realistisch die Angriffe an und was unsere kleinen Köpfe tun können.

Mit der ursprünglichen Diceware-Wortliste mit 7776 Einträgen erhalten Sie ungefähr 12,9 Bit pro verwendetem Wort. Wenn Sie also mindestens 64 Bit für Ihr Passwort benötigen, reichen fünf Wörter aus.

Das Erraten von Passwörtern ist langsamer als das Erraten von Schlüsseln

In diesem Abschnitt komme ich zu einem sehr groben Hintergrund der Umschlagschätzung, dass es für einen konstanten Betrag von Dollar 2 ^ 13-mal langsamer ist, ein Passwort zu testen, als einen AES-Schlüssel zu testen.

Beachten Sie, dass das Testen eines Kennworts viel langsamer ist als das Testen eines Schlüssels. Wenn die richtigen Arten von Passwort-Hashing-Schemata verwendet werden, ist es möglich, die meisten Angreifer auf unter 100000 Vermutungen pro Sekunde zu beschränken. Während wir vielleicht niemals 50-Bit-Schlüssel verwenden möchten, ist die Verwendung von 50-Bit-Passwörtern möglicherweise dennoch sinnvoll.

Wenn wir uns nicht darauf beschränken, wie in Arnold Reinholds Original-Diceware-Schema zu würfeln ab 1995 können wir dann eine längere Liste von Wörtern verwenden. Der Generator für starke Passwörter in 1Password für Windows verwendet eine Liste von 17679 englischen Wörtern mit 4 bis einschließlich 8 Buchstaben (ohne Tabuwörter und Wörter mit Apostroph oder Bindestrichen). Dies ergibt ungefähr 14 Bits pro Wort. Vier davon ergeben 56 Bits, fünf 70.

Auch hier müssen Sie auf die Crack-Geschwindigkeit achten. Deep Crack konnte 1997 92 Milliarden DES-Tests pro Sekunde durchführen. Unter der Annahme, dass ein spezialisierter High-End-PC eine Million Vermutungen pro Sekunde gegen ein einigermaßen gut gehashtes Passwort durchführen kann, könnte dies eine Million Vermutungen pro Sekunde ermöglichen, dann sind Passwörter heute etwa 16 Bit schwerer zu knacken als DES-Schlüssel im Jahr 1997.

Schauen wir uns also diese Stack Exchange-Schätzung für einen Dual-Core-3,8-GHz-Prozessor an: 670 Millionen Schlüssel pro Sekunde. Wenn wir von Hardware im Wert von 5000 US-Dollar ausgehen, können wir leicht 10 Milliarden Schlüssel pro Sekunde überschreiten. Bei ähnlichen Hardwarekosten ist das Knacken von Schlüsseln immer noch mehr als 2 ^ 13-mal schneller als das Knacken von Passwörtern.

Überarbeitete Ziele für die Passwortstärke

Wenn ich davon ausgehe, dass das Testen eines gut gehashten Passworts 2 ^ 13-mal teurer ist als das Testen eines AES-Schlüssels, sollten wir ein einigermaßen gut gehashtes Passwort als 13 Bit stärker betrachten als seine tatsächliche Entropie mit in Bezug auf Rissbildung. Wenn wir 90 Bit "effektive Stärke" erreichen wollen, sollten 77 Bit Passwortstärke dies tun. Dies wird mit einem Diceware-Passwort mit sechs Wörtern (77,5 Bit) aus der ursprünglichen Liste und 84,6 Bit mit sechs Wörtern aus einer Liste von 17679 Wörtern erreicht.

Ich erwarte nicht, dass die meisten Leute solche Passwörter verwenden lange. Ich gehe davon aus, dass die Leute Dinge verwenden, die 4 oder 5 Wörter lang sind. Wenn Sie sich jedoch ernsthafte Sorgen darüber machen, dass die NSA Ihren Passwörtern nachgeht, sollten sechs Wörter ausreichen, vorausgesetzt, Sie verwenden ein anständiges Passwort-Hashing-Schema.

Nur sehr grobe Schätzungen

Ich habe es nicht getan Ich verbringe nicht viel Zeit damit, Kosten und Benchmarks zu recherchieren. In meinen Schätzungen gibt es viele Dinge, mit denen ich mich streiten muss. Ich habe versucht, konservativ zu sein (pessimistisch in Bezug auf das von mir befürwortete Schema). Ich war auch vage über "gut gehashte Passwörter". Auch hier bin ich sehr konservativ in Bezug auf das Passwort-Hashing in 1Password. (Für unser neues Datenformat wurden Angreifer auf unter 20.000 Vermutungen pro Sekunde beschränkt, und für unser älteres Datenformat haben sie 300.000 Vermutungen pro Sekunde für Multi-GPU-Maschinen erreicht. Nach meinen Schätzungen habe ich hier 1 Million Vermutungen pro Sekunde ausgewählt zweite für ein "einigermaßen gut gehashtes Passwort".)

Noch ein paar historische Hinweise

Die Gesamtidee für "XKCD-ähnliche" Passwörter reicht mindestens so weit zurück wie das S / Key Einmalpasswörter aus den frühen 1980er Jahren. Diese verwendeten eine Liste von 2048 Wörtern mit einem bis vier Buchstaben. Mit einem S / Key-Passwort mit sechs Wörtern erhalten Sie 66 Bit. Ich weiß nicht, ob diese Idee, zufällig ausgewählte Wörter aus einer Liste für eine Passphrase zu verwenden, älter ist als S / Key.

1995 schlug Arnold Reinhold Diceware vor. Ich weiß nicht, ob er damals von S / Key wusste. Diceware wurde im Zusammenhang mit der Entwicklung von Passphrasen für PGP vorgeschlagen. Es war auch, bevor die meisten Computer kryptografisch geeignete Zufallszahlengeneratoren hatten. Es geht also tatsächlich darum, Würfel zu würfeln. (Obwohl ich den CSPRNGs auf den von mir verwendeten Computern vertraue, genieße ich es immer noch, "ein neues Passwort aufzurollen".)

Im Juni 2011 habe ich das Interesse an Diceware in Toward Better Master Passwords mit einigen zusätzlichen Änderungen. Dies führte zu meinen 15 Minuten Ruhm. Nachdem der XKCD-Comic herauskam, produzierte ich eine Geek-Edition, die einen Teil der Mathematik durchlief.

Im Juli 2011 hatte Randall Monroe Diceware-ähnliche Schemata aufgegriffen und veröffentlicht sein jetzt berühmter Comic. Da ich nicht der Erfinder der Idee bin, macht es mir nichts aus, vom Comic inszeniert zu werden. In der Tat, wie ich in meinem Folgeartikel

sagte, was mich fast 2000 Wörter gekostet hat, um nicht technisch zu sagen, konnte Randall Monroe zusammenfassen ein Comic. Dies zeigt nur die Kraft der Mathematik ...

Aber es gibt eine Sache an der Interpretation des Comics, die mich beunruhigt. Mir und Leuten, die das Schema bereits verstanden haben, ist klar, dass die Wörter durch einen zuverlässig einheitlichen Zufallsprozess ausgewählt werden müssen. Das Auswählen von Wörtern "zufällig" aus Ihrem Kopf ist kein verlässlich einheitlicher Prozess .

Schön, dass Sie Diceware in einer historischen Perspektive erwähnen und gleichzeitig die großartige Marketingarbeit anerkennen, die XKCD für Passphrasen geleistet hat. Wird irgendwo über Ihr modifiziertes Schema erklärt, warum Wörter mit 3 oder 2 Buchstaben nicht in diesen Wortlisten enthalten sind? Siehe http://blog.agilebits.com/2013/04/16/1password-hashcat-strong-master-passwords/expanded-dicelists/. Liegt es daran, dass die Wörter "off" und "line" auch von 1 Wort offline angegriffen werden könnten? Siehe meine Kommentare zum Beitrag von Raestloz. Die ursprüngliche Diceware-Liste enthält viele Wörter mit 1, 2 und 3 Buchstaben.
Ausgezeichnete Frage! Mein (möglicherweise falscher) Gedanke war damals, dass ich auch wollte, dass Passphrasen eine Mindestlänge haben. Ich wollte sicherstellen, dass jemand, der eine Passphrase mit drei Wörtern verwendet, mindestens 12 Zeichen lang ist. Ich stelle fest, dass S / Key auch Wörter mit 1, 2 und 3 Buchstaben zulässt.
Ich überprüfte schnell die Wortlisten, die mein SimThrow-Passphrasengenerator und Tester verwendet. Die ursprüngliche Diceware-Liste enthält mindestens 1400 dieser Kollisionen wie "any", "how" und "anyhow". Dies kann einen 4-Wort-Satz auf 3 Wörter verschlechtern, wenn kein Trennzeichen verwendet wird. Es ist eine hohe Kollisionszahl, da diese Liste alle Buchstaben und 2-Buchstaben-Kombinationen enthält. Es scheint also, dass Sie die richtige Wahl getroffen haben, keine Wörter mit zwei Buchstaben einzuschließen. Diceware empfiehlt eine Mindestsatzlänge von 17. Mein Generator schätzt sowohl die wort- als auch die zeichenbasierten Wiederherstellungszeiten, um mit Websites fertig zu werden, die nur kurze Passwörter zulassen (20).
Ich habe auch die folgenden Wortlisten überprüft. [S / Key] (http://www.faqs.org/rfcs/rfc1760.html):> 93 Kollisionen, [erweiterte Dicelists US] (http://blog.agilebits.com/2013/04/16/ 1password-hashcat-strong-master-passwords / erweiterte-dicelists /):> 190 und meine niederländische Liste:> 750. Eine Möglichkeit, dies zu handhaben, besteht darin, ein Trennzeichen zwischen den Wörtern einer Phrase einzufügen.
Achtung, Würfeln ist nicht zufällig. http://www.forbes.com/sites/davidewalt/2012/09/06/dice-chessex-gamescience-roll-randomn/ Und http://www.insidescience.org/blog/2012/09/12/dice -Rollen sind nicht völlig zufällig
Die beste Möglichkeit, Diceware zu verwenden, besteht darin, eine Wortliste ohne Präfix zu verwenden.Die ursprüngliche Diceware-Wortliste war nicht frei von Präfixen, aber EFF hatte eine [englische EFF-Wortliste] (https://www.eff.org/deeplinks/2016/07/new-wordlists-random-passphrases) erstellt, die frei von Präfixen ist.
Bei der Entwicklung der Wortliste, die wir jetzt in der 1Password-Generierung verwenden, habe ich versucht, sie präfixfrei zu machen.aber es hat wirklich zu viele Worte gekostet. Es gibt eine viel einfachere Lösung.Bestehen / fördern Sie die Verwendung von Trennzeichen zwischen den Wörtern.
coole antwort Ich habe mir sogar den Spaß genommen und die von 1pw verwendete Wordlist aus der Mac-Anwendung extrahiert (einfach genug mit 7zip) und ein kleines PHP-Skript geschrieben, das ich lokal ausführen kann, um Wörter zu generieren, was wirklich schön ist, besonders wenn man bedenkt, dass die Liste viel länger istals Diceware.aber was ich manchmal gerne hätte, wäre, wenn ich hier in deutschland Phrasen für andere erstelle, eine anständige Wortliste für Diceware oder irgendetwas anderes zu sein, da die Diceway-Liste dafür viel zu viel Müll enthält, der nicht einmal Wörter oder irgendetwas enthält
Mark
2014-07-10 12:11:07 UTC
view on stackexchange narkive permalink

Das XKCD-Passwortschema ist so gut wie nie zuvor. Die Sicherheit beruht nicht darauf, dass sie unbekannt ist, sondern darauf, dass aus einem großen Suchraum einprägsame Passwörter generiert werden können. Wenn Sie die zu verwendenden Wörter auswählen, anstatt sie zufällig zu generieren, geht dieser Vorteil verloren - Menschen sind nicht gut darin, zufällig zu sein.

Das Bit über das Gedächtnis ist schlecht angegeben, aber es ist ein Problem: Wenn Malware, die Kennwörter stiehlt, jemals auf Ihren Computer gelangt, wird alles Textartige aus dem RAM und der Festplatte entfernt, um bei einem gezielten Angriff auf Ihre Konten verwendet zu werden.

+1 Ich glaube nicht, dass die XKCD-Technik tot ist - es ist kein Trick, den Cracker machen. Sie können die Technik genau kennen, aber das macht sie nicht mehr knackbar, wenn sie zufällig genug ist.
@PiTheNumber Wenn Sie nicht genügend Wörter oder ein winziges Wörterbuch verwenden, wenden Sie die xkcd-Technik überhaupt nicht an. Aber nein, selbst im xkcd-Comic ist ausdrücklich klar, dass Sie *** NICHT *** Ihren Vorteil verlieren, wenn Sie allen sagen "Hey, ich verwende ein Passwort im Stil eines korrekten Pferdebatterystapels" - die Anzahl der Überprüfungen / Entropiebits ist höher als die meisten normalen Passwörter, auch wenn die Methode bekannt ist.
Vorausgesetzt, Sie verwenden nicht auch den Zufallszahlengenerator von XKCD (ich werde nicht verlinken, jeder weiß es).
@PiTheNumber das Konzept des '11 Buchstaben wirklich zufälliges Passwort 'ist irrelevant, da es keine vernünftige Alternative zu Passphrasen ist. Passphrasen sind eine Alternative zu * einprägsamen * Passwörtern, und diese sind genau so schwach, wie xkcd beschreibt. Sicher, wenn Sie ein Passwort verwenden, das in einem Passwort-Manager gespeichert ist, passen völlig zufällige Passwörter, aber in diesem Fall ist es im Wesentlichen nicht "Ihr Passwort" wie in etwas, das * Sie * verwenden oder sehen würden, sondern ein "automatisch generiertes zufälliges Schlüssel-Token" 'ähnlich wie SSH-Schlüssel.
@PiTheNumber Die Wörter werden nicht vom Menschen ausgewählt, sondern zufällig ausgewählt. Das Wörterbuch, aus dem die Wörter ausgewählt werden, ist selbst vom Menschen ausgewählt, aber das ist eine andere Sache. Es gibt kein "höchstwahrscheinlich" - die Mathematik im xkcd-Comic ist korrekt.
@SteveJessop, meinst du mein Passwort "droiddroiddroiddroid" ist nicht gut? :(
@PiTheNumber Ja, das ist der springende Punkt des XKCD-Comics: Es bietet eine Methode, um ein computergeneriertes Passwort zu haben, das sowohl sicherer als ein meist vom Menschen generiertes Passwort (mehr Entropie) als auch leichter zu merken ist. Und Jeff hat das Ganze völlig missverstanden (seine Bemerkung zum „Schneiden der Entropie“ ist totaler Schwachsinn).
wberry
2014-07-11 00:17:02 UTC
view on stackexchange narkive permalink

Wie andere bereits gesagt haben, ist der von Bruce Schneier beschriebene Angriff effektiv, wenn der Benutzer mehrere Wörter selbst auswählt und kein Werkzeug verwendet. Schneier schreibt normalerweise an ein allgemeines Publikum, das den Unterschied zwischen selbst gewählten "zufälligen" Wörtern und vom Programm gewählten zufälligen Wörtern wahrscheinlich nicht erfassen wird.

Ich werde das hinzufügen, selbst wenn Sie ein Skript verwenden oder Bei einem anderen Tool zum zufälligen Auswählen von Wörtern aus einem Wörterbuch müssen Sie die erste Sequenz verwenden, die Sie erhalten . Wenn Sie sich für "Ich mag das nicht" entscheiden und es erneut ausführen, bis es Ihnen gefällt, ist es keine zufällige Passphrase mehr , sondern vom Menschen ausgewählt.

Auch wenn Sie ein Skript verwenden und die Zufälligkeit nicht durch Auswahl Ihres Favoriten aus mehreren Sequenzen beschädigen, besteht weiterhin die Möglichkeit, dass ein Angreifer Ihr PRNG (Pseudozufallszahlengenerator) ausnutzt. Wenn der Angreifer erfahren kann, wann Sie das Kennwort erstellt haben und welches PRNG Sie verwendet haben, und möglicherweise andere Informationen zu Ihrem PRNG, z. B. Netzwerkverkehr, der ungefähr zur gleichen Zeit mit Ihrem PRNG erstellt wurde, kann dies die effektive Entropie Ihrer zufälligen Passphrase verringern.

Vielleicht ein bisschen esoterisch, aber wenn Ihr PRNG ausnutzbar ist, wird die 2 ^ 44-Zahl nicht vollständig realisiert. (Und wenn Sie davon ausgehen, dass "niemand versuchen wird, mein PRNG auszunutzen", warum interessiert es Sie dann, eine wirklich sichere Passphrase zu verwenden?)

+1 Interessanter Winkel. Das Ausnutzen des PRNG ist im Zusammenhang mit Verschlüsselungsschlüsseln offensichtlich - es ist interessant, dass es hier praktisch ein nachträglicher Gedanke zu sein scheint. Ich denke, typische Passwörter sind so schlecht, dass sich PRNGs im Vergleich sicher fühlen. Wenn ein Angreifer eine Liste von Hash-Passwörtern stehlen kann, ist es vermutlich trivial, die pwdChangedTime oder eine gleichwertige Methode zu finden. Ein weiterer Grund, die Praxis der Passwortalterung zu beenden?
Schnelle Rückseite des Umschlags. Wenn Sie das Kennwort innerhalb einer Minute nach seiner Erstellung aktualisieren und die einzige Entropiequelle in Ihrem PRNG die Systemzeit ist, können Sie die Auflösung für Nanosekunden auf 2 ^ 35 reduzieren. Klingt vernünftig?
Angenommen, ich lehne einen Satz ab, weil ich kein Wort mag, und mache das 1000 Mal. Dann habe ich das Wörterbuch um 1000 Wörter reduziert. Ist die Auswahl aus diesem reduzierten Wörterbuch immer noch zufällig? Wenn dies immer noch der Fall ist, ergibt ein 4-Wort-Satz aus einem so reduzierten 7776-Wort-Diceware-Wörterbuch immer noch (7776-1000) ^ 4 = 2.1E15 / 50.9 Möglichkeiten / Entropiebits, verglichen mit 3.7E15 / 51.7 Möglichkeiten / Entropiebits für das Ganze Wörterbuch. Ich kann den Einfluss des Zufallsgenerators nicht beurteilen. Ich benutze die von www.random.org
@imsotiredicantsleep Ich weiß nicht so viel darüber, wie PRNG-Angriffe ausgeführt werden, aber ich habe das Gefühl, dass sie am erfolgreichsten sind, wenn sie analysieren, wie sie * initialisiert * werden. Der Mersenne Twister hat eine Periode von 2 ^ 19937 - 1, so dass frühere Ausgaben dem Angreifer nicht viel helfen. Wenn Sie jedoch wissen, dass es beispielsweise mit dem aktuellen Zeitstempel, der MAC-Adresse und der CPU-Seriennummer versehen ist und Sie wissen, an welchem ​​Tag ein Kennwort erstellt wurde, ist dies möglicherweise viel einfacher.
@Dick99999 Ich glaube nicht, dass es wirklich um die Anzahl der angebotenen Optionen geht, die Sie bei der Auswahl eines Passworts ausschließen. Es geht um das * Muster *, welche Phrasen * Sie * ausschließen würden, wenn sie Ihnen präsentiert würden. Ein Angreifer könnte vermuten, dass der Benutzer kürzere Wörter, Wörter, die leichter auf einer QWERTZ-Tastatur eingegeben werden können, und Wörter ohne Großbuchstaben oder Interpunktion bevorzugt. Diese Strategie könnte den Raum für zu erforschende Passphrasen erheblich verkleinern. Im Grunde ist es das gleiche Problem wie das Erraten von Lieblingssportteams, Geburtstagen und Kindernamen.
@wberry Ich glaube nicht, dass die Mathematik darauf funktioniert. Angenommen, Sie lehnen 1000 Passphrasen ab, bevor Sie eine finden, die Ihnen gefällt. Dann ist es eine vernünftige Schätzung, dass Sie nur 1/1000 des möglichen Passwortraums mögen. Nehmen wir nun an, ein Angreifer kann vollständig erraten, welches 1/1000 des Feldes Ihr Favorit ist - dies reduziert die Anzahl der Möglichkeiten von 2 ^ 44 auf 2 ^ 34, was bedeutsam ist, aber nicht so sehr, dass ein zusätzliches Wort dies nicht kann den Verlust ausgleichen. Wenn Sie Ihre Ablehnungen einschränken, ist dies nicht erforderlich.
Eine schnelle Möglichkeit, die Stärke einer "zufälligen Passphrase mit Ablehnungen" grob abzuschätzen, besteht darin, mit der nominalen Stärke in Bits zu beginnen (unter der Annahme, dass keine Ablehnungen vorliegen) und ein Bit zu subtrahieren, um überhaupt Ablehnungen zu berücksichtigen. Subtrahieren Sie dann beim Erzeugen von Passphrasen jedes Mal ein weiteres Bit, wenn die Anzahl der Ablehnungen eine Potenz von 2 erreicht (d. H. 1, 2, 4, 8, 16 usw.). Oder subtrahieren Sie einfach 10 Bits und nehmen Sie an, dass Sie lange aufgeben, bevor Sie 512 zufällige Passphrasen ablehnen. (Dies setzt natürlich voraus, dass Sie nach dem Ablehnen einer Phrase immer von vorne beginnen, anstatt einzelne Wörter abzulehnen, wenn Sie eine Phrase generieren.)
The Spooniest
2014-07-10 22:07:36 UTC
view on stackexchange narkive permalink

Es kommt darauf an. Eine Sache, die Sie verstehen müssen, ist, dass dies keine Sicherheit durch Dunkelheit ist: Die im Comic verwendeten Entropiewerte setzen voraus, dass der Angreifer bereits weiß, dass Sie sie verwenden diese Methode . Wenn der Angreifer nicht weiß, wie Sie die Passphrase generieren, steigt die Entropie massiv an.

Der Trick bei der XKCD-Methode besteht darin, dass Sie tatsächlich einen Zufallszahlengenerator und ein gutes Wort verwenden müssen Liste: Wählen Sie die Wörter niemals selbst aus, nicht einmal "zufällig" (in Anführungszeichen, weil Menschen wirklich schlecht darin sind, Dinge zufällig auszuwählen, weshalb Sie es nicht tun sollten). Diceware verfügt über Tools, die Ihnen dabei helfen und sogar das zufällige Element mit normalen Würfeln aus der Reichweite des Computers entfernen.

Gegen einen breit angelegten Angriff - so etwas Wenn ein Angreifer eine Liste mit Passwörtern von einer Website erhalten hat und nichts darüber weiß, wessen Passwörter in der Liste enthalten sind, ist dies so stark wie nie zuvor. Wie Sie sagen, liegt seine Stärke in der Kraft der Exponenten (und einer guten Wortliste).

Schneiers Angriff kann funktionieren, aber nur in einem ganz anderen Kontext. Bei seinem Angriff wird davon ausgegangen, dass Sie von einem Angreifer, der bereits viel über Sie weiß, gezielt angegriffen werden. Dies mag zunächst nicht besonders besorgniserregend erscheinen, da der stereotyp entschlossene Angreifer ein Geheimdienstagent hinter einem Bildschirm ist und die meisten von uns sich nicht so viele Sorgen machen müssen: Es gibt nur so viele von ihnen, und jeder kann nur leisten, sich um so viele Menschen zu kümmern. Dank des Aufkommens hochentwickelter Malware ist dies jedoch eher ein Problem, als es zunächst scheinen mag. Eine Malware-Installation kann es sich leisten, sich um Sie zu kümmern, obwohl der Angreifer dies nicht tut, und Sie sehen sich dennoch einem äußerst entschlossenen Angreifer gegenüber. Noch entschlossener als ein Mensch könnte tatsächlich sein, wenn auch weit weniger kreativ.

Malware, die Informationen über Sie zusammenstellt, gibt Wörtern, die Ihnen wichtig erscheinen, in der Wortliste eine sehr hohe Priorität. Dies geschieht, weil die meisten Leute die "zufälligen" Wörter selbst auswählen, aber dabei tendieren sie tatsächlich ziemlich stark zu den Wörtern, die für sie am wichtigsten sind: Es kann sich immer noch zufällig "anfühlen", aber einige Wörter sind viel wahrscheinlicher komm als andere. Aus diesem Grund führt die hohe Priorität dieser Wörter häufig zu relativ schnellen Treffern, und dies ist der "Trick", von dem Schneier spricht.

Sie können Schneiers Angriff jedoch immer noch mit real vereiteln Zufälligkeit . Der Haken ist, dass dies Disziplin erfordert: Alle Entscheidungen darüber, welche Wörter in Ihrer Passphrase verwendet werden sollen (abgesehen von der Auswahl einer guten Wortliste), müssen vollständig aus Ihren Händen genommen werden. Hier können Ihnen Dinge wie Diceware helfen.

Ihr erster Absatz ist fast völlig falsch (was schade ist, weil Ihre Antwort ansonsten gut ist). Die Tatsache, dass der Angreifer weiß, dass Sie die xkcd-Methode verwenden, verringert die Entropie nicht wesentlich. Was die Entropie verringern würde, wäre, wenn der Angreifer wüsste, welche Wörter Sie auswählen würden - was er nicht tun würde, wenn Sie der xkcd-Methode folgen, weil Sie sie zufällig auswählen sollen (nicht mental, sondern mit einem Würfel oder etwas ähnlich Wahrem) zufällig).
@Gilles: Der Grund, warum die Entropie sinkt, wenn der Angreifer die Methode kennt, ist, dass sie die gesamte Struktur des Passworts ändert. Wenn Sie die Methode nicht kennen, sieht "richtige Pferdebatterie-Heftklammer" wie 216 Symbole aus einem 2-Symbol-Alphabet aus: mit anderen Worten, 216 Bit. Wenn Sie wissen, dass es sich um vier englische Wörter handelt (und die Wortliste von XKCD kennen), sieht es aus wie vier Symbole aus einem Alphabet mit 2048 Symbolen. 2048 ^ 4 ist groß, aber kleiner als 2 ^ 216. Dies ist die Anzahl der Entropiebytes, die eine wirklich zufällige Bitfolge dieser Länge haben würde. Aber die Behauptung von XKCD erklärt dies bereits: 2048 ^ 4 = 2 ^ 44.
Die Annahme, dass Angreifer glauben, dass Passwörter Bitfolgen sind, die einer gleichmäßigen Verteilung folgen, ist ein völlig unrealistisches Modell für Angreifer. Die Kenntnis der Methode macht nur eine Handvoll Entropiebits aus.
Warum behauptet XKCD dann, dass eine Zeichenfolge mit 27 Zeichen nur 44 Entropiebits hat?
Entropie wird nicht für Zeichenfolgen definiert, sondern für Methoden zum Generieren von Zeichenfolgen. XKCD beschreibt eine Methode zum Generieren von Strings mit 44 Entropiebits. Die Domäne dieser Methode enthält Zeichenfolgen mit einer Länge von 27 Zeichen sowie Zeichenfolgen anderer Länge. Die Länge der Zeichenfolgen ist jedoch aus Sicherheitsgründen nicht interessant, sondern nur aus Sicht der Benutzerfreundlichkeit.
Dann klingt es so, als ob mein Fehler nur eine Frage der Terminologie war. Ich habe über die Entropie gesprochen, die ein Passwort bekannter Länge zu haben scheint. Wenn Sie nichts anderes über ein Kennwort als seine Länge wissen, scheint eine 27-stellige Zeichenfolge 2 ^ 216 Entropiebits zu haben. Wenn Sie wissen, dass es sich um vier zufällige englische Wörter handelt, die aus einer Liste mit 2048 Wörtern ausgewählt und durch Leerzeichen getrennt wurden, scheint sie nur 2 ^ 44 Entropiebits zu haben (d. H. Was XKCD behauptet). Wenn Sie andere Modelle kennen (oder richtig erraten können), ändert sich die scheinbare Entropie entsprechend. Ich werde die Antwort bearbeiten, um dies anzugeben.
Warum sollten Sie die Länge des Passworts kennen, aber nicht die Tatsache, dass englische Wörter häufiger als der Durchschnitt in Passwörtern vorkommen? Auch hier ist Ihr Angreifer-Modell völlig unrealistisch. Angreifer sagen nicht "Hey, ich werde alle möglichen Passwörter mit 27 Buchstaben generieren". Sie lauten eher wie "Hey, ich werde alle möglichen Passwörter in absteigender Reihenfolge der Wahrscheinlichkeit generieren".
@Giles [Eigentlich sind sowohl die Zeichenfolge als auch die Methode relevant] (http://en.wikipedia.org/wiki/Kolmogorov_complexity#Relation_to_entropy). Sie behaupten, der erste Absatz von The Spooniest sei falsch, während Sie ein Argument vorbringen, das ihn zu wiederholen scheint. Wenn Sie nicht wissen, wie das Passwort generiert wird, steigt die Entropie stark an - ~ 166 Bit für 27 Zeichen (obere, untere, Ziffer, Interpunktion). Sie sagen, dass Angreifer das Wissen darüber nutzen können, wie Passwörter generiert werden, um dies zu reduzieren. Scheint, als würden Sie dasselbe von entgegengesetzten Seiten aus argumentieren. Wenn man die Länge nicht kennt, erhöht sich auch die Entropie.
AiligyqriqCMT Genau.
@Giles Angenommen, der Angreifer weiß, dass es sich um eine 4-Wort-Passphrase ohne Trennzeichen handelt. Angenommen, das verwendete Wörterbuch ist NICHT bekannt, stattdessen wird ein Wörterbuch mit 100.000 Wörtern verwendet. Dies erzeugt 1E20 / 66 Möglichkeiten / Entropiebits gegenüber 8.1E13 / 46 Möglichkeiten / Entropiebits für ein Wörterbuch mit 3000 Wörtern. Die Entropie steigt ziemlich stark an.
@Giles 67 Bit Entropie, nicht 66: Sie müssen aufrunden, um den zusätzlichen Bruch zu berücksichtigen (obwohl er weniger als 0,5 beträgt). Das ist nichts, worüber man niesen muss, aber immer noch weit entfernt von 216. Ich bin mir auch nicht sicher, ob man so lange eine gute Wortliste aus dem Englischen herausholen kann, weil eine gute Wortliste bei Dingen wie Teilzeichenfolgen wählerisch sein muss. Könnte jedoch eine interessante Programmierherausforderung darstellen.
@Spooniest: Wenn Sie über Kommunikationsbandbreite und ideale Komprimierung sprechen, runden Sie diesen Bruchteil auf. Wenn Sie über die Kennwortstärke sprechen, runden Sie diese ab.
@BenVoigt: Punkt genommen. Bester Fall gegen schlechtesten Fall. Mein Fehler.
Ich würde argumentieren, dass selbst für einen hoch entwickelten Angreifer, der nicht weiß, dass die XKCD-Methode verwendet wurde, eine Passphrase wie "Correcthorsebatterystaple" immer noch nicht viel mehr als 44 Bit Entropie enthält.Ein empirisches Argument dafür ist die Tatsache, dass der [zxcvbn-Kennwortstärkeschätzer] (https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html) einen Wert von etwa 49 Bit (10 ^ 14,4) angibt≈ 2 ^ 48 Vermutungen ≈ 49 Bits).Lustigerweise könnte man auch argumentieren, dass der Comic dies indirekt vorwegnimmt ("Sie können ein paar weitere Bits hinzufügen, um die Tatsache zu berücksichtigen, dass dies nur eines von wenigen gängigen Formaten ist.").
Dick99999
2014-07-10 12:33:10 UTC
view on stackexchange narkive permalink

Die Stärke der Mathematik ist recht einfach, wenn die Wortauswahl zufällig erfolgt: (Anzahl der Wörter im Wörterbuch) ^ (Anzahl der Wörter im Satz), vorausgesetzt, der Angreifer kennt die Anzahl der Wörter im Wörterbuch. Eine 5-Wort-Phrase mit einem bekannten ( vom Angreifer !) 7776-Wort-Diceware-Wörterbuch: hat 7776 ^ 5 = 2,8E19 oder 64 Bit Entropie.

Es gibt einen Eintrag Dies wird im Schema nicht erwähnt: Durch Hinzufügen von nur 1 (zufälligen) Zeichen an einer zufälligen Stelle in der gesamten Phrase wird die Stärke um etwa 10 Bit erhöht, siehe Diceware, optionales Material.

Die obige Mathematik berücksichtigt auch kein Trennsymbol zwischen den Wörtern. Das kann weitere 5 Bits hinzufügen.

Der Punkt (oder mindestens einer von ihnen) des XKCD-Comics ist, dass das Hinzufügen eines zufälligen Zeichens an einer zufälligen Stelle die Schwierigkeit, sich das Passwort zu merken, mehr erhöht als die Schwierigkeit, es zu knacken.
Richtig für das Auswendiglernen im Allgemeinen, nicht wahr für ein Hauptkennwort eines Tresors, denke ich. Ich sehe "einfach zu tippen" als Hauptvorteil. Ich stoße auf immer mehr Situationen, in denen Passwortmanager das Passwort nicht eingeben können (Apps, WifI-Gastnetzwerk) und ich sie eingeben muss.
@Mark - Die zusätzlichen zufälligen Zeichen (oder nur Nicht-Wörterbuchzeichen) können für alle Ihre Passwörter gleich sein, sodass Sie sie nicht vergessen. Sie erhalten die zusätzlichen Entropiebits mindestens so lange, bis mehrere andere Ihrer Passwörter kompromittiert sind. Zu diesem Zeitpunkt ist das Passwort noch xkcd-stark ...
@imsotiredicantsleep - Das ist ein sehr interessanter Vorschlag. Immer nach einer Lösung gesucht, um diese Verstärkungstechnik einfacher zu verwenden. Es könnte als Sicherheit durch Dunkelheit bezeichnet werden, da der Angreifer vom Wissen über den zufälligen Charakter und die Position profitieren kann. Ein kleiner Kompromiss, denke ich zwischen Benutzerfreundlichkeit und Sicherheit.
@Dick99999 absolut, es ist ein Kompromiss. Aber bis die konstante Komponente kompromittiert ist, wird sie einen naiven Wörterbuchangriff besiegen und einen komplexeren erheblich verlangsamen. Ich stimme jedoch nicht zu, dass es Sicherheit durch Dunkelheit ist, da ich Ihnen sagen kann, dass ich die * Technik * verwende, ohne die Entropie zu verlieren, die mir die * möglichen Werte * geben. Die Hauptschwäche ist, dass Sie, sobald der konstante Teil bekannt ist, * Passwort-Immobilien * geopfert haben *, die randomisiert worden sein könnten.
@imsotiredicantsleep, stimmt zu, dass ich mich in Bezug auf die Sicherheit durch Dunkelheit geirrt habe. Das Schema ist einem sehr ähnlich, das ich für Passwortmanager bewerbe: Verwenden Sie für wirklich sensible Passwörter wie Bankkonten ein (dasselbe) 3-6-stelliges Pre- oder Postfix für alle Konten. Es wird nur auswendig gelernt. Ich füge es manuell zu dem Teil hinzu, der beim Eröffnen des Kontos im Manager gespeichert wird.
Dick99999
2014-07-10 13:32:04 UTC
view on stackexchange narkive permalink

Ich möchte auch eine Ja Antwort hinzufügen, aber aus anderen Gründen. Aufgrund von Längenbeschränkungen ist dies [im Allgemeinen] kein guter Rat:

  • Websites wie Skype, ING, eBay und in meinem Land Binckbank und KPN beschränken Kennwörter auf 20 Zeichen. (Dieses Banklimit beträgt 15, es wurde jedoch eine 2-Faktor-Autorisierung verwendet.)
  • Mit einer durchschnittlichen Länge von 4,5 Zeichen / Wort für ein kurzes Wörterbuch mit 3000-8000 Wörtern können nur 3-4 Wortphrasen verwendet werden.
  • Bei Verwendung großer Wörterbücher kann der Durchschnitt nur 6-7: 3 Wörter betragen.
  • Wenn die Site darauf besteht, ein Symbol und eine Zahl im Kennwort zu verwenden, stehen nur 18 Zeichen zur Verfügung die Phrase.

Diese Längen schützen nur vor Online-Angriffen. Bei Offline-Angriffen hängt es von der Schlüsselableitung und der Hash-Funktion, der Anzahl der Iterationen und der von der App-Site verwendeten Cracking-Hardware ab, ob eine 3-4-Wort-Phrase einen ausreichenden Schutz bietet.

Websites, die die Länge von Kennwörtern begrenzen, sind häufig ein guter Indikator dafür, dass ihr Kennwortspeichersystem sehr unsicher ist. Renn weg. Alles in allem sind die Anforderungen an die Kennwortstärke eher schädlich als hilfreich, IMO (sowohl für die Sicherheit als auch für die Einprägsamkeit).
Fügen Sie Suntrust zur Liste der auf 15 Zeichen beschränkten Passwörter hinzu. Ich frage mich, was mit dieser Branche los ist.
Ich kann Ihnen sagen, was mit dieser Branche los ist: Während des Testens hat jemand vor einiger Zeit etwas vermasselt, das dazu geführt hat, dass lange Passwörter fehlgeschlagen sind. Wahrscheinlich haben sie die Datenbankspalte zu klein gemacht. Die Bank entschied, dass es billiger sei, nur das Feld zu begrenzen. Andere Banken sahen es und kopierten es, da sie wussten, dass Banken profitable Entscheidungen treffen. * Die meisten * Benutzer beschweren sich nie darüber, dass sie kein längeres Passwort haben können, daher lag es nie in ihrem (offensichtlichen) finanziellen Interesse, Änderungen vorzunehmen.
Auf der anderen Seite ist es wesentlich einfacher, "korrektes Pferdebatterystaple" auf einem Smartphone einzugeben, als ständig zwischen Kleinbuchstaben, Großbuchstaben, Zahlen und Satzzeichen zu wechseln.
Microsoft-Konten dürfen nicht mehr als 16 Zeichen enthalten (mindestens 8 Zeichen).
Niedrige Kennwortlimits bedeuten nicht nur unsichere Kennwortspeichermethoden, sondern auch, dass Kennwörter im Klartext gespeichert oder verschlüsselt (nicht gehasht) werden. @ Ángel Meine Kennwörter für alle Microsoft-bezogenen Konten sind länger, daher rufe ich BS an. Vor NTLM waren Windows-Passwörter vor 16 Jahren auf 16 Zeichen beschränkt. Das ist älter als XP und kaum relevant.
@Zenexer Zu den Microsoft-Konten: Microsoft-Online-Konten (live.com, Office 365 usw.) sind auf 16 Zeichen begrenzt (Buchstaben, Zahlen und einige Symbole sind zulässig).
"Es ist kein guter Rat [im Allgemeinen] **, ** Längenbeschränkungen zu haben" (dort behoben.)
Raestloz
2014-07-10 13:53:56 UTC
view on stackexchange narkive permalink

Nein, das glaube ich nicht.

Der eigentliche Rat in diesem xkcd-Comic lautet, Mnemonics zu verwenden, an die Sie sich leicht erinnern können und ein Passwort generieren solange du dich an sie erinnern kannst . Dies sind überall grundlegende Kennwortempfehlungen, die immer zutreffen (selbst die zitierte Schneier-Methode verwendet diese beiden grundlegenden Fakten). In der Tat verwendet der Comic gebräuchliche englische Wörter, aber Ihre Implementierung muss es nicht sein, und der Comic impliziert auch nicht, dass Sie dies tun sollten.

Natürlich sind die sichersten Kennwörter völlig zufällige Zeichenfolgen, wie eine MD5-Zeichenfolge aussieht, und Sie können wahrscheinlich einen Kennwortmanager verwenden, um alle diese Kennwörter zu speichern, aber welches Kennwort werden Sie dann verwenden? für diesen Manager verwenden? ¯ \ (ツ) / ¯

"Natürlich sind die sichersten Passwörter völlig zufällige Zeichenfolgen." NEIN, siehe zum Vergleich https://en.wikipedia.org/wiki/Password_strength#Random_passwords
Würde Diceware nicht auch eine Reihe von Wörtern erzeugen, die zu einem zusammengefasst sind? Welchen hat Schneider versucht zu knacken?
Wie: offline -> offline? In diesem Fall müsste der Angreifer ein viel größeres Wörterbuch verwenden. Die durchschnittliche Länge von Wörtern in einem Diceware-kompatiblen Wörterbuch ist zu kurz, um diese Art von "Duplikaten" im Wörterbuch zu haben, aber ich werde dies überprüfen. Ihr Punkt ist jedoch ein guter Grund, ein Trennzeichen zwischen den Wörtern wie ein Leerzeichen (?) Oder einen Bindestrich einzufügen.
Nein, das rät die xkcd nicht, ich schlage vor, Sie lesen sie noch einmal - und die Analyse in der entsprechenden Frage hier (oben verlinkt).
Ich beantwortete einen Kommentar und eine Frage zu Diceware, nicht zu einem xkcd-Rat. Wie sonst können Sie "eine Reihe von Wörtern in einem" interpretieren?
Ihre Signatur "¯ \ (ツ) / ¯" ist ein ausgezeichnetes Passwort: kurz, leicht zu merken, sehr schwer zu brechen, schwer als Passwort in einem Protokoll zu erkennen.
@Daniel Azuelos, ... trivial, um eine Liste von Zeichenfolgen hinzuzufügen, die allgemein verwendet werden ...
@imsotiredicantsleep alles ist trivial genug, um eine Liste der gebräuchlichen Verwendung hinzuzufügen. Selbst zufällige Zeichenfolgen wie supermanEyjafjalgladoslajökullbatman können zu einer Liste allgemeiner Verwendungszwecke hinzugefügt werden, wenn der Angreifer dies vorher weiß.
@Raestloz,, aber diese Zeichenfolge ** wird ** nicht häufig verwendet. Die Signatur ist - es ist ein Emoticon wie das Smiley. Google gibt 121.000 Ergebnisse für eine kopierte und eingefügte Version der Signatur zurück, wahrscheinlich noch viel mehr, wenn ich mir die Mühe machen könnte, sie richtig einzugeben. Und es gibt keine Ergebnisse für Ihre Zeichenfolge zurück. Common vs (anscheinend) einzigartig.
Ich glaube nicht, dass Zeichenfolgen bei der Verwendung von Passwörtern häufig genug sind (woran der Angreifer interessiert wäre). Aber ist ein Katakana überhaupt ein gültiges Passwort? Ich dachte, Passwörter akzeptieren ausschließlich nur ASCII?
@Raestloz Eine Person, die eine Sprache spricht, in der keine Zeichen aus dem ASCII-Bereich verwendet werden, verwendet kein ASCII-Kennwort. Denken Sie, dass all diese Menschen in asiatischen Ländern zwei Tastaturen verwenden, eine für das tägliche Tippen und eine für Passwörter? Im Gegensatz zu dreißig Jahre alten Betriebssystemen wie DOS verarbeiten alle modernen Betriebssysteme Unicode und andere Zeichensätze / Seiten einwandfrei, und jede Website sollte sie unterstützen (sofern der Entwickler das Formular nicht jedes Mal mit einem zufälligen Zeichensatz codiert oder lassen Sie den Browser wählen). Passwörter sind nur Teile, die für den Menschen etwas bedeuten.
@phyrfox Nein, in Asien werden häufig Passwörter im ASCII-Bereich verwendet. Außerdem heben japanische und chinesische Eingabemethoden die Eingabemaskierung auf und zeigen jedes Zeichen während der Eingabe an.
Adam Katz
2016-02-26 09:08:19 UTC
view on stackexchange narkive permalink

Es ist wichtig, den richtigen Kontext zu haben. Der xkcd-Comic vergleicht Tr0ub4dor&3 bei einer angenommenen 28-Bit-Entropie (obwohl ich sie als 34,6 berechne) mit korrektem Pferdebatterystaple und Es wird eine Entropie von 44 Bit angenommen (ein Diceware -Code mit vier Wörtern ist 51,7 Bit… aber eines dieser Wörter ist keine Diceware. Mit einem einfachen 100k-Wort-Rechtschreibwörterbuch berechne ich 66,4 Bit).

Lassen Sie uns dies zunächst verständlicher machen. Es gibt 94 druckbare Zeichen. Ein Kennwort mit einem Zeichen hat log₂ (94) = 6,55 Entropiebits. Zwei Zeichen haben log₂ (94²) = 13,10 Entropiebits. Sie können die endgültige Entropie eines Kennwortschemas durch 6,55 teilen, um die äquivalente Komplexität eines rein zufälligen Kennworts in Zeichen zu bestimmen.

Daher:

  • 28 Bit Entropie ≈ 4,3 Zeichen Passwort (sehr schlecht!)
  • 44 Bit Entropie ≈ 6,7 Zeichen Passwort (auch schlecht)
  • 66,4 Bit Entropie ≈ 10,1 Zeichen Passwort (okay für 2016)

Wenn Sie den Zahlen von xkcd vertrauen, können Sie sehen, warum Schneier besorgt war. Dies scheint etwas übertrieben zu sein, da die meisten Angreifer nach etwa zehn Zeichen immer noch aufgeben. [Zitieren erforderlich] sup> - Es sollte einige Jahre dauern, bis ein großer Cluster ein 10-Zeichen-MD5-Hash-Passwort gebrochen hat. Wenn ein guter Angreifer Ihr Schema kennt, spielt die absolute Zeichenlänge natürlich keine Rolle.

Die Gesamtkomplexität des Schemas ist am wichtigsten. Sie müssen den schlimmsten Fall annehmen ( dass der Angreifer Ihr genaues Schema kennt). Es ist eine gute Idee, zusätzlich sicherzustellen, dass Ihr Passwort mehr als 11 Zeichen enthält ( wenn erlaubt), aber das ist eine sekundäre Priorität (und es ist kostenlos mit Passphrasen).

Passphrasen mit vier Wörtern und einem Passcode erstellen

Hier ist mein Ratschlag zur passpharischen Erstellung (mit Entropieschätzungen):

  • Machen Sie einen unsinnigen "Satz" aus 4+ Wörter mit jeweils 4+ Zeichen (100.000⁴)
  • Keines dieser Wörter kann in irgendeiner Weise mit Ihnen oder untereinander verbunden werden.
  • Anwendungsfall, Leerzeichen und mindestens zwei Symbole oder Satzzeichen (32²)
  • Mindestens ein Wort sollte die Rechtschreibprüfung nicht bestehen (z. B. Leetspeak, Fremdwörter, jeweils 64).
  • Mindestens einen weiteren "Fehler" einschließen (Rechtschreibung / Grammatik / Syntax, Entropie unbekannt)
  • Fügen Sie zwischen zwei Wörtern einen herkömmlichen "zufälligen" 7+ Zeichen-Passcode (92⁷) hinzu.

Dies sollte mindestens log₂ (100000⁴ × 32 × 3) sein × 64 × 92⁵) = 112 Entropiebits (was sehr stark ist, ~ 17 Zeichen). Ich habe die Großschreibung übersprungen (ich nehme an, nur das erste Zeichen ist in Großbuchstaben) und ein Symbol (ich nehme an, es endet mit . , ! oder ? , Das zweite Symbol hat also eine Komplexität von 3) und ich nahm auch an, dass "zufällig" nicht ganz zufällig ist, und berechnete den Code als fünfstelliges Äquivalent (die strikte Einhaltung der obigen Formel würde 128+ Entropiebits bei ≈20 ergeben Zeichen).

Dieser letzte Punkt ist es wert, wiederholt zu werden:

Menschen sind sehr schlecht darin, Zufälligkeit zu erzeugen

Sehr, sehr wenige Menschen- generierte "zufällige" Zeichenpasscodes sogar nähern wahre Zufälligkeit. Der Code enthält Muster, die sich auf die Tastatur der Person, die bevorzugten Zahlen und / oder die Annahme beziehen, dass ein bestimmtes obskures Wort nicht zu erraten ist.

Ich habe dieses Schema so konzipiert, dass es gegen den inhärenten Mangel an Zufälligkeit der Personen robust ist. Angenommen, ein begrenzter Wortschatz (sagen wir die 2600 Wörter in Basic English), die Verwendung verwandter Wörter (bestraft durch Zählen von nur drei Wörtern) und ein Passcode, der nur auf die Entropie von sechs alphanumerischen Zeichen log₂ beschränkt ist (2600³ × 62⁶) selbst ist mit 70 Bit (~ 10,6 Zeichen) immer noch stark.

Lassen Sie dies Ihre Passphrase nicht verwässern! Dieser Abschnitt ist vorhanden um zu demonstrieren, dass dieses Schema einen gewissen Widerstand gegen die begrenzte Entropie menschlicher Entscheidungen hat, und nicht um schlechte Entscheidungen zu fördern.

Das einzige wirkliche Problem kommt von Leuten, die Zitate oder Texte als ihre vier Wörter nehmen. Diese Passphrasen werden trivial besiegt, wenn das Zitat oder der Text erraten werden kann (z. B. anhand Ihrer Facebook-Likes) oder auf andere Weise eine Entropie von etwa 6 zufälligen Zeichen bei einer Crack-Zeit von 30 Sekunden (MD5) bis 17 Tagen (PBKDF2) aufweist.

Sie können meine Entropietabelle verwenden, um die Entropie Ihres Passphrasenschemas zu berechnen.

(Don ' Sorgen Sie sich nicht um die Tatsache, dass Passwörter kurz im Speicher bleiben, es sei denn, Sie sind Entwickler) sub>

Es sollte auch beachtet werden, dass Nicht- [ASCII] (https://en.wikipedia.org/wiki/ASCII) Zeichen wie Silberkugeln sind und die meisten Angriffe automatisch abwehren. Ein Passwort von `••••••••••` (neun Aufzählungszeichen) ist aufgrund der Länge und Dunkelheit peinlich sicher (und sieht genauso maskiert aus wie nicht maskiert!), Obwohl es eine schreckliche Idee wäre, sich tatsächlich darauf zu verlassen nur diese Tatsache. Fügen Sie ein Nicht-ASCII-Zeichen in Ihren Passcode + 4Wort ein, und Ihre Komplexität steigt sprunghaft an (zum Berechnen verwenden Sie den Unicode-Wert), allerdings möglicherweise ** auf Kosten der Portabilität ** (was ist, wenn Sie das Smartphone eines Freundes verwenden?)


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...