Kommentare
- XKCD wird normalerweise auf ihrer Wiki-Site erklärt. Dieser Comic wird hier erklärt. EXPLAINXKCD.COM/Wiki/index.php/936:_Password_Strength
- Um zu erklären, was @ConorMancone bedeutet, einige von Die Antworten auf die Frage, die Conor verlinkt hat, enthalten eine gute Erklärung, die die Frage hier beantwortet (insbesondere in der zweiten Antwort von Thomas Pornin). Diese Frage konzentriert sich jedoch stark auf die breiten Argumente für Benutzerfreundlichkeit und Anwendbarkeit, die der Comic vorbringt. Über die Hälfte der Antworten, einschließlich der akzeptierten, geht ' nicht direkt auf diese Frage ein.
- Interessante Frage für viele Krypto-Studenten, I ' bin sicher. Könnten Sie die Entropie Ihrer Berechnung angeben? Eine Motivation für diese Anfrage ist, dass Sie die Antwort möglicherweise selbst finden 🙂
Antwort
He „s Modellieren des Passworts als Ausgabe eines zufälligen Algorithmus ähnlich diesem:
- Wählen Sie ein Wort gleichmäßig zufällig aus einem Wörterbuch mit 65.536 (= 16 Bit) Wörtern aus. (Wir nehmen an, dass das Wörterbuch ist dem Angreifer bekannt.)
- Wirf eine Münze (= 1 Bit); wenn Köpfe, wirf die Groß- und Kleinschreibung des ersten Buchstabens des Wortes um.
- Für jeden Vokal im Wort, Wirf eine Münze um, wenn sie Köpfe landet, ersetze den Vokal durch seine „gemeinsame Substitution“. Munroe vereinfacht dies hier, indem er annimmt, dass Wörter im Wörterbuch normalerweise drei Vokale haben (also erhalten wir insgesamt ~ 3 Bits).
- Wählen Sie zufällig eine Ziffer (~ 3 Bit) und ein Interpunktionssymbol (~ 4 Bit). Werfen Sie eine Münze (= 1 Bit). Wenn Sie Kopf haben, hängen Sie die Ziffer zuerst an das Passwort und dann an das Symbol an in der anderen Reihenfolge.
Die Entropie ist eine Funktion des r andom Entscheidungen im Algorithmus getroffen; Sie berechnen es, indem Sie ermitteln, welche zufälligen Entscheidungen der Algorithmus trifft, wie viele Alternativen für jede zufällige Wahl verfügbar sind und wie wahrscheinlich die Alternativen sind. Ich habe die Zahlen in den obigen Schritten mit Anmerkungen versehen, und wenn Sie sie addieren, erhalten Sie insgesamt etwa 28 Bit.
Sie können sehen, dass Munroes Verfahren keineswegs harte Wissenschaft ist, sondern es Es ist auch keine unangemessene Schätzung. Er übt die Kunst der schnellen und schmutzigen Schätzung, die er sehr oft in seiner Arbeit demonstriert – nicht unbedingt die richtige Zahl, sondern eine schnelle Vorstellung von ihrer ungefähren Größe.
Antwort
Jedes kleine Quadrat ist ein Stück Entropie, das berücksichtigt wird.
- 16 Bit nur für das Wort
- 1 für den ersten Buchstaben: Großbuchstaben oder nicht?
- 1 für jede Ersetzung von O und 0, A und 4
- 4 für die Verwendung eines Symbols, das nicht ist diese übliche
- 3 für die Verwendung einer Zahl
- 1 für die unbekannte Reihenfolge von Symbol + Nummer oder Nummer + Symbol.
Es gibt einige Gründe Wenn das Passwort beispielsweise Großbuchstaben erfordert, setzen fast alle die Großbuchstaben in den ersten Buchstaben. Sie erhalten also nicht viel mehr als nur ein bisschen Entropie.
Kommentare
- Könnten Sie etwas näher darauf eingehen? Ich habe die Tatsache, dass es 1 Bit sein sollte, wenn es Großbuchstaben sind oder nicht, aber warum 16 Bit nur für das Wort allein? Wie haben Sie das bekommen?
- Die typische Anzahl von Wörtern in einem englischen Wörterbuch beträgt ungefähr 100000, was ungefähr 16 Bit entspricht.