Spesso vedo suggerimenti per passphrase scritti come una frase, con spazi. In quel formato sono più suscettibili a un attacco di dizionario perché ogni parola è di sua proprietà in contrapposizione a un grande 'blob' ininterrotto di 20 caratteri?
No (con un'eccezione minore in basso).
Le passphrase "pinza corretta della batteria del cavallo" e "correggere la portata della batteria" sono equivalenti per l'entropia. Scegliendo di inserire spazi in un punto non corretto o a volte includendo spazi e, a volte, non includendo spazi, si otterranno alcuni bit extra di entropia; ma non ne vale la pena per la difficoltà extra di ricordarlo. Otterrai alcuni bit di entropia per l'intera passphrase per uno strano schema di spaziatura; mentre solo aggiungendo un'altra parola aggiungerebbero circa 13 bit (assumendo un dizionario diceware di 7776 parole corrispondenti a 5 rotoli di un dado a sei facce; nota che lg (6 5 ) = 12.92; lg essendo la base -2 logaritmo). (Non c'è disaccordo tra la mia risposta e quella di Thomas: un utente malintenzionato dovrebbe verificare la presenza di passphrase sia con che senza spazi, a meno che non abbia informazioni aggiuntive sul fatto che tendi a utilizzare gli spazi nei tuoi passphrase).
Fai attenzione alla distinzione tra parole casuali e frasi significative. Una passphrase "la meccanica quantistica è strana" è un'entropia molto più bassa di quella che dice "baldacchino di calore scott"? Perché? Nell'inglese significativo avete schemi come certe parole combinate frequentemente (meccanica quantistica) o certi schemi devono apparire come grammaticalmente corretti (soggetto, predicato, complemento di soggetto) che in teoria potrebbero essere sfruttati da un attaccante sufficientemente sofisticato ( anche se io non sono a conoscenza di algoritmi di cracking che attualmente utilizzano questo ). L'entropia informativa dell'inglese scritto grammaticalmente corretto è di circa 1 bit per carattere, quindi la prima passphrase ha ~ 30 bit [1] , mentre la seconda passphrase ha circa 4 × 12,9 ≅ 52 bit di entropia; quindi richiederebbero circa 2 22 ≅4 milioni di volte in più per craccare.
Diffida delle analisi errate come link che fanno errori di teoria fondamentale. Ad esempio, "questo è divertente" è incredibilmente debole essendo composto da alcune delle più comuni parole inglesi in una frase sinteticamente corretta che è molto comune ('questo' ~ 23 ° più comune; 'è' ~ 7 ° più comune; 'divertente' ~ 856 parola più comune) [2] . Se hai provato solo tre parole casuali tra le prime 1000 parole inglesi, ti ci vorrebbe solo 1 secondo per decifrare, assumendo una GPU moderna e hai acquisito l'hash (salato). Questo è approssimativamente equivalente a 5 caratteri alfanumerici casuali (senza contare simboli speciali). Se cerchi su google la frase citata "questo è divertente", appare 228 milioni di volte.
EDIT: Minore eccezione: nel raro caso in cui parole consecutive nella tua passphrase formano un'altra parola nel tuo dizionario (o nel dizionario del tuo aggressore), allora non avere spazi (o un altro separatore) tra le parole diminuisce significativamente l'entropia della passphrase. Ad esempio, se le parole casuali che formano la passphrase fossero "book case the rapist" e non avevi spazi, un utente malintenzionato potrebbe entrare provando tutte le combinazioni di due parole "terapista libreria".
Gli spazi in una passphrase aggiungono entropia esattamente nella misura in cui non è possibile che siano stati aggiunti. Un punto importante è che un utente malintenzionato non può verificare una corrispondenza parziale con una password; contrariamente a quanto i film di Hollywood tendono a suggerire (in un modo molto grafico), non esiste una "decrittazione parziale" (in cui il testo è in parte leggibile, ma sfocato) o una "password parziale". L'utente malintenzionato ha la password esatta prevista, fino all'ultima virgola o nulla del tutto. Questo è un sistema di login, non un gioco di Mastermind .
Ad esempio, supponiamo di creare password selezionando a caso quattro parole in un elenco di 2048 parole "comuni" e aggiungendole (il " punto ferri batteria corretto " metodo). Assumiamo che ogni utente malintenzionato sappia che stai selezionando le password in questo modo (ad es. È il "metodo di selezione della password ufficiale" promulgato dal sysadmin). Quanta entropia c'è in una tale password? È facile da calcolare (supponendo che tu stia veramente selezionando le cose "casualmente", con i dadi, non con il tuo cervello): ci sono 2048 * 2048 * 2048 * 2048 = 2 44 possibili password, che hanno tutte il stessa probabilità di essere selezionato. Quindi, 44 bit di entropia.
Ora, supponiamo che il processo di selezione affermi anche: "Concatenerai le quattro parole senza spazio". Ci sono 2 44 possibili password, quindi 44 bit di entropia. Supponiamo ora che le regole dicano: "Devi sempre mettere un singolo spazio tra due parole". Ci sono ancora 2 44 possibili password, quindi ancora 44 bit di entropia. Ma supponiamo che le regole dicano: "devi separare le parole con spazi, o concatenarli tutti insieme (lancia una moneta per decidere in un modo o nell'altro quando scegli la tua password)", poi improvvisamente ci sono 2 45 possibili password (sempre con uguale probabilità): l'entropia è ora a 45 bit.
Ancora più genericamente, se il processo di selezione della password comporta il lancio di una moneta tre volte, per decidere per ogni intervallo tra due parole se ci dovrebbe essere uno spazio o meno, allora l'entropia sale a 48 bit. Nota che questo non è "libero": ottieni più entropia, ma devi ricordare anche di più (ovvero dove metti gli spazi).
Su una nota pratica: su una tastiera tipica, la barra spaziatrice, quando viene premuta, emette un suono leggermente diverso. Se il tuo collega d'ufficio ha un orecchio acuto, può notare se lo usi o meno, e probabilmente in quali posti. Inoltre, i tuoi colleghi conoscono perfettamente le regole di selezione della password che sono pubblicizzate nella tua organizzazione, poiché è, per definizione, nella stessa organizzazione di te. Quindi sconsiglio di usare gli spazi come fonte di entropia. Soprattutto se si utilizza la "regola delle quattro parole" e non tutte le parole dell'elenco hanno la stessa lunghezza: il collega dalle orecchie lunghe può dedurre la lunghezza di ogni parola ascoltando gli spazi quando vengono digitati.
La semplice risposta è sì, ma non molto. Pensa allo spazio del personaggio - se stai guardando alfanumerico, incluse lettere maiuscole e minuscole che ti fanno 62 caratteri (a-z, A-Z, 0-9). L'aggiunta di {spazio} significa 63 caratteri, quindi hai migliorato di 1/62
Confrontalo per aggiungere un carattere in più che aumenta esponenzialmente l'entropia.
Non puoi usare un attacco di dizionario, perché non puoi provare ogni parola singolarmente. Questa è una passphrase. Devi ottenere tutto per farlo bene. Sono sicuro che il tuo dizionario potrebbe contenere "mike", ma non contiene "mike è l'uomo più intelligente in vita". Quelle sono due password diverse. L'aggiunta di spazi aggiunge più caratteri. Maggiore è il numero di caratteri, maggiore è la combinazione, maggiore è l'entropia.
Dipende. Ovviamente importa quali sono le circostanze in dettaglio.
Se l'attaccante non sa, che stai combinando le parole e fa un attacco di forza bruta su tutto lo spazio delle possibilità, lo spazio in bianco aumenta l'alfabeto.
Se l'utente malintenzionato sa o presume che stai usando una frase o un elenco di parole, ma non sa, se usi uno spazio vuoto o meno, il numero di frasi con o senza spazio è quasi il doppio, come solo senza spazi vuoti. bookcase book case come menzionato da dr jimbob è l'eccezione, naturalmente.
Due volte suona molto, ma se ci pensi: un attaccante che fa un attacco di forza bruta per 1 mese probabilmente lo farà anche per 2 mesi.
La questione del suono è un pensiero interessante. Ne ho un altro:
Se inserisci la tua password in un campo di testo di una GUI, forse il browser, uno spazio vuoto dovrebbe sempre funzionare. Ma se ti capita di inserirlo da una shell, in un processo indiretto:
foologin -u JoeDoe -p you will never guess it
potrebbe non funzionare, perché le shell tendono a usare spazi vuoti come separatori. Dovresti usare
foologin -u JoeDoe -p "you will never guess it"
Ora la mia idea è che l'errore potrebbe aiutare un utente malintenzionato, a indovinare il motivo dell'errore e, quindi, a divulgare informazioni sulla modalità, la password è stata creata. Potrebbe esserci una regola per usare almeno 8 caratteri, e "tu" capita di avere solo 3, quindi le persone, usando frasi senza mascheramento, potrebbero essere le tipiche vittime di questo messaggio di errore.
Naturalmente questo è molto speculativo.
L'uso di spazi vuoti potrebbe, d'altra parte, aiutarti a memorizzare una frase di accesso molto lunga. Come utente francese su un sito americano, puoi utilizzare una frase spagnola, inserire nomi stranieri come Kolmogorov e errori di ortografia che ricordi facilmente, il che sarà difficile da pianificare in attacchi brute force. :) Certo, puoi farlo anche senza spazi vuoti.
L'aggiunta di spazi può o non aggiunge sicurezza, ma l'aggiunta di spazi facilita la lettura e la digitazione di frasi passate. Ad esempio, Lastpass può generare OTP (password una tantum) se sono necessarie durante il viaggio e l'utilizzo di un computer pubblico. Queste password OTP hanno questo aspetto:
da6ed4bff36860012a563dd3560c289b
Dovresti stamparli e digitarli quando devi accedere da un computer pubblico, ma questi sono estremamente difficili da leggere e scrivere. Invece di questo, il loro OTP avrebbe dovuto assomigliare a questo:
raise erase lifeless wipe determine quit cause forest them wife
parole con spazi facili da leggere e scrivere. Non ci sono limiti per includere gli spazi nelle frasi di passaggio, ma i pro sono ovvi, come in questo caso di OTP.
Leggi altre domande sui tag encryption passwords password-management password-policy file-encryption