Der Heilige Krieg

Ich denke, Sie werden feststellen, dass die richtige Art, Passwörter zu generieren, einen heiligen Krieg auslösen kann, in dem jede Gruppe glaubt, dass die andere führt ein sehr einfacher mathematischer Fehler oder das Fehlen des Punktes. Wenn Sie 10 Computer-Sicherheitsexperten in einem Raum haben und sie fragen, wie sie mit guten Passwörtern umgehen sollen, erhalten Sie 11 verschiedene Antworten.

Das Missverständnis

Einer der vielen Gründe, die es gibt Es gibt keine einheitlichen Ratschläge zu Passwörtern, sondern nur ein Problem der Bedrohungsmodellierung . Was genau versuchen Sie zu verteidigen?

Zum Beispiel: Versuchen Sie, sich vor einem Angreifer zu schützen, der speziell auf Sie abzielt und Ihr System zur Generierung von Passwörtern kennt? Oder sind Sie nur einer von Millionen Benutzern in einer durchgesickerten Datenbank? Verteidigen Sie sich gegen GPU-basiertes Knacken von Passwörtern oder nur gegen einen schwachen Webserver? Befinden Sie sich auf einem mit Malware infizierten Host [1]?

Ich denke, Sie sollten davon ausgehen, dass der Angreifer Ihre genaue Methode zum Generieren von Kennwörtern kennt und nur auf Sie abzielt. [2] Der xkcd-Comic geht in beiden Beispielen davon aus, dass alle Details der Generation bekannt sind.

Die Mathematik

Die Mathematik im xkcd-Comic ist korrekt und wird sich nicht ändern

Für Passwörter, die ich eingeben und mich merken muss, verwende ich ein Python-Skript , das Passwörter im xkcd-Stil generiert, die wirklich zufällig sind Wörterbuch mit 2 ^ 11 (2048) gebräuchlichen, leicht zu buchstabierenden englischen Wörtern. Ich könnte einem Angreifer den vollständigen Quellcode und eine Kopie meiner Wortliste geben, es werden immer noch 2 ^ 44 mögliche Passwörter vorhanden sein.

Wie der Comic sagt:

1000 Vermutungen / Sek. Plausibler Angriff auf einen schwachen Remote-Webdienst. Ja, das Knacken eines gestohlenen Hashs ist schneller , aber es ist nicht das, worüber sich der durchschnittliche Benutzer Sorgen machen sollte.

Dies schafft eine gute Balance zwischen leicht zu merken und schwer zu knacken.

Was wäre, wenn wir mehr Leistung versuchen würden ?

Sicher, 2 ^ 44 ist in Ordnung, aber das Knacken von GPUs ist schnell und es wird nur schneller. Hashcat könnte einen schwachen Hash [3] dieser Größe in einigen Tagen und nicht in Jahren knacken. Außerdem muss ich mir Hunderte von Passwörtern merken. Selbst im xkcd-Stil wird es nach ein paar schwierig.

Hier kommen Passwort-Manager ins Spiel. Ich mag KeePass , aber es gibt viele andere, die im Grunde gleich sind. Dann können Sie einfach generieren Eine längere xkcd-Passphrase, die Sie sich merken können (z. B. 10 Wörter). Anschließend erstellen Sie für jedes Konto ein eindeutiges 128-Bit-Kennwort (Hex oder Base 64 sind gut). 128-Bit-Kennwort ist stark genug für a lange Zeit. Wenn Sie paranoid werden möchten, ist es keine zusätzliche Arbeit, 256-Bit-Hex-Passwörter zu generieren.

[1] Hier befindet sich das Memor Wenn Sie sich auf einem kompromittierten Host befinden, haben Sie verloren. Es spielt keine Rolle, ob Sie es eingeben oder ein Programm wie KeePass zum Kopieren und Einfügen verwenden, wenn ein Angreifer Speicher protokollieren / lesen kann.

[2] Anstelle des schwächeren (aber wahrscheinlicher) Annahme, dass der Angreifer gerade ein Wörterbuch mit dem Namen “ Top Passw0rdz 4realz 111! „.

[3]. Sicher, wir sollten alle PBKDF2 usw. verwenden, aber viele Websites befinden sich noch auf SHA1 (und sie sind die guten).

Kommentare

• @ Dick99999 Moderne GPUs können 6 GB Speicher auf einer einzelnen Karte haben (obwohl es 2 Steckplätze benötigen würde) und können problemlos ein Wörterbuch mit einigen tausend Wörtern speichern.
• @NateKerkhofs Das ist beängstigend und erstaunlich Gleichzeitig hatte mein erster (programmierbarer) Computer 1 MHz und 64 KB RAM und Sie sprechen von 6 GB Videospeicher …
• “ 128-Bit-Passwort wirklich zufällig … “ Wirklich zufällig? Ist ‚ nicht immer noch pseudozufällig?
• Dies sollte die sein akzeptierte Antwort, wenn auch aus keinem anderen Grund als dem Teil des Heiligen Krieges.
• @Doorknob Sobald Sie sinnvolle Kombinationen ausgewählt haben, verschwindet der größte Teil der Entropie. Ich werde ‚ nicht versuchen zu schätzen, wie viele Sätze Sie auswählen könnten, aber dies ist wahrscheinlich näher an einem von einer Milliarde als an einem von 2 ^ 44.

Schneier schreibt Folgendes:

Deshalb Das oft zitierte XKCD-Schema zum Generieren von Passwörtern – einzelne Wörter wie „korrektes Pferdebatterystaple“ aneinanderreihen – ist kein guter Rat mehr. Die Passwort-Cracker sind mit diesem Trick beschäftigt.

, aber der Schlüssel zum Verständnis dessen, wonach er wirklich sucht, liegt etwas weiter in seinem Aufsatz:

Es gibt noch ein Schema, das funktioniert. Bereits 2008 habe ich das „Schneier-Schema“ beschrieben „

so dass es soweit ist. Ole „Bruce möchte behaupten, dass sein Schema das Einzige, das Beste, der Gewinner, das ultimative Schema ist. Daher muss er abfällige Dinge über die“ Konkurrenten „sagen, unabhängig davon, ob dies der Fall ist Behauptungen sind wissenschaftlich fundiert oder nicht.

In diesem Fall wurde immer angenommen , dass die Methode zur Kennworterzeugung dem Angreifer bekannt ist. Das ist der springende Punkt bei Entropieberechnungen ;; Siehe die Analyse . Dass Angreifer „auf diesen Trick“ sind, ändert überhaupt nichts (wenn ein Angreifer die Methode zur Kennworterzeugung kennt, beschreibt die Entropieberechnung genau die Kennwortstärke; wenn der Angreifer es ist inkompetent und kennt die Methode zur Passwortgenerierung nicht, die Passwortstärke ist nur um einen Betrag höher, der nahezu unmöglich zu quantifizieren ist.

Der Witz über „Passwörter im Speicher“ ist nur inkohärenter. Passwörter werden notwendigerweise irgendwann in den Arbeitsspeicher verschoben, unabhängig davon, ob Sie sie eingeben oder aus einem Passwort-Safe oder ähnlichem kopieren und einfügen.

Ich vermute, Bruce war betrunken.

Update : Schneier wurde ausdrücklich gebeten, sich zu seiner Verurteilung von Passphrasen in einer Reddit AMA zu äußern, die am 2. August 2016 stattfand. Er setzte sich weiterhin für sein Passworterstellungssystem als überlegene Alternative zu zufälligen Wortpassphrasen. Schneier sagte, sein Schema „gibt Ihnen mehr Entropie pro einprägsamem Zeichen als andere Methoden“, was im Vergleich zu Zeichen, aus denen Wörter bestehen, zutrifft. Dies ist jedoch auch irrelevant, wenn ein System sich darauf verlässt, Wörter anstelle von Zeichen zu speichern, und Sie „genug Wörter kombinieren dürfen, um eine angemessene“ Entropie „für Ihre Passphrase als Ganzes zu erzeugen.

Kommentare

• Ja, ich dachte, seine Kommentare wären eine merkwürdige Abweichung von seinem typischen guten Rat.Sein empfohlenes Schema ist wahrscheinlich nicht ‚ nicht schlecht, aber ‚ wurde nicht viel tatsächlich getestet. Der Passphrase-Ansatz ist im Vergleich ziemlich einfach zu testen, und Sie ‚ würden denken, dass dies den Kryptographen in ihm ansprechen würde. Vielleicht hat er nur die Nachrichten über das Knacken von Passphrasen in natürlicher Sprache überflogen und ‚ keinen Unterschied zwischen diesen und Passphrasen mit zufälligen Wörtern gesehen.
• Ihr Argument, dass er es braucht Die Verunglimpfung der Konkurrenz schlägt fehl, da er unmittelbar nach der Beschreibung seines Schemas “ sagt. Noch besser ist es, zufällige, nicht denkbare alphanumerische Passwörter zu verwenden (mit Symbolen, wenn die Site dies zulässt). und ein Passwort-Manager wie Password Safe, um sie zu erstellen und zu speichern „.
• @wfaulk Password Safe ist Bruce Schneier ‚ s Schöpfung, so dass sein Argument über die Konkurrenz immer noch besteht. Deine Fail-Anweisung schlägt fehl 😉
• @AviD: Das wusste ich überhaupt nicht. 😳
• Was Sie ‚ vermissen und anscheinend auch Schneier, ist, dass es keinen “ Trick “ bis “ fängt an „. Die Sicherheit von Diceware setzt bereits voraus, dass der Angreifer über das Schema Bescheid weiß. Tatsächlich wird davon ausgegangen, dass das Wörterbuch selbst bekannt ist. ‚ spielt keine Rolle, ob der Angreifer über Ihr genaues Wörterbuch und die Anzahl der Wörter verfügt: Es gibt einfach zu viele Kombinationen, um einen erfolgreichen Angriff durchzuführen, bevor die Sonne explodiert.

[Offenlegung: Ich arbeite für AgileBits, die Hersteller von 1Password]

Einer der Gründe, warum ich mich 2011 in für bessere Master-Passwörter für ein XKCD-ähnliches Schema ausgesprochen habe (bevor es so genannt wurde), liegt genau in seiner Stärke Verlassen Sie sich nicht darauf, dass der Angreifer weiß, welches Schema Sie verwendet haben. Wenn ich mich selbst zitieren darf

Das Tolle an Diceware ist, dass wir genau wissen, wie sicher es ist, selbst wenn der Angreifer das verwendete System kennt. Die Sicherheit ergibt sich aus der echten Zufälligkeit des Würfelns. Die Verwendung von vier oder fünf Wörtern sollte gegen die plausiblen Angriffe in den nächsten Jahren ausreichen angesichts der beobachteten Geschwindigkeit von Passwort-Crackern [gegen 1Password Master Password]

Was der XKCD-Comic nicht effektiv kommuniziert, ist, dass die Auswahl der Wörter (einheitlich) zufällig sein muss . Wenn Sie Menschen bitten, Wörter nach dem Zufallsprinzip auszuwählen, erhalten Sie eine starke Neigung zu konkreten Substantiven. Solche Vorurteile können und werden ausgenutzt werden.

Wie viel Kraft Sie wollen

In einer perfekten Welt möchten wir, dass die Stärke unseres Passworts so stark ist wie die Schlüssel, mit denen wir schützen es. Sagen wir 128 Bit. Aber trotz dieser Techniken werden die Menschen das nicht erreichen. Schauen wir uns also realistisch die Angriffe an und was wir von unseren mickrigen kleinen Köpfen tun lassen können.

Mit der ursprünglichen Diceware-Wortliste von 7776 Einträgen, Sie erhalten ungefähr 12,9 Bit pro Wort, das Sie verwenden. Wenn Sie also mindestens 64 Bit für Ihr Passwort benötigen, reichen fünf Wörter aus.

Das Erraten von Passwörtern ist langsamer als das Erraten von Schlüsseln

In diesem Abschnitt komme ich zu einem sehr groben Hintergrund der Umschlagschätzung, dass es für einen konstanten Betrag von Dollar 2 ^ 13-mal langsamer ist, ein Passwort zu testen, als einen AES-Schlüssel zu testen.

Beachten Sie, dass das Testen eines Passworts viel langsamer ist als das Testen von a Schlüssel. Wenn die richtigen Arten von Passwort-Hashing-Schemata verwendet werden, ist es möglich, die meisten Angreifer auf unter 100000 Vermutungen pro Sekunde zu beschränken. Während wir vielleicht niemals 50-Bit-Schlüssel verwenden möchten, ist die Verwendung von 50-Bit-Passwörtern möglicherweise dennoch sinnvoll.

Wenn wir uns nicht darauf beschränken, wie in Arnold Reinholds ursprüngliches Diceware-Schema von 1995, dann können wir eine längere Liste von Wörtern verwenden. Der Generator für starke Passwörter in 1Password für Windows verwendet eine Liste von 17679 englischen Wörtern mit 4 bis einschließlich 8 Buchstaben (ohne Tabuwörter und Wörter mit Apostroph oder Bindestrichen). Dies ergibt ungefähr 14 Bits pro Wort. Vier davon ergeben 56 Bits, fünf 70.

Auch hier müssen Sie auf die Crack-Geschwindigkeit achten. Deep Crack konnte 1997 92 Milliarden DES-Tests pro Sekunde durchführen. Unter der Annahme, dass ein spezialisierter High-End-PC eine Million Vermutungen pro Sekunde gegen ein einigermaßen gut gehashtes Passwort durchführen kann, könnte dies eine Million Vermutungen pro Sekunde ermöglichen, dann sind Passwörter heute etwa 16 Bit schwerer zu knacken als DES-Schlüssel im Jahr 1997.

Schauen wir uns also diese Stack Exchange-Schätzung für einen 3,8-GHz-Dual-Core-Prozessor an: 670 Millionen Schlüssel pro Sekunde.Wenn wir von Hardware im Wert von 5000 US-Dollar ausgehen, können wir leicht 10 Milliarden Schlüssel pro Sekunde überschreiten. Bei ähnlichen Hardwarekosten ist das Knacken von Schlüsseln immer noch mehr als 2 ^ 13-mal schneller als das Knacken von Passwörtern.

Überarbeitete Ziele für die Passwortstärke

Ich arbeite an meiner Schätzung, dass es 2 ^ 13 ist Das Testen eines gut gehashten Passworts ist um ein Vielfaches teurer als das Testen eines AES-Schlüssels. Wir sollten ein einigermaßen gut gehashtes Passwort als 13 Bit stärker als seine tatsächliche Entropie in Bezug auf das Knacken betrachten. Wenn wir 90 Bit „effektive Stärke“ erreichen wollen, sollten 77 Bit Passwortstärke dies tun. Dies wird mit einem Diceware-Passwort mit sechs Wörtern (77,5 Bit) aus der ursprünglichen Liste und 84,6 Bit mit sechs Wörtern aus einer Liste von 17679 Wörtern erreicht.

Ich erwarte nicht, dass die meisten Leute Passwörter verwenden, die Ich gehe davon aus, dass die Leute Dinge verwenden, die 4 oder 5 Wörter lang sind. Wenn Sie sich jedoch ernsthafte Sorgen darüber machen, dass die NSA Ihren Passwörtern nachgeht, sollten sechs Wörter ausreichen, vorausgesetzt, Sie verwenden ein anständiges Passwort-Hashing-Schema.

Nur sehr grobe Schätzungen

Ich habe nicht viel Zeit damit verbracht, Kosten und Benchmarks zu recherchieren. In meinen Schätzungen gibt es viele Dinge, mit denen ich mich streiten muss. Ich habe versucht, konservativ zu sein (pessimistisch in Bezug auf das Schema, das ich befürworte). Ich war auch vage in Bezug auf „gut gehashte Passwörter“. Auch hier bin ich sehr konservativ in Bezug auf das Passwort-Hashing in 1Password. (Für unser neues Datenformat wurden Angreifer auf unter 20.000 Vermutungen pro Sekunde gehalten, und für unser älteres Datenformat haben sie 300.000 Vermutungen pro Sekunde für Multi erreicht -GPU-Maschinen. Nach meinen Schätzungen hier habe ich 1 Million Vermutungen pro Sekunde für ein „ziemlich gut gehashtes Passwort“ ausgewählt.)

Noch ein paar historische Anmerkungen

Die Gesamtsumme Die Idee für „XKCD-ähnliche“ Passwörter reicht mindestens bis zu den S / Key-Einmalpasswörtern aus den frühen 1980er Jahren zurück. Diese verwendeten eine Liste von 2048 Passwörtern Ich weiß nicht, ob diese Idee, zufällig ausgewählte Wörter aus einer Liste für eine Passphrase zu verwenden, älter ist als S / Key.

1995 Arnold Reinhold schlug Diceware vor. Ich weiß nicht, ob ihm S / Key zu diesem Zeitpunkt bekannt war. Diceware wurde im Zusammenhang mit der Entwicklung von Passphrasen für PGP vorgeschlagen. Es war auch, bevor die meisten Computer kryptografisch geeignete Zufallszahlengeneratoren hatten. Es handelt sich also tatsächlich um Würfeln. (Obwohl ich den CSPRNGs auf den von mir verwendeten Computern vertraue, genieße ich es immer noch, „ein neues Passwort aufzurollen“.)

Im Juni 2011 habe ich das Interesse an Diceware in Auf dem Weg zu besseren Master-Passwörtern mit einigen zusätzlichen Änderungen. Dies führte zu meinem 15-minütigen Ruhm. Nachdem der XKCD-Comic herauskam, produzierte ich eine Geek-Edition , der einen Teil der Mathematik durchlief.

Im Juli 2011 hatte Randall Monroe Diceware-ähnliche Schemata aufgegriffen und sein jetzt berühmtes veröffentlicht Comic . Da ich nicht der Erfinder der Idee bin, macht es mir nichts aus, vom Comic inszeniert zu werden. In der Tat, wie ich in meinem Folgeartikel

Was mich fast gekostet hat Randall Monroe konnte 2000 Wörter in einem Comic zusammenfassen. Dies zeigt nur die Kraft der Mathematik …

Aber es gibt eine Sache an der Interpretation des Comics, die mich beunruhigt. Mir und Leuten, die das Schema bereits verstanden haben, ist klar, dass die Wörter durch einen zuverlässig einheitlichen Zufallsprozess ausgewählt werden müssen. Das Auswählen von Wörtern „zufällig“ aus Ihrem Kopf ist nicht ein zuverlässig einheitlicher Prozess .

Kommentare

• Schön, dass Sie Diceware in einer historischen Perspektive erwähnen und gleichzeitig die großartige Marketingarbeit anerkennen, die XKCD für Passphrasen geleistet hat. Wird irgendwo über Ihr modifiziertes Schema erklärt, warum Wörter mit 3 oder 2 Buchstaben nicht in diesen Wortlisten enthalten sind? Siehe blog.agilebits.com/2013/04/16/… . Liegt es daran, dass die Wörter wie ‚ aus ‚ und ‚ Zeile ‚ könnte auch von 1 Wort offline angegriffen werden? Siehe meine Kommentare zum Beitrag von Raestloz. Die ursprüngliche Diceware-Liste enthält viele Wörter mit 1, 2 und 3 Buchstaben.
• Ausgezeichnete Frage! Mein (möglicherweise falscher) Gedanke war damals, dass ich auch Passphrasen mit einer Mindestlänge haben wollte. Ich wollte sicherstellen, dass jemand, der eine Passphrase mit drei Wörtern verwendet, mindestens 12 Zeichen lang ist. Ich stelle fest, dass S / Key auch Wörter mit 1, 2 und 3 Buchstaben zulässt.
• Ich habe schnell die Wortlisten überprüft, die mein SimThrow-Passphrasengenerator und -Tester verwendet.Die ursprüngliche Diceware-Liste enthält mindestens 1400 dieser Kollisionen wie ‚ beliebige ‚ ‚ how ‚ und ‚ jedenfalls ‚. Dies kann einen 4-Wort-Satz auf 3 Wörter verschlechtern, wenn kein Trennzeichen verwendet wird. ‚ ist eine hohe Kollisionszahl, da diese Liste alle Buchstaben und 2-Buchstaben-Kombinationen enthält. Es scheint also, dass Sie die richtige Wahl getroffen haben, keine 2-Buchstaben-Wörter einzuschließen. Diceware empfiehlt eine Mindestsatzlänge von 17. Mein Generator schätzt sowohl die wort- als auch die zeichenbasierte Wiederherstellungszeit, um mit Websites fertig zu werden, die nur kurze Kennwörter (20) zulassen.
• Ich habe auch die folgenden Wortlisten überprüft. S / Key : > 93 Kollisionen, erweiterte Dicelists US : > 190 und meine niederländische Liste: > 750. Eine Möglichkeit, dies zu handhaben, besteht darin, die Angabe eines Trennzeichens zu empfehlen zwischen den Wörtern einer Phrase.
• Vorsicht, das Würfeln ist nicht zufällig. forbes.com/sites/davidewalt/2012/09/06/… und insidescience.org/blog/2012/09/12/…

Das XKCD-Passwortschema ist so gut wie nie zuvor. Die Sicherheit beruht nicht darauf, dass sie unbekannt ist, sondern darauf, dass sie aus einem großen Suchraum einprägsame Passwörter generiert. Wenn Sie die zu verwendenden Wörter auswählen, anstatt sie zufällig zu generieren, geht dieser Vorteil jedoch verloren – Menschen Es ist nicht gut, zufällig zu sein.

Das Bit über den Speicher ist schlecht angegeben, aber ist ein Problem: Wenn Malware, die Kennwörter stiehlt, jemals auf Ihren Computer gelangt, wird dies der Fall sein Fegen Sie alles Textähnliche aus dem RAM und der Festplatte, um es für einen gezielten Angriff auf Ihre Konten zu verwenden.

Kommentare

• +1 I don ‚ Ich glaube nicht, dass die XKCD-Technik tot ist – ‚ ist kein ‚ ein Trick ‚ dass Cracker ‚ auf ‚ sind. Sie können die Technik genau kennen, aber das tut es nicht ‚ macht es nicht mehr knackbar, wenn es ‚ zufällig genug ist.
• @PiTheNumber, wenn Sie ‚ Verwenden Sie nicht genügend Wörter oder ein winziges Wörterbuch, dann wenden Sie

Wie andere auch Der Angriff, den Bruce Schneier beschreibt, ist effektiv, wenn der Benutzer mehrere Wörter selbst auswählt und kein Werkzeug verwendet. Schneier schreibt normalerweise an ein allgemeines Publikum, das den Unterschied zwischen selbst gewählten „zufälligen“ Wörtern und vom Programm ausgewählten zufälligen Wörtern wahrscheinlich nicht erfassen wird.

Ich werde das hinzufügen, selbst wenn Sie ein Skript verwenden oder Bei einem anderen Tool zum zufälligen Auswählen von Wörtern aus einem Wörterbuch, , müssen Sie die erste Sequenz verwenden, die Sie erhalten. . Wenn Sie sich entscheiden, “ Ich mag das nicht und führe es erneut aus, bis es dir gefällt. Es ist keine zufällige Passphrase mehr , es ist von Menschen gewählt.

Auch wenn Sie ein Skript verwenden und die Zufälligkeit nicht durch Auswahl Ihres Favoriten aus mehreren Sequenzen beschädigen, besteht weiterhin die Möglichkeit, dass ein Angreifer Ihr PRNG (Pseudozufall) ausnutzt Zahlengenerator) Wenn der Angreifer erfahren kann, wann Sie das Kennwort erstellt haben und welches PRNG Sie verwendet haben, und möglicherweise andere Informationen zu Ihrem PRNG, wie z. B. Netzwerkverkehr, der ungefähr zur gleichen Zeit mit Ihrem PRNG erzeugt wurde, kann dies die effektive Entropie von verringern Ihre zufällige Passphrase.

Vielleicht ein bisschen esoterisch, aber wenn Ihr PRNG ausnutzbar ist, wird die 2 ^ 44-Zahl nicht vollständig realisiert. (Und wenn Sie davon ausgehen, dass „niemand versuchen wird, mein PRNG auszunutzen“, Warum ist es Ihnen wichtig, eine wirklich sichere Passphrase zu verwenden?)

Kommentare

• +1 Interessanter Winkel. Die Nutzung des PRNG ist im Zusammenhang mit der Verschlüsselung offensichtlich Schlüssel – es ist ‚ interessant, dass es hier praktisch ein nachträglicher Gedanke zu sein scheint. Ich denke, typische Passwörter sind so schlecht dass sich PRNGs im Vergleich sicher fühlen. Wenn ein Angreifer eine Liste von Hash-Passwörtern stehlen kann, ist es vermutlich trivial, die pwdChangedTime oder eine gleichwertige Version zu finden. Ein weiterer Grund, die Praxis der Passwortalterung zu beenden?
• Schnelle Rückgabe des Umschlags. Wenn Sie das Kennwort innerhalb einer Minute nach seiner Erstellung aktualisieren und die einzige Entropiequelle in Ihrem PRNG die Systemzeit ist, können Sie die Auflösung für Nanosekunden auf 2 ^ 35 reduzieren. Klingt vernünftig?
• Angenommen, ich lehne eine Phrase ab, weil ich ‚ kein Wort mag und dies 1000 Mal tue. Dann habe ich das Wörterbuch um 1000 Wörter reduziert. Ist die Auswahl aus diesem reduzierten Wörterbuch immer noch zufällig? Wenn dies immer noch der Fall ist, ergibt ein 4-Wort-Satz aus einem so reduzierten 7776-Wort-Diceware-Wörterbuch immer noch (7776-1000) ^ 4 = 2.1E15 / 50.9 Möglichkeiten / Entropiebits, verglichen mit 3.7E15 / 51.7 Möglichkeiten / Entropiebits für das Ganze Wörterbuch. Ich kann den Einfluss des Zufallsgenerators nicht beurteilen. Ich benutze die von www.random.org
• @ Dick99999 Ich ‚ glaube nicht, dass es ‚ wirklich ist Informationen zur Anzahl der angebotenen Optionen, die Sie bei der Auswahl eines Passworts ausschließen. Es geht ‚ um das Muster , welche Phrasen Sie ausschließen würden, wenn sie Ihnen präsentiert würden. Ein Angreifer könnte vermuten, dass der Benutzer kürzere Wörter, Wörter, die leichter auf einer QWERTZ-Tastatur eingegeben werden können, und Wörter ohne Großbuchstaben oder Interpunktion bevorzugt. Diese Strategie könnte den Raum für zu erforschende Passphrasen erheblich verkleinern. Grundsätzlich ist es ‚ dasselbe Problem wie das Erraten von Lieblingssportteams, Geburtstagen und Kindern ‚ Namen.
• @wberry Ich glaube nicht, dass die Mathematik darauf klappt. ‚ Angenommen, Sie lehnen 1000 Passphrasen ab, bevor Sie eine finden, die Ihnen gefällt. Dann ist es ‚ eine vernünftige Schätzung, dass Sie nur 1/1000 des möglichen Passwortbereichs mögen. Nehmen wir nun an, ein Angreifer kann vollständig erraten, welches 1/1000 des Feldes Ihr Favorit ist – dies reduziert die Anzahl der Möglichkeiten von 2 ^ 44 auf 2 ^ 34, was bedeutsam ist, aber nicht so sehr, dass ein zusätzliches Wort ‚ t den Verlust ausgleichen. Wenn Sie Ihre Ablehnungen einschränken, ist dies nicht erforderlich.

Es kommt darauf an. Eine Sache, die Sie verstehen müssen, ist, dass dies keine Sicherheit durch Dunkelheit ist: Die im Comic verwendeten Entropiewerte setzen voraus, dass der Angreifer bereits weiß, dass Sie diese Methode verwenden . Wenn der Angreifer nicht weiß, wie Sie die Passphrase generieren, dann die Entropie steigt massiv an.

Der Trick bei der XKCD-Methode besteht darin, dass Sie tatsächlich einen Zufallszahlengenerator und eine gute Wortliste verwenden müssen: Wählen Sie niemals die Wörter aus selbst, nicht einmal „zufällig“ (in Anführungszeichen, weil Menschen wirklich schlecht darin sind, Dinge zufällig auszuwählen, weshalb Sie es nicht tun sollten). Diceware verfügt über Tools, die Ihnen dabei helfen, und nimmt das zufällige Element sogar mit normalen Würfeln aus der Reichweite des Computers.

Gegen einen breit angelegten Angriff – die Art von Dingen, bei denen ein Angreifer eine Liste von Passwörtern von einer Website erhalten hat und nichts darüber weiß, wessen Passwörter in der Liste enthalten sind – ist dies so stark wie nie zuvor. Wie Sie sagen, liegt seine Stärke in der Kraft der Exponenten (und einer guten Wortliste).

Schneiers Angriff kann funktionieren, aber nur in einem völlig anderen Kontext. Bei seinem Angriff wird davon ausgegangen, dass Sie von einem Angreifer gezielt angegriffen werden, der bereits viel über Sie weiß .Dies mag zunächst nicht besonders besorgniserregend erscheinen, da der stereotyp entschlossene Angreifer ein Geheimdienstagent hinter einem Bildschirm ist und die meisten von uns sich nicht so viele Sorgen machen müssen: Es gibt nur so viele von ihnen, und jeder kann nur leisten Sie es sich, sich um so viele Menschen zu kümmern. Aber es ist tatsächlich ein größeres Problem, als es zunächst scheinen mag, dank des Aufkommens hochentwickelter Malware. Eine Malware-Installation kann es sich leisten, sich um Sie zu kümmern, obwohl der Angreifer dies nicht tut, und Sie sehen sich dennoch einem äußerst entschlossenen Angreifer gegenüber. Noch entschlossener als ein Mensch könnte in der Tat sein, wenn auch weit weniger kreativ.

Malware, die Informationen über Sie zusammenstellt, gibt Wörtern, die Ihnen wichtig erscheinen, in der Wortliste eine sehr hohe Priorität. Dies geschieht, weil die meisten Leute die „zufälligen“ Wörter selbst auswählen, aber dabei tendieren sie tatsächlich ziemlich stark zu den Wörtern, die für sie am wichtigsten sind: Es kann sich immer noch zufällig „anfühlen“, aber einige Wörter sind viel wahrscheinlicher komm als andere. Aus diesem Grund führt die hohe Priorität dieser Wörter häufig zu relativ schnellen Treffern, und dies ist der „Trick“, von dem Schneier spricht.

Sie können Schneiers Angriff immer noch vereiteln, indem Sie echte Zufälligkeit verwenden . Der Haken ist, dass dies Disziplin erfordert: alle Entscheidungen darüber, welche Wörter in Ihrer Passphrase verwendet werden sollen (abgesehen von der Auswahl eines guten Wortes) Liste) muss vollständig aus Ihren Händen genommen werden. Hier können Ihnen Dinge wie Diceware helfen.

Kommentare

• @Gilles: Der Grund dafür Die Entropie sinkt, wenn der Angreifer weiß, dass die Methode die gesamte Struktur des Kennworts ändert. Wenn Sie die Methode ‚ nicht kennen, “ richtige Heftklammer für Pferdebatterien “ sieht aus wie 216 Symbole aus einem 2-Symbol-Alphabet: mit anderen Worten, 216 Bit. Wenn Sie wissen, dass es s vier englische Wörter (und kennen XKCD

Die Stärke Mathematik ist ganz einfach, wenn die Wortwahl zufällig erfolgt: (Anzahl der Wörter im Wörterbuch) ^ (Anzahl der Wörter im Satz), vorausgesetzt, der Angreifer kennt die Anzahl der Wörter im Wörterbuch. Eine 5-Wort-Phrase mit einem bekannten ( vom Angreifer !) 7776-Wort-Diceware-Wörterbuch: hat 7776 ^ 5 = 2.8E19 oder 64 Bit Entropie.

Es gibt einen Punkt, der im Schema nicht erwähnt wird: Durch Hinzufügen von nur 1 (zufälligen) Zeichen an einer zufälligen Stelle in der gesamten Phrase wird die Stärke um etwa 10 Bit erhöht , siehe Diceware, optionales Material .

Die obige Mathematik berücksichtigt auch kein Trennsymbol zwischen den Wörtern. Das kann weitere 5 Bits hinzufügen.

Kommentare

• Der Punkt (oder mindestens einer von ihnen) des XKCD-Comics ist, dass das Hinzufügen eines zufälligen Zeichens an einer zufälligen Stelle die Schwierigkeit erhöht Das Speichern des Passworts erhöht die Schwierigkeit, es zu knacken.
• Richtig für das Speichern im Allgemeinen, nicht für ein Master-Passwort eines Tresors, denke ich. Ich sehe ‚ einfach ‚ als Hauptvorteil einzugeben. Ich stoße auf immer mehr Situationen, in denen Passwortmanager das Passwort nicht eingeben können (Apps, WifI-Gastnetzwerk) und ich sie eingeben muss.
• @Mark – die zusätzlichen zufälligen (oder nur nicht wörterbuchbezogenen) Zeichen könnten Seien Sie über alle Ihre Passwörter hinweg gleich, was bedeutet, dass Sie ‚ es nicht vergessen werden. Sie ‚ verdienen die zusätzlichen Entropiebits mindestens so lange, bis mehrere andere Ihrer Passwörter kompromittiert sind. Zu diesem Zeitpunkt ist das Passwort noch xkcd-stark …
• @imsotiredicantsleep – Das ist ein sehr interessanter Vorschlag. Immer nach einer Lösung gesucht, um diese Verstärkungstechnik einfacher zu verwenden. Es könnte als Sicherheit durch Dunkelheit bezeichnet werden, da der Angreifer vom Wissen über den zufälligen Charakter und die Position profitieren kann. Ein kleiner Kompromiss, denke ich zwischen Benutzerfreundlichkeit und Sicherheit.
• @ Dick99999 absolut, ‚ ist ein Kompromiss. Aber bis die konstante Komponente kompromittiert ist, wird sie einen naiven ï ve Wörterbuchangriff besiegen und einen komplexeren erheblich verlangsamen. Ich bin ‚ nicht damit einverstanden, dass ‚ Sicherheit durch Dunkelheit ist, da ich Ihnen sagen kann, dass ich die -Technik verwende ohne die Entropie zu verlieren, die mir die möglichen Werte geben. Die Hauptschwäche besteht darin, dass Sie, sobald der konstante Teil bekannt ist, Passwort-Immobilien geopfert haben, die randomisiert worden sein könnten.

Ich möchte auch eine yes Antwort hinzufügen, aber für andere Gründe. Aufgrund von Längenbeschränkungen ist dies [im Allgemeinen] kein guter Rat:

• Websites wie Skype, ING, eBay und in meinem Land Binckbank und KPN beschränken Kennwörter auf 20 Zeichen. (Dieses Banklimit beträgt 15, es wurde jedoch eine 2-Faktor-Autorisierung verwendet.)
• Mit einer durchschnittlichen Länge von 4,5 Zeichen / Wort für ein kurzes Wörterbuch mit 3000-8000 Wörtern können nur 3-4 Wortphrasen verwendet werden.
• Bei Verwendung großer Wörterbücher kann der Durchschnitt nur 6-7: 3 Wörter betragen.
• Wenn die Site darauf besteht, ein Symbol und eine Zahl im Kennwort zu verwenden, stehen nur 18 Zeichen zur Verfügung die Phrase.

Diese Längen schützen nur vor Online-Angriffen. Bei Offline-Angriffen hängt es von der Schlüsselableitung und der Hash-Funktion, der Anzahl der Iterationen und der von der App-Site verwendeten Cracking-Hardware ab, ob eine 3-4-Wort-Phrase einen ausreichenden Schutz bietet.

Kommentare

• Websites, die die Länge von Kennwörtern begrenzen, sind häufig ein guter Indikator dafür, dass ihr Kennwortspeichersystem sehr unsicher ist. Renn weg. Alles in allem sind die Anforderungen an die Kennwortstärke eher schädlich als hilfreich, IMO (sowohl für die Sicherheit als auch für die Einprägsamkeit).
• Fügen Sie Suntrust zur Liste der Kennwörter hinzu, die auf 15 Zeichen begrenzt sind. Ich frage mich, was mit dieser Branche los ist.
• Auf der anderen Seite ist es ‚ wesentlich einfacher, ‚recthorsebatterystaple ‚ auf einem Smartphone, als ständig zwischen Kleinbuchstaben, Großbuchstaben, Zahlen und Interpunktion umzuschalten / div> bedeutet nicht nur unsichere Kennwortspeichermethoden – sie bedeuten, dass Kennwörter im Klartext gespeichert oder verschlüsselt (nicht gehasht) werden. @ Á ngel Meine Passwörter für alle Microsoft-bezogenen Konten sind länger, daher rufe ich BS an. Vor NTLM waren Windows-Passwörter vor 16 Jahren auf 16 Zeichen beschränkt. Das ist älter als XP und kaum relevant.
• @Zenexer In Bezug auf die Microsoft-Konten: Microsoft-Online-Konten (live.com, Office 365 usw.) sind auf 16 Zeichen begrenzt (Buchstaben, Zahlen und einige Symbole sind zulässig) ).

Es ist wichtig, den richtigen Kontext zu haben. Die xkcd comic vergleicht Tr0ub4dor&3 mit einer angenommenen 28-Bit-Entropie (obwohl ich es als 34.6) bis correcthorsebatterystaple und seine angenommenen 44 Bit Entropie (ein Code mit vier Wörtern diceware beträgt 51,7 Bit … Aber eines dieser Wörter ist keine Diceware. Mit einem einfachen 100k-Wort-Rechtschreibwörterbuch berechne ich es auf 66,4 Bit.

Lassen Sie uns dies zunächst leichter verständlich machen. Es gibt 94 Druckbare Zeichen. Ein Kennwort mit einem Zeichen hat log₂(94) = 6.55 Entropiebits. Zwei Zeichen haben log₂(94²) = 13.10 Entropiebits.Sie können die endgültige Entropie eines Kennwortschemas durch 6,55 teilen, um die äquivalente Komplexität eines rein zufälligen Kennworts in Zeichen zu bestimmen.

Daher:

• 28 Bit Entropie ≈ 4,3 Zeichen Passwort (sehr schlecht!)
• 44 Bit Entropie ≈ 6,7 Zeichen Passwort (auch schlecht)
• 66,4 Bit Entropie ≈ 10,1 Zeichen Passwort (okay für 2016)

Wenn Sie den Zahlen von xkcd vertrauen, können Sie sehen, warum Schneier besorgt war. Dies scheint etwas übertrieben, da die meisten Angreifer nach etwa zehn Zeichen immer noch aufgeben. ^{[Zitieren erforderlich]} – Es sollte einige Jahre dauern, bis ein großer Cluster ein 10-stelliges MD5-Hash-Passwort gebrochen hat. Wenn jedoch ein guter Angreifer Ihr Schema kennt, ist die absolute Zeichenlänge kein Problem.

Die Gesamtkomplexität des Schemas ist am wichtigsten. Sie müssen den schlimmsten Fall annehmen (dass der Angreifer Ihr genaues Schema kennt). . Es ist eine gute Idee, zusätzlich sicherzustellen, dass Ihr Passwort mehr als 11 Zeichen enthält (, wenn dies zulässig ist ), aber dies ist eine sekundäre Priorität (und es ist kostenlos mit Passphrasen ).

Passphrasen mit vier Wörtern und einem Passcode erstellen

Hier ist mein Ratschlag zur Erstellung von Passpharse (mit Entropieschätzungen):

• Bilden Sie einen unsinnigen „Satz“ aus 4+ Wörtern mit jeweils 4+ Zeichen (100.000⁴)
• Keines dieser Wörter kann verbunden werden Sie – oder einander – in irgendeiner Weise

• Anwendungsfall, Leerzeichen und mindestens zwei Symbole oder Satzzeichen (32²)
• Mindestens ein Wort sollte die Rechtschreibprüfung nicht bestehen (z. B. Leetspeak, Fremdwörter, jeweils 64)
• Fügen Sie mindestens einen weiteren „Fehler“ hinzu (Rechtschreibung / Grammatik / Syntax, Entropie unbekannt)
• Zwischen zwei Wörtern, Fügen Sie einen herkömmlichen „zufälligen“ 7+ Zeichen-Passcode (92⁷) hinzu.

Dies sollte mindestens log₂(100000⁴ × 32 × 3 × 64 × 92⁵) = 112 Entropiebits sein (was sehr stark ist, 17 Zeichen). Ich habe die Groß- und Kleinschreibung übersprungen (ich gehe davon aus, dass nur das erste Zeichen in Großbuchstaben geschrieben ist) und ein Symbol (ich nehme an, es endet mit ., ! oder ?, daher hat das zweite Symbol eine Komplexität von 3) und ich nahm auch an, dass „zufällig“ nicht ganz zufällig ist, und berechnete den Code als fünfstelliges Äquivalent (strikte Einhaltung der obigen Bestimmungen) Die Formel würde Ihnen mehr als 128 Entropiebits bei 20 Zeichen geben.

Dieser letzte Punkt ist es wert, wiederholt zu werden:

Menschen sind sehr schlecht darin, Zufälligkeit zu erzeugen.

Sehr wenige von Menschen erzeugte „zufällige“ Zeichenpasscodes nähern sich sogar der wahren Zufälligkeit an. Der Code enthält Muster auf die Tastatur, die Lieblingsnummern und / oder die Annahme, dass ein bestimmtes obskures Wort nicht zu erraten ist.

Ich habe dieses Schema so konzipiert, dass es robust gegen den inhärenten Mangel an Zufälligkeit von Personen ist und ein begrenztes Vokabular voraussetzt (Sagen Sie die 2600 Wörter in Basi c Englisch ), die Verwendung verwandter Wörter (bestraft durch Zählen von nur drei Wörtern) und ein Passcode, der nur auf die Entropie von sechs alphanumerischen Zeichen beschränkt ist, log₂(2600³ × 62⁶) selbst ist immer noch stark 70 Bit (~ 10,6 Zeichen).

Lassen Sie dies Ihre Passphrase nicht verwässern! Dieser Abschnitt soll zeigen, dass dieses Schema einen gewissen Widerstand gegen die begrenzte Entropie des Menschen aufweist Entscheidungen, nicht um schlechte Entscheidungen zu fördern.

Das einzige wirkliche Problem sind Menschen, die Zitate oder Texte als ihre vier Wörter verwenden. Diese Passphrasen werden trivial besiegt, wenn das Zitat oder der Text erraten werden kann (z. B. anhand Ihrer Facebook-Likes) oder auf andere Weise eine Entropie von etwa 6 zufälligen Zeichen bei einer Crack-Zeit von 30 Sekunden (MD5) bis 17 Tagen (PBKDF2) aufweist.

Sie können meine Entropietabelle verwenden Berechnen Sie die Entropie Ihres Passphrasenschemas.

_{(Kümmern Sie sich nicht darum, dass Passwörter kurz im Speicher bleiben , es sei denn Sie sind Entwickler)}

Kommentare

• Es sollte auch beachtet werden, dass nicht ASCII -Zeichen sind wie Silberkugeln und besiegen die meisten Angriffe automatisch. Ein Passwort von ••••••••• (neun Aufzählungszeichen) ist aufgrund der Länge und Dunkelheit peinlich sicher (und sieht genauso maskiert aus wie nicht maskiert!), Obwohl es ‚ wäre eine schreckliche Idee, sich tatsächlich nur auf diese Tatsache zu verlassen. Fügen Sie ein Nicht-ASCII-Zeichen in Ihren Passcode + 4Wort ein, und Ihre Komplexität steigt sprunghaft an (um zu berechnen, verwenden Sie den Unicode-Wert), allerdings möglicherweise auf Kosten der Portabilität (was ist, wenn Sie ‚ verwendet das Smartphone eines Freundes ‚?)