Pyhä sota

Luulen, että oikea tapa luoda salasanoja voi aloittaa pyhän sodan, jossa kukin ryhmä ajattelee toisen tekevän hyvin yksinkertaisia matemaattisia virheitä tai puuttuu asia. Jos saat 10 tietoturva-alan ammattilaista huoneeseen ja kysyt heiltä, kuinka keksivät hyvät salasanat, saat 11 erilaista vastausta.

Väärinkäsitys

Yksi monista syistä on ei johdonmukaisia neuvoja salasanoista, kaikki johtuu uhkien mallintamisesta . Minkä vastaan yrität puolustautua?

Esimerkiksi: Yritätkö suojautua hyökkääjää vastaan, joka kohdistaa nimenomaan sinulle ja tietää järjestelmäsi salasanojen luomiseksi? Vai oletko vain yksi miljoonista käyttäjistä joissakin vuotaneissa tietokannoissa? Puolustutko GPU-pohjaisen salasanan halkeilulta tai vain heikosta verkkopalvelimelta? Oletko haittaohjelmien [1] saastuttamassa isännässä?

Mielestäni sinun pitäisi olettaa, että hyökkääjä tietää tarkan tavan luoda salasanoja ja kohdistaa vain sinua. [2] Xkcd-sarjakuvassa oletetaan molemmissa esimerkeissä, että kaikki sukupolven yksityiskohdat ovat tiedossa.

Matematiikka

xkcd-sarjakuvan matematiikka on oikea, eikä se muutu .

Salasanoissa minun on kirjoitettava ja muista, että käytän python-komentosarjaa , joka tuottaa todella satunnaisia xkcd-tyylisiä salasanoja. Minulla on sanakirja 2 ^ 11 (2048) tavallisesta, helposti kirjoitettavasta englanninkielisestä sanasta. Voisin antaa hyökkääjälle täydellisen lähdekoodin ja kopion sanaluettelostani, vielä on 2 ^ 44 mahdollista salasanaa.

Kuten sarjakuva sanoo:

1000 arvausta / sekuntia Todennäköinen hyökkäys heikkoon etäverkkopalveluun. Kyllä, varastetun hashin murtaaminen on nopeampaa , mutta tavallisen käyttäjän ei tarvitse huolehtia siitä.

Se luo hyvän tasapainon helposti muistettavan ja vaikeasti murtavan välillä.

Entä jos yritämme enemmän tehoa ?

Toki 2 ^ 44 on ok, mutta GPU: n murtaminen on nopeaa, ja se vain nopeutuu. Hashcat voi murtaa tämän kokoisen heikon hashin [3] useiden päivien, ei vuosien aikana. Minulla on myös satoja salasanoja muistaa. Jopa xkcd-tyyli muuttuu vaikeaksi muutaman jälkeen.

Täällä saapuvat salasananhallintaohjelmat, pidän KeePassista , mutta on monia muita periaatteessa samoja. Sitten voit luoda vain yksi pidempi xkcd-salasana, jonka voit muistaa (sano 10 sanaa). Sitten luot jokaiselle tilille ainutlaatuisen 128-bittisen todella satunnaisen salasanan (heksas tai perus 64 ovat hyvät). 128-bittinen tulee olemaan tarpeeksi vahva pitkään. Jos haluat olla vainoharhainen, kasvaa suuremmaksi, 256-bittisten heksadesimaalisten salasanojen luominen ei ole ylimääräistä työtä.

[1] Tässä muisti y asia tulee sisään, jos olet vaarantuneessa isännässä, jonka olet menettänyt. Sillä ei ole merkitystä, kirjoitatko sen tai kopioitko tai liitä KeePassin kaltaista ohjelmaa, jos hyökkääjä pystyy avaamaan / lukemaan muistia.

[2] Pikemminkin kuin heikompi (mutta todennäköisempi) oletus, että hyökkääjä on juuri torrentannut sanakirjan nimeltä ” Top Passw0rdz 4realz 111! ”.

[3] Toki meidän kaikkien pitäisi käyttää PBKDF2: ta jne. … mutta monet sivustot ovat edelleen SHA1: ssä. (Ja ne ovat hyviä)

Kommentit

• @ Dick99999 nykyaikaisissa grafiikkasuorittimissa voi olla 6 Gt muistia yhdellä kortilla (vaikkakin se vie 2 paikkaa), ja ne voivat helposti tallentaa muutaman tuhannen sanan sanakirjan.
• @NateKerkhofs Tämä on pelottavaa ja hämmästyttävää Ensimmäisessä (ohjelmoitavassa) koneessani oli 1 MHz ja 64 kt RAM ja puhut 6 Gt: n videomuistista …
• ” 128-bittinen todella satunnainen salasana … ” Todella satunnainen? Eikö ’ ole silti näennäissatunnaista?
• Tämän pitäisi olla hyväksytty vastaus, ellei muusta syystä kuin Pyhän sodan osasta.
• @Ovenkahva Kun valitset merkitykselliset yhdistelmät, suurin osa entropiasta häviää. Voin ’ yrittää arvioida, kuinka monta lausetta voisit valita, mutta tämä on todennäköisesti lähempänä yhtä miljardista kuin yhtä 2 ^ 44: stä.

Schneier kirjoittaa tämän:

Siksi usein mainittu XKCD-menetelmä salasanojen luomiseksi – merkitse yhteen yksittäiset sanat, kuten ”correcthorsebatterystaple”, ei ole enää hyvä neuvoja. Salasanan halkeajat ovat mukana tässä temppussa.

mutta avain hänen oivalluksensa ymmärtämiseen on hieman pidempi hänen esseensä:

Yksi järjestelmä toimii edelleen. Vuonna 2008 kuvasin Schneier-mallia ”

niin että se on siinä. Ole ”Bruce haluaa väittää, että hänen järjestelmä on yksi ja ainoa, paras, voittaja, lopullinen järjestelmä. Siksi hänen on sanottava halveksivasti” kilpailijoista ”riippumatta siitä, onko sellainen väitteet ovat tieteellisesti perusteltuja tai eivät.

Tässä tapauksessa on aina oletettu , että hyökkääjä tietää salasananmuodostustavan. Se on koko entropialaskelmien piste. ; katso analyysi . Se, että hyökkääjät ovat ”tämän temppun päällä”, ei muuta mitään lainkaan (kun hyökkääjä tietää salasanan luontimenetelmän, entropialaskenta kuvaa tarkalleen salasanan voimakkuutta; kun hyökkääjä on epäpätevä ja ei tiedä salasanan luontimenetelmää, salasanan vahvuus on vain suurempi, määrällä, jota on mahdotonta kvantifioida).

”Muistissa olevien salasanojen” käsitys on vain epäjohdonmukaisempia sekoituksia. Salasanat menevät välttämättä RAM-muistiin jossain vaiheessa riippumatta siitä, kirjoitatko ne tai kopioitko-liitätkö ne salasanasäilöön tai vastaavaan.

Oletan, että Bruce oli humalassa.

Päivitä : Schneieriä pyydettiin erityisesti kommentoimaan salasanansa tuomitsemista Reddit AMA: ssa , joka pidettiin 2. elokuuta 2016. Hän jatkoi salasananluontijärjestelmänsä puolustamista ylivoimainen vaihtoehto satunnaisille sanalauseille. Schneier sanoi, että hänen suunnitelmansa ”antaa sinulle enemmän entropiaa muistettavaa merkkiä kohden kuin muut menetelmät”, mikä on totta verrattuna sanoihin muodostaviin hahmoihin. Mutta tällä ei ole merkitystä myös silloin, kun järjestelmä luottaa sanojen muistiin tallentamiseen merkkien sijasta, ja sinulla on oikeus yhdistää tarpeeksi sanoja riittävän ”entropian” luomiseksi koko salasanallesi.

Kommentit

• Joo, ajattelin, että hänen kommenttinsa olivat outo poikkeama tyypillisistä hyvistä neuvoistaan.Hänen suosittelemansa järjestelmänsä ei todennäköisesti ole ’ t huono, mutta ei ole ’ testattu. Salasanalähestymistapaa on melko helppo testata verrattaessa, ja luulet ’ luulevan, että se houkuttelee häntä salakirjoittajaa. Ehkä hän vain ohitti uutiset luonnollisten kielilausekkeiden murtamisesta eikä nähnyt ’ nähdä eroa näiden ja satunnaisten sanalausekkeiden välillä.
• Väitteesi siitä, että hänen tarvitsee pilkata kilpailua epäonnistuu, koska hän sanoo heti kuvailtuaan järjestelmänsä, ” Vielä parempi on käyttää satunnaisia muistamattomia aakkosnumeerisia salasanoja (symboleilla, jos sivusto sallii niiden) ja salasananhallinta, kuten Password Safe, niiden luomiseen ja tallentamiseen ”.
• @wfaulk Password Safe on Bruce Schneier ’ luominen, joten hänen väitteensä kilpailusta on edelleen voimassa. Epäonnistunut lauseesi epäonnistuu 😉
• @AviD: En tiennyt sitä täysin. 😳
• Mitä ’ puuttuu, ja ilmeisesti myös Schneier, on se, että ” -temppua ei ole ” – ” kiinni ”. Diceware -turvallisuus olettaa, että hyökkääjä tietää järjestelmän , itse asiassa se olettaa, että itse sanakirja tunnetaan. Sillä ’ ei ole väliä, jos hyökkääjällä on tarkka sanasi ja sanojesi lukumäärä: yksinkertaisesti liian monta yhdistelmää on käytävä läpi onnistuneen hyökkäyksen tekemiseksi ennen kuin aurinko räjähtää.

[Tiedote: Työskentelen AgileBitsissä, 1Passwordin valmistajissa]

Yksi syy siihen, miksi kannatin XKCD-tyyppistä järjestelmää (ennen kuin sitä kutsuttiin nimellä) kohti parempia pääsalasanoja vuonna 2011, johtuu nimenomaan siitä, että sen vahvuus ei älä luota hyökkääjään tietämään mitä järjestelmää käytit. Jos voin lainata itseäni

Dicewaren hieno asia on se, että tiedämme tarkasti, kuinka turvallinen se on, vaikka oletetaan, että hyökkääjä tuntee käytetyn järjestelmän. Turvallisuus tulee noppien heittämisen aidosta satunnaisuudesta. Neljän tai viiden sanan käyttämisen pitäisi riittää seuraavien vuosien todennäköisiin hyökkäyksiin , kun otetaan huomioon havaittu salasanan halkaisijoiden nopeus [1 salasanan pääsalasalasanaan]

Mitä XKCD-sarjakuva ei kommunikoi tehokkaasti, on se, että sanojen valinnan on oltava (tasaisesti) satunnainen . Jos pyydät ihmisiä valitsemaan sanat satunnaisesti, saat vahvan puolueellisuuden konkreettisiin substantiiveihin. Tällaisia ennakkoluuloja voidaan hyödyntää ja tullaan hyödyntämään.

Kuinka paljon voimaa haluat

Täydellisessä maailmassa haluaisimme, että salasanamme on yhtä vahva kuin avaimet, joilla suojaamme se. Sano 128 bittiä. Mutta näistä tekniikoista huolimatta ihmiset eivät aio saavuttaa sitä. Katsotaan siis realistisesti hyökkäyksiä ja sitä, mitä voimme saada pikku aivomme tekemään.

Alkuperäisen 7776 merkinnän sisältävän Diceware-sanaluettelon avulla saat noin 12,9 bittiä käyttämääsi sanaa kohti. Joten jos haluat salasanallesi vähintään 64 bittiä, viisi sanaa tekee sen.

Salasanojen arvaaminen on hitaampaa kuin avainten arvaaminen

Tässä osiossa pääsen hyvin karkeaan taakse kirjekuoresta arvioi, että vakiomäärällä dollareita salasanan testaaminen on 2 ^ 13 kertaa hitaampaa kuin AES-avaimen.

Huomaa, että salasanan testaaminen on paljon hitaampaa kuin avain. Jos käytetään oikean tyyppisiä salasanan hajautusjärjestelmiä, on mahdollista pitää useimmat hyökkääjät alle 100000 arvauksessa sekunnissa. Joten vaikka emme koskaan halua käyttää 50-bittisiä avaimia, 50-bittisten salasanojen käyttäminen saattaa silti olla järkevää.

Jos emme aio rajoittua noppien heittämiseen kuten Arnold Reinholdissa ”s alkuperäinen Diceware-järjestelmä vuodelta 1995, sitten voimme käyttää pidempää sanaluetteloa. Strong Password Generator in 1Password for Windows käyttää luetteloa 17679 englanninkielisestä sanasta, joissa on 4–8 kirjainta (poistettu tabusanoista ja sanoista, joihin liittyy heittomerkki tai väliviivoja). Tämä antaa noin 14 bittiä sanaa kohti. Joten neljä näistä antaa sinulle 56 bittiä, viisi antaa sinulle 70.

Jälleen sinun on kiinnitettävä huomiota halkeilunopeuksiin. Deep Crack pystyi jo vuonna 1997 suorittamaan 92 miljardia DES-testiä sekunnissa. Olettaen, että huippuluokan erikoistunut tietokone pystyy suorittamaan miljoonan arvauksen sekunnissa kohtuullisen hyvin hajautettua salasanaa vastaan, voisi tehdä miljoonan arvauksen sekunnissa, sitten salasanoja on nykyään noin 16 bittiä vaikeampaa murtaa kuin DES-avaimet vuonna 1997.

Tarkastellaan siis tätä Stack Exchange -arviota kaksisydämiselle 3,8 GHz: n prosessorille: 670 miljoonaa avainta sekunnissa.Jos oletamme, että laitteisto on 5000 dollaria, voimme helposti ylittää 10 miljardia avainta sekunnissa. Joten samanlaisella laitteistokustannuksella avainten murtaminen on edelleen yli 2 ^ 13 kertaa nopeampi kuin salasanojen murtaminen.

Uudistetut salasanan vahvuustavoitteet

Arviointini mukaan se on 2 ^ 13 kertaa kalliimpaa testata hyvin hajautettua salasanaa kuin AES-avaimen testaamista, meidän on pidettävä kohtuullisen hyvin hajautettua salasanaa 13 bittiä vahvemmana kuin sen todellinen entropia halkeilun suhteen. Jos haluamme saavuttaa 90 bittiä ”tehokasta voimaa”, 77 bitin salasanan vahvuuden pitäisi tehdä se. Tämä saavutetaan kuusisanaisella Diceware-salasanalla (77,5 bittiä) alkuperäisestä luettelosta ja 84,6 bitillä kuudella sanalla, jotka on vedetty 17679 sanan luettelosta.

En usko useimpien ihmisten käyttävän salasanoja, jotka Odotan, että ihmiset käyttävät 4 tai 5 sanan pituisia asioita. Mutta jos olet todella huolissasi siitä, että NSA seuraa salasanasi, kuuden sanan pitäisi olla riittävä olettaen, että käytät kunnollista salasanan hajautusjärjestelmää.

Vain erittäin karkeat arviot

En viettänyt paljon aikaa kustannusten ja vertailuarvojen tutkimiseen. Arvioissani on paljon asioita, joiden kanssa on helppo jutella. Yritin olla konservatiivinen (pessimistinen järjestelmästä, jota kannan). Olen myös epämääräinen ”hyvin hajautettujen salasanojen” suhteen. Jälleen olen erittäin konservatiivinen suhteessa salasanan hajauttamiseen 1-salasanassa. (Uutta datamuotoa varten hyökkääjät on pidetty alle 20 000 arvauksessa sekunnissa ja vanhemmassa datamuodossaan he ovat saavuttaneet 300 000 arvausta sekunnissa monille -GPU-koneet. Tässä arvioinnissani olen valinnut miljoona arvausta sekunnissa ”kohtuullisen hyvin hashed-salasanalle”.)

Muutama historiallinen muistiinpano

Kaiken kaikkiaan ”XKCD-tyyppisten” salasanojen idea ulottuu ainakin niin pitkälle kuin 1980-luvun alun S / Key -kerta-salasanat . He käyttivät 2048-salasanaa neljän kirjaimen sanan kautta. Kuusisanainen S / Key-salasana sai sinulle 66 bittiä. En tiedä, onko ajatus satunnaisesti valittujen luettelossa olevien sanojen käyttämisestä salasanalle aikaisempi kuin S / Key.

Vuonna 1995 , Arnold Reinhold ehdotti Diceware . En tiedä oliko hän tietoinen S / Key-toiminnosta tuolloin. Diceware-ohjelmistoa ehdotettiin PGP-salasanojen kehittämisen yhteydessä. Se tapahtui myös ennen kuin useimmilla tietokoneilla oli salauksellisesti sopivia satunnaislukugeneraattoreita. Joten siihen liittyy tosiasiallisesti noppien heittäminen. (Vaikka luotan käyttämieni koneiden CSPRNG-tiedostoihin, nautin silti ”uuden salasanan käärimisestä”).

Kesäkuussa 2011 heräsin kiinnostukseni Diceware-palveluun osoitteessa Kohti parempia pääsalasanoja muutamalla lisäyksellä. Tämä johti 15 minuutin kuuluisuuteen. XKCD-sarjakuvan ilmestymisen jälkeen tuotin geek-version , joka kävi läpi matematiikan.

Heinäkuussa 2011 Randall Monroe oli ottanut mukaan Diceware-tyyppisiä järjestelmiä ja julkaissut nyt kuuluisan kuuluisan sarjakuva . Koska en ole idean keksijä, en aio mielessäni olla sarjakuvan innostama. Todellakin, kuten sanoin seurantaartikkelissani

Mikä kesti melkein 2000 sanaa sanomaan ei-teknisesti, Randall Monroe pystyi tiivistämään sarjakuvana. Tämä osoittaa vain matematiikan voiman.

Mutta sarjakuvan tulkinnassa on yksi asia, joka huolestuttaa minua. Minulle ja ihmisille, jotka ovat jo ymmärtäneet järjestelmän, on selvää, että sanat on valittava luotettavasti yhtenäisen satunnaisprosessin avulla. Sanojen ”satunnainen” poimiminen päästäsi on ei luotettavasti yhtenäinen prosessi .

Kommentit

• Hienoa, että mainitsit Diceware-ohjelmiston historiallisessa perspektiivissä ja tunnustat samalla XKCD: n erinomaisen markkinointityön salasanojen suhteen. Tietoja muokatusta järjestelmästäsi, onko missään selitetty, miksi 3 tai 2 kirjainta sanaa ei sisälly näihin sanaluetteloihin? katso blog.agilebits.com/2013/04/16/… . Johtuuko tämä siitä, että sanat kuten ’ off ’ ja ’ rivi ’ voidaan myös hyökätä yhdellä sanalla offline-tilassa? Katso kommenttini Raestlozin postista. Alkuperäinen Diceware-luettelo sisältää monia 1, 2 ja 3 kirjaimen sanoja.
• Erinomainen kysymys! Ajattelin tuolloin (mahdollisesti virheellistä), että halusin myös lauseiden olevan minimipituisia. Halusin varmistaa, että jos joku käyttää kolmen sanan salasanaa, se ylittää vähintään 12 merkkiä. Huomautan, että S / Key sallii myös 1, 2 ja 3 kirjaimen sanat.
• Tarkistin nopeasti sanaluettelot, joita SimThrow-salasanageneraattori ja testaaja käyttävät.Alkuperäisessä Diceware-luettelossa on vähintään 1400 näistä törmäyksistä, kuten ’ any ’ ’ miten ’ ja ’ joka tapauksessa ’. Se voi heikentää 4 sanan lauseen 3 sanaksi, ellei erotinta käytetä. Se ’ on suuri törmäysnumero, koska luettelo sisältää kaikki kirjaimet ja 2 kirjainyhdistelmää. Joten näyttää tekevän oikean valinnan olla sisällyttämättä 2 kirjainta sanaa. Diceware suosittelee, että lauseen vähimmäispituus on 17. Generaattorini arvioi sekä sanaan että merkkiin perustuvat palautumisajat selviytyäkseen sivustoista, jotka sallivat vain lyhyet salasanat (20).
• Tarkistin myös seuraavat sanalistat. S / Key : > 93 törmäystä, laajennetut dikelistit Yhdysvallat : > 190 ja Alankomaiden luetteloni: > 750. Tapa käsitellä tätä on suositella erottimen lisäämistä lauseen sanojen välillä.
• Varo, että noppien heittäminen ei ole täysin satunnaista. forbes.com/sites/davidewalt/2012/09/06/… ja insidescience.org/blog/2012/09/12/…

XKCD-salasanasuunnitelma on yhtä hyvä kuin koskaan. Suojaus ei johdu siitä, että sitä ei tunneta, mutta siitä, että se on hyvä tapa luoda mieleenpainuvia salasanoja suuresta hakutilasta. Jos kuitenkin valitset käytettävät sanat sen sijaan, että luisit ne satunnaisesti, tämä etu menetetään – ihmiset eivät ole hyviä satunnaisuudessa.

Muistia on vähän ilmoitettu, mutta se on huolestuttava: jos salasanan varastaminen haittaohjelma pääsee koskaan tietokoneellesi, se ”ll lakaise kaikki tekstimaiset RAM-muistista ja kiintolevyltä käytettäväksi tilisi suunnatussa hyökkäyksessä.

Kommentit

• +1 en välitä ’ ei usko, että XKCD-tekniikka on kuollut – se ’ ei ole ’ temppu ’ että keksejä ’ ovat päällä ’. Voit tietää tekniikan nurinpäin, mutta se ei ’ ei tee siitä enää halkeilevaa, jos se ’ on riittävän satunnainen.
• @PiTheNumber jos ’ ei käytä tarpeeksi sanoja tai pientä sanakirjaa, et ’ käytä lainkaan xkcd-tekniikkaa; mutta ei, jopa xkcd-sarjakuvassa ’ on selvästi selvää, että olet menettämässä etusi, jos kerrot kaikille ” hei, minä ’ m käyttämällä oikeanpuoleista akun tyyppistä salasanaa ” – verifikaatioiden / entropian määrä bittiä on suurempi kuin useimmat tavalliset salasanat, vaikka menetelmä tunnettaisiin.
• Jos et ’ käytä myös XKCD-tiedostoa ’ s satunnaislukugeneraattori (sain ’ t-linkin, kaikki tietävät sen).
• @PiTheNumber käsite ’ 11-kirjaiminen todella satunnainen salasana ’ ei ole merkitystä, koska se ei ole kohtuullinen vaihtoehto tunnuslauseille. Tunnuslauseet ovat vaihtoehtoja muistettaville salasanoille, ja ne ovat täsmälleen yhtä heikkoja kuin xkcd kuvaa. Toki, jos käytät salasanojen hallintaan tallennettuja salasanoja, sopivat täysin satunnaiset salasanat, mutta siinä tapauksessa se ’ ei ole ’ salasanasi ’ kuin jossakin sellaisessa, jota sinä käyttäisit tai näkisit, vaan pikemminkin ’ automaattisesti luotu satunnainen avain Token ’ samanlainen kuin ssh-avaimet.
• @PiTheNumber Sanat eivät ole ihmisen valitsemia, vaan ne valitaan satunnaisesti. Sanakirja, josta sanat valitaan, on itse ihmisen valitsema, mutta asia on eri asia. ”Todennäköisintä” ei ole – xkcd-sarjakuvan matematiikka on oikein.

Kuten muutkin Bruce Schneierin kuvaama hyökkäys on tehokas, kun käyttäjä valitsee useita sanoja itseään käyttämättä työkalua. Schneier kirjoittaa yleensä yleisölle, mikä ei todennäköisesti ymmärrä eroa itse valitsemien ”satunnaisten” sanojen ja ohjelman valitsemien satunnaisten sanojen välillä.

Lisän, että vaikka käytät komentosarjaa tai muu työkalu sanojen valitsemiseksi satunnaisesti sanakirjasta, sinun on käytettävä ensimmäistä järjestystä, jonka se antaa sinulle . Jos päätät, ” En pidä siitä, ja pidän sitä uudestaan, kunnes pidät siitä, se ei ole enää satunnainen tunnuslause , se on ihmisen valitsema.

Vaikka käyttäisit komentosarjaa, ja vaikka et vahingoittaisikaan satunnaisuutta valitsemalla suosikkisi useista jaksoista, hyökkääjä voi silti hyödyntää PRNG: täsi (näennäissatunnainen) Jos hyökkääjä voi oppia, kun luot salasanan ja mitä PRNG: tä käytit, ja ehkä muuta tietoa PRNG: stäsi, kuten verkkoliikenne, joka tuotettiin PRNG: lläsi samanaikaisesti, se voisi vähentää satunnainen salasanasi.

Ehkä vähän esoteerinen, mutta jos PRNG-tietosi on hyödynnettävissä, 2 ^ 44-luku ei toteudu täysin. (Ja jos oletat ”kukaan ei yritä hyödyntää minun PRNG: täni”, miksi välität todella turvallisen salasanan käytöstä?)

Kommentit

• +1 Mielenkiintoinen kulma. PRNG: n hyödyntäminen on ilmeistä salauksen yhteydessä. avaimet – se ’ on mielenkiintoista, että se näyttää olevan käytännössä jälkikäteen. Luulen, että tyypilliset salasanat ovat niin huonoja että PRNG: t tuntevat olonsa turvalliseksi. Oletettavasti, jos hyökkääjä voi varastaa luettelon hajautetuista salasanoista, pwdChangedTimen tai vastaavan löytäminen olisi triviaalia? Toinen syy lopettaa salasanan ikääntyminen?
• Nopea kirjekuoren takaosa. Jos päivität salasanan minuutin kuluessa sen luomisesta ja PRNG: n ainoa entropian lähde on järjestelmän aika, saatat harkita leikkaavan asioita jopa 2 ^ 35 nanosekunnin tarkkuudelle. Kuulostaa kohtuulliselta?
• Oletetaan, että hylkään lauseen, koska en pidä sanasta ’ ja teen sen 1000 kertaa. Sitten olen vähentänyt sanakirjaa 1000 sanalla. Onko valinta tästä supistetusta sanakirjasta edelleen satunnainen? Jos se silti on, niin 4 sanan lause näin pienennetystä 7776 sanan Diceware-sanakirjasta antaa edelleen (7776-1000) ^ 4 = 2.1E15 / 50.9 mahdollisuutta / entropiabittiä alaspäin 3.7E15 / 51.7 mahdollisuudet / entropiabitit täydellisesti sanakirja. En osaa arvioida satunnaisgeneraattorin vaikutusta. Käytän sitä osoitteesta www.random.org.
• @ Dick99999 En ’ usko sitä ’ todella kuinka monta tarjottua vaihtoehtoa jätät pois valitessasi yhden salasanan. Se ’ s kuviosta siitä, mitä lauseita sulkisit pois, jos sinulle esitettäisiin. Hyökkääjä saattaa arvata, että käyttäjä haluaa lyhyemmät sanat, QWERTY-näppäimistöllä helpommin kirjoitettavat sanat ja sanat, joissa ei ole isoja kirjaimia tai välimerkkejä; tämä strategia voisi suuresti kutistaa lausekkeiden tilaa tutkittavaksi. Pohjimmiltaan se ’ on sama asia kuin vain arvailla suosikkiurheilijoukkueita, syntymäpäiviä ja lapsia ’.
• @wberry en usko ’ luulevan matematiikan toimivan siinä. Oletetaan, että hylkäät 1000 salasanaa ennen kuin löydät haluamasi. Tällöin ’ on kohtuullinen arvio, että pidät vain 1/1000 mahdollisesta salasanatilasta. Oletetaan nyt, että hyökkääjä pystyy täysin arvaamaan, mikä 1/1000 tilasta on suosikkisi – mikä vähentää mahdollisuuksien määrää 2 ^ 44: sta 2 ^ 34: een, mikä on merkittävää, mutta ei niin paljon, että ylimääräinen sana voi ’ t korvaa tappion. Lisäksi, jos rajoitat hylkäämisesi, edes tämä ei ole tarpeen.

Se riippuu. Yksi asia, joka sinun on ymmärrettävä, on se, että tämä ei ole tietoturvaa: sarjakuvassa käytetyt entropia-arvot olettavat, että hyökkääjä tietää jo, että käytät tätä menetelmää . Jos hyökkääjä ei tiedä, miten luot salasanan uudelleen, niin entropia nousee massiivisesti.

XKCD-menetelmän temppu on, että sinun on todella käytettävä satunnaislukugeneraattoria ja hyvää sanaluetteloa: älä koskaan valitse sanoja itse, et edes ”satunnaisesti” (lainausmerkeissä, koska ihmisillä on todella huonoa valita asioita satunnaisesti, minkä vuoksi sinun ei pitäisi tehdä sitä). Diceware -sovelluksessa on työkaluja, jotka auttavat sinua tekemään tämän, ja se jopa poistaa satunnaisen elementin tietokoneen ulottuvilta tavallisten noppien avulla.

Laajapohjaista hyökkäystä vastaan – sellainen asia, jossa hyökkääjä sai salasanaluettelon verkkosivustolta eikä tiedä mitään kenen salasanoista luettelossa – tämä on yhtä vahva kuin koskaan. Aivan kuten sanot, sen vahvuus johtuu eksponenttien voimasta (ja hyvästä sanaluettelosta).

Schneierin hyökkäys voi toimia, mutta vain täysin eri yhteydessä. Hänen hyökkäyksessään oletetaan, että hyökkääjä, joka jo tietää sinusta paljon, on kohdennettu nimenomaan sinuun .Tämä ei ehkä vaikuta aluksi erityisen huolestuttavalta, koska stereotyyppinen päättäväinen hyökkääjä on tiedustelupalvelun edustaja näytön takana, ja useimpien meistä ei tarvitse huolehtia niin paljon niistä: heitä on vain niin paljon, ja kukin voi vain varaa huolehtia niin monista ihmisistä. Mutta se on itse asiassa enemmän ongelma kuin se saattaa ensin tuntua, kiitos kehittyneiden haittaohjelmien. Haittaohjelmien asennuksella on varaa huolehtia sinusta, vaikka hyökkääjä ei tee niin, joten päätät silti erittäin päättäväisen hyökkääjän edessä. Ihmisen määrätietoisempi voisi olla, tosin, vaikka paljon vähemmän luovaa.

Haittaohjelmat, jotka keräävät tietoja sinusta, antavat sinulle tärkeiksi näyttäville sanoille erittäin tärkeän sanaluettelon. Se tekee tämän, koska useimmat ihmiset valitsevat ”satunnaiset” sanat itse, mutta näin tehdessään he tosiaankin painostavat melko voimakkaasti heille tärkeimpiä sanoja: se voi silti ”tuntua” satunnaiselta, mutta jotkut sanat ovat paljon todennäköisempiä keksiä kuin muut. Tästä syystä näiden sanojen asettaminen etusijalle johtaa usein suhteellisen nopeisiin osumiin, ja tämä on ”temppu”, josta Schneier puhuu.

voit silti estää Schneierin hyökkäyksen käyttämällä todellista satunnaisuutta . Saalis on, että tämä vaatii kurinalaisuutta: kaikki päätökset siitä, mitä sanoja käytetään salasanassasi (lukuun ottamatta hyvän sanan valitsemista) luettelo) on otettava kokonaan pois käsistäsi. Täällä sellaiset asiat kuin Diceware voivat auttaa sinua.

Kommentit

• @Gilles: Syy entropia laskee, jos hyökkääjä tietää, että menetelmä muuttaa salasanan koko rakenteen. Jos et tiedä menetelmää, ’ ei tiedä, niin ” oikea hevosen akun niitti ” näyttää olevan 216 symbolia 2-symbolisesta aakkosesta: toisin sanoen 216 bittiä. Jos tiedät, että se ’ s neljä englanninkielistä sanaa (ja tiedä XKCD

Vahvuus matematiikka on melko yksinkertaista, jos sanavalinta on sattumanvarainen: (sanojen määrä sanakirjassa) ^ (sanan määrä lauseessa), olettaen, että hyökkääjä tietää sanakirjan lukumäärän. Joten 5 sanan lause, joka käyttää tunnettua ( hyökkääjältä !) 7776 sanan Diceware-sanakirjaa: sisältää 7776 ^ 5 = 2.8E19 tai 64 bittiä entropiaa.

On yksi kohde, jota ei mainita kaavassa: lisäämällä vain 1 (satunnainen) merkki satunnaisessa paikassa koko lauseessa, vahvuus kasvaa noin 10 bitillä , katso Diceware, valinnaiset jutut .

Yllä oleva matematiikka ei myöskään ota huomioon erotinsymbolia sanojen välillä. Se voi lisätä vielä 5 bittiä.

Kommentit

• XKCD-sarjakuvan kohta (tai ainakin yksi niistä) on se, että yhden satunnaisen merkin lisääminen satunnaisessa paikassa lisää vaikeuksia salasanan muistaminen enemmän kuin se lisää sen halkeamisen vaikeuksia.
• Totta, kun muistat yleensä, ei totta holvin pääsalasanalle. ’ on mielestäni helppo kirjoittaa ’ tärkeimpänä etuna. Koen yhä enemmän tilanteita, joissa salasanojen hallinta ei voi täyttää salasanaa (sovellukset, WifI-vierasverkko) ja minun on kirjoitettava ne.
• @Mark – ylimääräiset satunnaiset (tai vain sanakirjaton) merkit voisivat ole sama kaikissa salasanoissasi, mikä tarkoittaa, että et unohtanut ’. ’ ansaitset ylimääräiset entropiabitit ainakin siihen asti, kunnes useat muut salasanasi ovat vaarantuneet, jolloin salasana on edelleen xkcd-vahvuus …
• @imsotiredicantsleep – Se on erittäin mielenkiintoinen ehdotus. Etsitään aina ratkaisua tämän vahvistustekniikan helpottamiseksi. Sitä voidaan kutsua turvallisuudeksi epäselvyydellä, koska hyökkääjä voi hyödyntää tietoa satunnaisesta luonteesta ja sijainnista. Pieni kompromissi, mielestäni helppokäyttöisyyden ja turvallisen välillä.
• @ Dick99999 ehdottomasti, se ’ on kompromissi. Mutta kunnes vakiokomponentti on vaarantunut, se voittaa na ï ve-sanakirjahyökkäyksen ja hidastaa huomattavasti kehittyneempää. En ole ’ samaa mieltä siitä, että se ’ on kuitenkin epäselvä, koska voin kertoa teille, että käytän -tekniikkaa menettämättä entropiaa, jonka mahdolliset arvot antavat minulle. Tärkein heikkous on, että kun vakio-osa on tiedossa, olet uhrannut salasanakiinteistön , joka olisi voitu satunnaistaa.

Haluan lisätä myös kyllä vastauksen, mutta muista syistä. Se ei ole hyvä neuvoja [yleensä] pituuksien vuoksi:

• Sivustot, kuten Skype, ING, eBay ja kotimaassani Binckbank ans KPN rajoittavat salasanoja 20 merkkiin. (Tämä pankkiraja on 15, mutta siinä käytettiin 2-tekijäistä valtuutusta.)
• Keskimääräinen pituus 4,5 merkkiä / sana lyhyelle 3000–8000 sanasanastolle, joka sallii vain 3-4 sanalauseen käytön.
• Suuria sanakirjoja käytettäessä keskiarvo voi olla vain 6-7: 3 sanaa.
• Jos sivusto vaatii salasanassa symbolin ja numeron käyttöä, vain 18 merkkiä on käytettävissä lause.

Nämä pituudet suojaavat vain verkkohyökkäyksiltä. Off-line-hyökkäykset riippuvat avaimen johtamisesta ja hash-toiminnosta, iterointilaskelmista ja sovelluksen sivuston käyttämistä laitteistoista, tarjoaako 3-4 sanan lause riittävän suojauksen.

Kommentit

• Salasanojen pituutta rajoittavat sivustot ovat usein hyvä osoitus siitä, että niiden salasanojen tallennusjärjestelmä on erittäin epävarma. Juokse pois. Kaiken kaikkiaan salasanan vahvuusvaatimukset ovat yleensä enemmän vahingollisia kuin hyödyllisiä, IMO (sekä turvallisuuden että muistettavuuden kannalta).
• Lisää Suntrust 15 merkin rajoitettuun salasanaluetteloon. Ihmettelen, mitä sillä alalla on.
• Kääntöpuolelta ’ on huomattavasti helpompi kirjoittaa ’ correcthorsebatterystaple ’ älypuhelimessa kuin jatkaa vaihtamista pienten, isojen, numeroiden ja välimerkkien välillä.
• Alhainen salasana rajoittaa don ’ t tarkoittavat vain epävarmoja salasanojen tallennusmenetelmiä – ne tarkoittavat, että salasanoja tallennetaan selkeässä tekstissä tai ne on salattu (ei hajautettu). @ Á ngel Kaikkien Microsoftiin liittyvien tilien salasanat ovat pidempiä, joten soitan BS: lle. Aikoja sitten, ennen NTLM: ää, Windowsin salasanat rajoitettiin 16 merkkiin, iirc. Tämä on aikaisempi kuin XP ja sillä on tuskin merkitystä.
• @Zenexer Microsoft-tileistä: Microsoftin online-tilit (live.com, Office 365 jne.) Ovat rajoitettuja 16 merkkiin (kirjaimet, numerot ja jotkut symbolit ovat sallittuja ).

On tärkeää, että sinulla on oikea konteksti. xkcd koominen vertaa Tr0ub4dor&3 oletettuun 28-bittiseen entropiaan (vaikka I lasken se nimellä 34.6) – correcthorsebatterystaple ja sen oletettu 44 bittiä entropiaa (nelisanainen diceware koodi on 51,7 bittiä … Mutta yksi näistä sanoista ei ole diceware. Yksinkertaisen 100 000 sanan oikeinkirjoitussanakirjan avulla lasken sen olevan 66,4 bittiä.

Ensinnäkin, antakaamme helpottamaan tämän ymmärtämistä. On 94 tulostettavat merkit. Yhden merkin salasanassa on log₂(94) = 6.55 entropiabittiä. Kaksi merkkiä on log₂(94²) = 13.10 entropiabittiä.Voit jakaa salasanamallin lopullisen entropian arvolla 6.55, jotta voit määrittää puhtaasti satunnaisen salasanan vastaavan monimutkaisuuden merkkeinä mitattuna.

Siksi:

• 28 bittiä entropian ≈ 4,3 merkin salasana (erittäin huono!)
• 44 bittiä entropiaa ≈ 6,7 merkin salasana (myös huono)
• 66,4 bittiä entropiaa ≈ 10,1 merkin salasana (okei vuodelle 2016)

Luottaen xkcd: n numeroihin, voit nähdä, miksi Schneier oli huolissaan. Tämä tuntuu hieman ylipuhutulta, koska useimmat hyökkääjät luopuvat edelleen noin kymmenen merkin jälkeen ^{[lainaus tarvitaan]} – suurten klustereiden pitäisi kestää muutama vuosi rikkoa 10-merkkinen MD5-tiivistetty salasana – tosin jos hyvä hyökkääjä tietää järjestelmän, absoluuttinen merkin pituus ei ole ongelma.

Järjestelmän koko monimutkaisuus on tärkeintä. Sinun on oletettava, että pahimmassa tapauksessa (että hyökkääjä tietää tarkan mallisi) . On hyvä idea lisäksi varmistaa, että salasanasi on yli 11 merkkiä ( kun sallittu ), mutta se on toissijainen prioriteetti (ja se tulee ilmaiseksi passilausekkeilla) ).

Luo salasanoja, joissa on neljä sanaa ja salasana

Tässä on salasanani luomisen neuvoja (entropiarvioinneilla):

• Tee järjetön ”lause”, joka koostuu 4+ sanasta, joista jokaisessa on yli 4 merkkiä (100 000⁴).
• Mitään näistä sanoista ei voida yhdistää sinä – tai toiset – millään tavalla
• Käytä kirjaimia, välilyöntejä ja vähintään kahta symbolia tai välimerkkiä (32²)
• Ainakin yksi sana oikeinkirjoituksen epäonnistuminen (esim. leetspeak, vieraat sanat, kukin 64)
• Sisällytä ainakin yksi muu ”virhe” (oikeinkirjoitus / kielioppi / syntakse, entropia tuntematon)
• Kahden sanan välissä, lisää perinteinen ”satunnainen” 7+ char-salasana (92⁷).

Tämän tulee olla vähintään log₂(100000⁴ × 32 × 3 × 64 × 92⁵) = 112 entropiabittiä (joka on erittäin vahva, ≈17 merkkiä). Ohitin isojen kirjainten (oletan, että vain ensimmäinen merkki on isoja kirjaimia) ja yhden symbolin (oletan, että se päättyy ., ! tai ?, joten toisen symbolin monimutkaisuus on 3) ja oletin myös, että ”satunnainen” ei ole aivan satunnainen ja laskin koodin viiden merkin ekvivalenttina (tiukka noudattaminen yllä kaava antaisi sinulle yli 128 bittiä entropiaa ≈20 merkillä).

Tämä viimeinen kohta on syytä toistaa:

Ihmiset tuottavat erittäin huonosti satunnaisuutta

Hyvin harvat ihmisen luomat ”satunnaiset” merkkikoodit jopa lähestyvät todellista satunnaisuutta. Koodiin liittyy malleja henkilön näppäimistölle, suosikkinumeroille ja / tai oletukselle, että tiettyä hämärää sanaa ei voida arvata.

Suunnittelin tämän järjestelmän vankaksi ihmisten luontaista satunnaisuuden puutetta vastaan; olettaen, että sanasto on rajallinen (sano 2600 sanaa Basissa c englanti ), aiheeseen liittyvien sanojen käyttö (rangaistaan laskemalla vain kolme sanaa) ja salasana, joka on rajoitettu vain kuuden aakkosnumeerisen entropian, log₂(2600³ × 62⁶) itsessään on edelleen vahva 70 bittiä (≈10,6 merkkiä).

Älkää päästäkö tätä vettä salasananne alas! Tämä osio on läsnä osoittamaan, että tällä järjestelmällä on jonkin verran vastustusta ihmisen rajoitetulle entropialle. valintoja, ei rohkaistakseen huonoja valintoja.

Ainoa todellinen ongelma on ihmisiltä, jotka pitävät lainauksia tai sanoituksia neljänä sanana. Nämä passi-lauseet häviävät vähäpätöisesti, jos lainaus tai sanoitus voidaan arvata (esimerkiksi katsomalla Facebook-tykkäyksiäsi) tai muuten olisi noin 6 satunnaisen merkin entropia halkeamisajan ollessa 30 sekuntia (MD5) – 17 päivää (PBKDF2) .

Voit käyttää entropiataulukkoani laske salasanamallisi entropia.

_{(Älä huolehdi siitä, että salasanat elävät hetkeksi muistissa , ellei olet kehittäjä)}

Kommentit

• On myös huomattava, että muut kuin ASCII -merkit ovat kuin hopealuetteloita, jotka voittavat useimmat hyökkäykset automaattisesti. ••••••••• (yhdeksän luodin merkkiä) salasana on häpeällisen turvallinen (ja näyttää samalla naamioituna kuin paljastettu!) Pituuden ja epäselvyyden vuoksi, vaikka se ’ d olla kamala idea, joka riippuu tosiasiassa juuri tästä tosiasiasta. Laita salasanallesi + 4-sanaan muu kuin ASCII-merkki ja monimutkaisuutesi nousee huimasti (laskeaksesi, käytä sen unicode-arvoa), tosin ehkä siirrettävyyden kustannuksella (entä jos jos ’ käytätkö ystäväsi ’ älypuhelinta?)