Citazione di esperti su entropia per password noncrissibile

Facciamo un crack diverso da una prospettiva monetaria invece che da una prospettiva fisica. Skylar Nagao a Peerio ha dichiarato che :

In a 2014 research paper on password memorability, security researchers Joseph Bonneau (Stanford) and Stuart Schechter (Microsoft) estimated the cost of an attack based on the total annual payout to bitcoin miners in 2013.

"In 2013, Bitcoin miners collectively performed ≈ 2⁷⁵ SHA-256 hashes in exchange for bitcoin rewards worth ≈ US$257M… this is the only publicly known operation performing in excess of 2⁶⁴ cryptographic operations and hence provides the best estimate available. Even assuming a centralized effort could be an order of magnitude more efficient, this still leaves us with an estimate of US$1M to perform a 2⁷⁰ SHA-256 evaluations and around US$1B for 2⁸⁰ evaluations."

Here we have the billion dollar password estimate — even for a centralized state attacker, it would cost about $1 billion US dollars to compute 2⁸⁰ SHA-256 hash functions over the course of a year. This is like saying it would cost $1 billion USD to try 2⁸⁰ lock combinations over a year. Since an attacker would be ‘likely’ to guess correctly with just one guess after the halfway point, Peerio uses an 81-bit (2⁸⁰ times two) minimum standard for our computer generated passphrases. We chose this standard because we wanted to make sure even a state level attacker would need to drop $1 billion US dollars to have even a coin’s toss chance of cracking a Peerio passphrase.

Si stima che una password di 81 bit costa 1 miliardo di probabilità di crack e quindi Peerio ritiene che sia "noncrissibile". In parole povere, 81 bit funzionerebbero con 17 lettere minuscole casuali, 13 caratteri casuali da una tastiera americana, o 7-8 parole scelte casualmente da un dizionario.

Ci sono certamente molti dettagli tecnici come prezzi, livelli di rischio e algoritmi di hashing. Forse le password sono hash molto, molto più strongmente con bcrypt. Forse queste cifre sono obsolete e più moderne costi di mining o l'ultimo dati sulle entrate minerarie mette hash / dollaro fino a 10 < sup> 16 hash / dollaro. Forse Bitcoin non è il miglior confronto a causa di differenze di mercato o differenze hardware. Alla fine della giornata abbiamo ancora un ordine di grandezza per il minor costo dell'hashing su scala.

Anche se alcuni stati-nazione o milionari mettono insieme una fattoria che rompe gli hash delle dimensioni di La miniera di Ordos di Bitmain , ci vorranno ancora mesi per avere una buona possibilità di trovare la password della password di 80 bit da un hash insicuro e buttare via milioni o addirittura miliardi di dollari di costi e perso entrate potenziali. Se qualche governo potrebbe colpire un miliardo di terahash al secondo, scommetto che hanno cose migliori da fare con quella macchina per fare soldi che crack la tua password a 81 bit.

Se parliamo di garanzie e difesa contro avversari incredibilmente potenti, è importante notare che ci sono molti modi per aggirare una password noncrissibile. I metodi includono il dirottamento di sessione, attacchi MITM, exploit di reimpostazione della password, keylogger, richiesta di accesso al sito Web / admin e phishing. Sebbene alcune minacce come la manomissione fisica del tuo computer possano sembrare assurde, sono più ragionevoli di uno sforzo di cracking delle password di un miliardo di dollari ( xkcd pertinente ) .

C'è una citazione per te in questa risposta di crypto.SE , di Bruce Schneier in Crittografia applicata (1996), pp. 157-8.

Puoi anche trovare Bruce Schneier citando se stesso nel suo blog (2009), se vuoi una citazione online.

Ecco la citazione completa, in caso di interruzione dei collegamenti:

One of the consequences of the second law of thermodynamics is that a certain amount of energy is necessary to represent information. To record a single bit by changing the state of a system requires an amount of energy no less than kT, where T is the absolute temperature of the system and k is the Boltzman constant. (Stick with me; the physics lesson is almost over.)

Given that k = 1.38×10^-16erg/°Kelvin, and that the ambient temperature of the universe is 3.2°Kelvin, an ideal computer running at 3.2°K would consume 4.4×10^-16 ergs every time it set or cleared a bit. To run a computer any colder than the cosmic background radiation would require extra energy to run a heat pump.

Now, the annual energy output of our sun is about 1.21×10⁴¹ ergs. This is enough to power about 2.7×10⁵⁶ single bit changes on our ideal computer; enough state changes to put a 187-bit counter through all its values. If we built a Dyson sphere around the sun and captured all of its energy for 32 years, without any loss, we could power a computer to count up to 2¹⁹². Of course, it wouldn’t have the energy left over to perform any useful calculations with this counter.

But that’s just one star, and a measly one at that. A typical supernova releases something like 10⁵¹ ergs. (About a hundred times as much energy would be released in the form of neutrinos, but let them go for now.) If all of this energy could be channeled into a single orgy of computation, a 219-bit counter could be cycled through all of its states.

These numbers have nothing to do with the technology of the devices; they are the maximums that thermodynamics will allow. And they strongly imply that brute-force attacks against 256-bit keys will be infeasible until computers are built from something other than matter and occupy something other than space.

Aggiornamento: se desideri una citazione per valutare la forza di una password generata casualmente, puoi utilizzare questo sito web che viene regolarmente aggiornato con le raccomandazioni formulate da diversi istituti. Una password casuale è equivalente a una chiave simmetrica, quindi questo è il valore che stai cercando. (Questo è un link sul sito ufficiale , se questo sito dovesse chiudere. )

UPDATE:

Un ottimo video di YouTube che esplora questo argomento è:

Quanto è sicuro la sicurezza a 256 bit? di 3Blue1Brown

Non ho una citazione o una fonte originale, ma spesso rispondo a domande come questa con una riduzione di energia. L'argomentazione è la seguente: assumere che l'umanità possa un giorno trasformare i processori in un limite di efficienza fisica. Calcola quindi la quantità di elettricità necessaria a tali processori per decifrare la password, quindi calcola il numero di stelle della dimensione del sole che avresti bisogno di consumare per produrre tanta elettricità. Versione breve: per decifrare una delle password casuali da 32 caratteri di un gestore di password, stai cercando di consumare come 2x10 ¹⁵ stelle nei soli costi dell'elettricità. Ad esempio, vedi le mie risposte recenti qui:

Devo variare la lunghezza delle mie password completamente casuali per la migliore sicurezza?

e qui

Perché la forza bruta-forzare la password al posto della chiave direttamente?

In realtà non sono sicuro di dove ho avuto inizialmente l'idea, ma potrebbe darti un punto di partenza per cercare su Google una fonte quotabile.

Ricorda anche che quando parli di "password" nel pubblico in generale, devi essere molto attento a inquadrarlo come "password correttamente casuali da un gestore di password". Se consenti agli utenti di scegliere la propria password, la lunghezza è più o meno irrilevante perché gli utenti scelgono password stupidamente prevedibili, ad esempio, in questo articolo:

Come rompere il 30 per cento di password in secondi

Sono d'accordo con ciò che altri hanno scritto. Come ulteriore informazione, guarda questo recente (relativo) discorso su Argon2 . Una pagina (diapositiva n. 8) fornisce una citazione relativamente recente sugli effetti dei progressi dell'hardware sulla forza pratica delle password in attacchi di forza bruta. Vale a dire

Brute-force attacks (such as key guessing) are most efficient on custom hardware: multiple computing cores on large ASICs. Practical example of SHA-2 hashing (Bitcoin):

• 232 hashes/joule on ASIC;
• 217 hashes/joule on laptop.

Consequences:

• Keys lose 15 bits
• Passwords become 3 lowercase letters shorter
• PINs lose 5 digits

ASIC-equipped attackers are the threat from the near future. ASICs have high entry costs, but FPGA and GPU are employed too.

Speriamo che questo ti fornisca una prospettiva pratica e aggiornata sulla lunghezza "effettiva" delle dimensioni delle chiavi in attacchi a forza bruta usando l'hardware moderno.