Quanto sono sicure le password fatte di frasi intere in inglese

Would be great if the answer contains some calculations which estimate the password security and some references about this topic.

Recentemente ho risposto quasi esattamente alla stessa domanda qui: Confused about (password ) entropia

Il tempo necessario per decifrare la tua password è esattamente uguale alla quantità di tempo necessaria per testare una singola password moltiplicata per il numero di password che verranno provate prima del tuo. Dal momento che stai tentando di prevedere il comportamento di qualcun altro, questo è tutto ciò che puoi dire.

Ci sono altre stime che cercano di capire quale numero sarà in qualche caso generale, ma quelle sono necessariamente sempre sbagliate, poiché l'attaccante non deve seguire il modello matematico che costruisci. Chiaramente la password verrà indovinata rapidamente se l'attaccante sta uscendo da un elenco di sequenze di tasti dal tuo computer, e chiaramente la password sarà mai indovinata se il dizionario che l'utente malintenzionato sta usando non contiene la tua password tutti.

Occasionalmente le persone useranno il concetto di entropy per fare questo tipo di stima, ma ancora una volta, nel mondo reale, quanto bene regge? Una password composta da una lettera "a" ripetuta 27 volte ha un'entropia molto bassa, ma resisterà a quasi tutti gli attacchi del dizionario di uso comune ... fino a quando le password estremamente lunghe di una singola lettera diventano di gran moda e gli aggressori iniziano a cercarlo.

Più il modello di password diventa più comune, più probabile saranno gli autori di attacchi a cercarlo.

In generale, gli attacchi con password provano le password in questo ordine:

1. password di uso comune
2. semplici password basate su dizionario (solo lettere minuscole),
3. password più complesse basate su dizionario (caso misto, spargimento di numeri e punteggiatura secondo alcuni modelli comuni)
4. ricerca esauriente dell'intero spazio delle chiavi che inizia con password brevi e progredisce fino a quelle lunghe

Se riesci a sopportare i primi 3 tipi e hai una password abbastanza lunga, sei praticamente a casa libera perché una ricerca esauriente di una dimensione di questo spazio è irrealizzabile. La maggior parte degli attacchi si interrompono dopo il tipo 1, solo gli attacchi concertati tentano anche i tipi 3, mentre i tipi 4 sono disperati.

Penso che il riferimento migliore sia NIST SP 800-63 Appendice A , che espone la teoria e i calcoli. Il NIST presuppone che la strategia difensiva dominante sia l'entropia e che le password con entropia massima siano le più forti. I pagliai per le password di Steve Gibson mettono in discussione tale ipotesi e asseriscono che la lunghezza è più importante della complessità o dell'entropia (in parte a causa della magia di hashing). Per i tuoi scopi, penso che sia sufficiente presumere che la forza di una credenziale di autenticazione (password / passphrase / etc.) Sia derivata sia dalla lunghezza che dall'entropia.

Una frase è più strong perché è più lunga. Certo, il testo inglese è altamente ridondante Circa 1 bit di entropia / carattere , la maggior parte degli attaccanti non riuscirà a trarre vantaggio di quella entropia. Sono stato fuori dal pentimento per circa cinque anni, ma nel momento in cui ho fatto l'ultimo pentesting, gli strumenti di attacco presumevano che la password fosse più simile a una parola che a una frase. La lunghezza della password per entropia non è una funzione lineare per motivi che Henning Klevjer ha spiegato abbastanza bene e l'attacco gli strumenti sfruttano queste limitazioni. (IIRC, i problemi sollevati da Klevjer possono comportare un aumento di 100 volte della velocità di cracking della password).

Sulla base di questi presupposti, la frase come passphrase è particolarmente strong. Come altri hanno sottolineato, i ricercatori hanno attaccato le passphrase, ma non sono a conoscenza di alcuna informazione pubblicata che gli hacker del mondo reale abbiano fatto.

Tuttavia esiste una limitazione significativa della passphrase. La parte relying (il sito a cui si sta autenticando), deve accettare una passphrase. Nella mia esperienza personale una frazione significativa, forse la maggior parte dei siti di autenticazione non accetterà una frase come passphrase. (Gradirei chiunque possa indicarmi numeri rigidi su questo) Molte implementazioni di password rifiutano esplicitamente le password di più di 16 caratteri, o troncano passphrase più lunghe alla lunghezza desiderata.

Esaminando a turno i casi d'uso: 1) computer di casa - Dipende dal tuo sistema operativo, ma ci sono meccanismi di autenticazione senza password che sono molto più forti e molto più semplici. (token biometrici e hardware, ad es. Yubikey ) 2) Account Internet (e-mail, negozi online, social network, ...) - Dubito che sarai in grado di utilizzare una passphrase frase. Molti se non la maggior parte di questi non accetta una passphrase - la tua unica speranza è di massimizzare l'entropia della password che fornisci e di evitare di riutilizzare la password 3) Internet Banking: come sopra, è improbabile che accetti una passphrase. Tuttavia, il numero crescente di siti Web accetta l'autenticazione a due fattori da RSA o Yubikey o softkey come Google Authenticator. 4) Memorizzazione di dati altamente sensibili - Non sono sicuro di cosa intendi qui. Se si memorizzano dati altamente sensibili, la soluzione migliore è offline o crittografata. Se stai parlando di crittografia reale, allora una frase dovrebbe essere più strong, se il prodotto di crittografia lo accetterà. Personalmente, opterei per l'autenticazione a due fattori qui e salta la password.

Si noti inoltre che la forza della password non ha senso se la parte relying ha un'implementazione cerebrale - per esempi vedere Sarah Palin Hack o Mat Honan . La tua massima entropia non può proteggerti da una parte relying negligente. Se si rendono sufficientemente credibili le credenziali di autenticazione, un attaccante designato ricorrerà a un metodo alternativo (ovviamente è possibile che gli sia costato tempo e scoraggiare l'aggressore opportunista). In questi casi è necessario dedicare attenzione ad entrambi, evitando il compromesso e rilevando / recuperando dal compromesso. Ma questo è al di fuori della portata della tua domanda.

Per favore non essere distratto dall'obiettivo - se il tuo vero obiettivo è una strong autenticazione, allora la soluzione migliore è usare un federato credenziali di identità con un alto livello di sicurezza e utilizzare un'autenticazione a due fattori per tale identità.

Le frasi complete per le password, con o senza spazi sono conosciute come passphrase . Sono più sicuri semplicemente perché la loro lunghezza disattiva qualsiasi attacco di forza bruta contemporanea. Ciò richiede, tuttavia, che l'autore dell'attacco non sia a conoscenza della struttura della passphrase. Una politica password stupidamente scritta può richiedere "una passphrase composta da almeno due parole" che rende l'intera cosa più semplice. Supponiamo che occorra X secondi per indovinare ogni parola d'ordine inglese di una sola parola, facendo lo stesso per due parole: X ² . Gli attacchi del dizionario alle passphrase, quando l'attaccante è a conoscenza della struttura, possono essere molto efficienti.

Una buona idea è usare una passphrase come "Spero che nessuno noti i miei piedi puzzare" e aggiungere alcuni errori ortografici casuali o caratteri speciali. Quindi "Hope naune nytices mafit smell" è una password migliore se l'attacker può indovinare o conoscere la struttura . Questo è più importante per le frasi più brevi. "Yikes! Duperlarge% Dactionery" non sarà vulnerabile ad un attacco di dizionario ed è abbastanza lungo da evitare attacchi di forza bruta.

Cattive abitudini (elenco non esauriente):

• Password brevi
• Poche parole del dizionario dirette

• Sostituendo caratteri con segni simili (ad esempio pa $$ w0rd). "Pissword" è quasi buono ..

• Numeri in sequenza

Storicamente, una password complessa è lunga e casuale. Poiché non tutti noi siamo in grado di ricordare "% W¤GHAF034jio43Q¤ #% q3æPÅJ (%" e "LookattemGo, thefatteys!", Suggerisco passphrase e scriverli se puoi farlo in modo sicuro.

Per rispondere pienamente, puoi usare una citazione, ma non "unsanitized". In il caso LinkedIn (LinkedIn ha perso un sacco di hash delle password), citazioni dalla bibbia e i film scritti direttamente come password sono stati copiati con successo.

Conclusione: pensa alla citazione "Non esiste una tassa come questa". e renderlo qualcosa di simile. "No_sych_thang: taxorama", non dirlo direttamente.

"Tua madre odora di spray per toilette alle mandorle", di lunghezza è sufficiente, ma ancora una volta, se la politica della password dice "Passphrase dovrebbe essere di sette parole e offensiva per il parente di qualcuno" ...

Per il tuo computer di casa, se usi Windows, puoi avere Ctrl + backspace come password e nessuno probabilmente lo proverà.

Ciò che conta non è la lunghezza della password, ma la sua entropia. L'entropia di una password è il numero previsto di tentativi che un utente malintenzionato dovrà provare prima di trovare la password in un tentativo di forza bruta. ("Previsto" numero di tentativi perché un modello realistico dell'attaccante è probabilistico - se tu sapessi esattamente in quale ordine l'attaccante avrebbe enumerato i candidati per le password, ne sceglieresti uno che è abbastanza lontano nella lista in modo che lui " non lo trovi mai nella tua vita.)

Se si applica una trasformazione prevedibile a un modello di password, l'entropia della password non cambia di molto. Se la trasformazione è molti-a-uno, l'entropia diminuisce di conseguenza. L'entità con cui l'entropia potrebbe aumentare rappresenta la propensione per l'attaccante a azzardare l'ipotesi che si possa applicare questa trasformazione. È probabile che le trasformazioni memorabili come la prima lettera o il mirino 1337 vengano provate abbastanza velocemente (indovina, le persone che scrivono gli strumenti per craccare le password non sono né stupide né ignoranti). Quindi una trasformazione come la descrivi potrebbe aggiungere un po 'di entropia al massimo - o potrebbe ridurre considerevolmente l'entropia: se l'attaccante decide che è più probabile che le persone applichino tali trasformazioni, proverà prima la forma breve; e se la trasformazione collassa molti passphrase in uno, ciò riduce il numero di tentativi di conseguenza.

La punteggiatura non rende intrinsecamente più sicura una password. Il vantaggio di una trasformazione come quella che descrivi è che rende la password più breve da digitare. Nota che potrebbe essere più difficile da digitare anche se è più corto, specialmente sui dispositivi mobili con tastiere su schermo in cui la punteggiatura è alquanto fuori portata. La frase completa ha almeno tanta entropia e la rimozione di tutti i segni di punteggiatura, gli spazi e l'impostazione di tutte le lettere in lettere minuscole non riduce significativamente l'entropia.

Un buon schema di password consiste nel prendere parecchie parole del dizionario a caso e metterle insieme. Nota che è fondamentale che le parole del dizionario siano scelte a caso. Usare una frase significativa aiuta la memorizzazione, ma aiuta anche l'aggressore. Un vantaggio dell'uso di un semplice schema di generazione di password casuali è che puoi valutare facilmente la sua entropia. Se il tuo dizionario ha 2 ^ D parole (D ≈ 10 per l'inglese di base, D ≈ 14 per parole ragionevolmente comuni, D ≈ 19 per l'OED) e scegli N parole per la tua password, allora la tua password ha N D bit di entropia. Dal momento che la generazione della password è casuale, non c'è modo per l'attaccante di ottenere maggiori informazioni, dovrà fare 2 ^ D N / 2 tentativi per craccarlo in media. Se alcuni sistemi richiedono caratteri speciali nelle password, incollare un 1 alla fine o una lettera maiuscola all'inizio - l'entropia deriva dalle parole casuali, non dai caratteri speciali. Questo meccanismo di generazione della password è illustrato in XKCD 936 , con un confronto con 1337speak (molto peggio); il fumetto è stato ulteriormente discusso in questo sito .

Che cosa farebbe tu , se dovessi craccare una password e non avere il tempo di provare ogni possibile combinazione? Probabilmente faresti qualcosa del genere:

1. prova combinazioni usate spesso come "admin" o "12345"
2. prova parole singole da un dizionario
3. prova le combinazioni casuali fino a circa 7 caratteri
4. prova coppie di parole da un dizionario
5. Prova citazioni famose

L'utilizzo di più parole anziché di una singola password è in realtà una buona idea, ma solo perché sono disponibili così tante parole possibili . Puoi calcolare tu stesso le combinazioni possibili:

Random characters:
26 characters in alphabet ^ 8 places = 2.0E11 combinations
52 case sensitive characters ^ 8 places = 5.3E13 combinations

Sentence with words:
135'000 words in dictionary ^ 4 places = 3.3E20 combinations

Quindi usare le passphrase è buono, a patto che non vengano usate spesso (ben note). Meno parole usi, più facile è scoppiare, 4 parole mi sembrano un minimo.

Usare solo le prime lettere delle parole di una passphrase è più comodo, perché devi digitare di meno. È buono finchè questo porta ad usare più parole. Se la passphrase usa poche parole, la tua password rientra nella categoria 3 (combinazioni casuali fino a caratteri?).

Il problema con questo tipo di crack è che non sai in che contesto inserire le frasi per abbinare il contesto con cui la persona ha usato la password.

Questo diventa terribilmente difficile quando si utilizzano testi che hanno fonti diverse come PDF, file TXT, documenti di Word ecc.

Ad esempio, dì che ho un libro e ha le seguenti due frasi:
Maria aveva un piccolo agnello che è un vello bianco | come la neve. Maria poi ha deciso un giorno di fare l'agnello stufato e così Maria non ha più avuto un agnellino.

Quindi, per la mia password scelgo la frase 1 "Mary ha avuto un agnellino chi è in pile era bianco"

Ma ora, mentre cerco di risolvere il problema, costruisco la mia lista di parole ottenendo il "LIBRO" in formato TXT. Il file di testo ha il seguente aspetto:
Maggio ha avuto un piccolo agnello che è un vello bianco come la neve. Mary quindi ha deciso
fare lo stufato di agnello e così Mary non ha più avuto un agnellino.

Vedi il problema qui? Il mio candidato sarà "Mary ha avuto un agnellino che è un vello bianco come la neve, poi Mary ha deciso" - e non importa quello che faccio a quella frase quando hash e confrontato non corrisponderà mai al "vero" usato inizialmente.

Quindi, come si potrebbe sapere dove troncare le frasi per costruirle in un dizionario? Le possibilità sono infinite: frasi con 1 parola, 3 parole, 10 parole, 9 parole?

Ovviamente, sarebbe facile passare da un punto di punteggiatura ad un altro come un "periodo" a un "periodo", ma questo è presupposto che le persone scelgano frasi per password basate su questo? Se lo facessero sarei sorpreso (e preoccupato) - se non lo fanno, poi di nuovo rende le possibilità piuttosto difficili.

Forse con un po 'di codice si può generare liste di frasi da un'origine basata su numerose iterazioni di parole + "x" nella frase e poi inserirla in un cracker di password. Non sono sicuro dell'efficacia o della velocità.

Supponiamo che l'algoritmo hash e il metodo (salato / non) siano gli stessi. Supponiamo che tu possa costruire una lista di hash e usare un cracker GPU come ocl hashcat contro di esso (ho visto benchmark che affermano 59 Gps per indovinare - che è Billion come in 55.577.000.000 di ipotesi al secondo. Questo rompe l'intero spazio di una password di 8 caratteri usando 76 possibili personaggi in circa 3 ore.). Supponi di avere 3000 parole comuni in uso. Supponiamo che 300 di questi siano verbi (questo è basato sull'analisi lessicale pubblicata su Internet - ymmv). Supponiamo che i verbi si presentino normalmente nelle prime tre posizioni di una frase. Assumi parole comuni come "a, due, per, quattro, uno, vinto, cinque," ecc. Si possono scambiare con la loro controparte numerica e assumere che la punteggiatura sia spazi tra parole e punti, punti esclamativi e punti interrogativi (o nulla) alla fine. Non assumere maiuscole, ad eccezione della prima lettera. Supponiamo che ci siano cinque frasi di parole (una persona simpatica, anche se con problemi di sicurezza, raramente supera i 12 nella mia ipotesi).

Puoi craccarlo offline in circa due mesi utilizzando le parole come blocchi.

Ma le frasi scelte con nomi, parole non comuni, errori di ortografia intenzionali, simboli diversi dallo spazio, maiuscole o parole senza senso sarebbero teoricamente più sicure perché le linee guida dell'entropia avrebbero infranto le mie ipotesi.

Questa è tutta teoria, ovviamente. Molte persone a cui date ancora la vostra password non le hash. Molti ancora non usano un sale. Molti altri usano algoritmi di hashing provati e insicuri. Alcune tecnologie non richiedono un hash essere rotto in modo che possa essere abusato. Persino i provider sicuri non riescono a proteggere le risposte suggerite per la password o altri canali negli account. E molti bravi fornitori che provano ancora usano persino il captcha cattivo per il "limite umano".

Quindi, direi: il non riutilizzo (di suggerimenti, risposte o password) è più importante, la lunghezza conta e la pressione dei custodi della password per utilizzare le migliori pratiche. È un uso migliore del tuo tempo rispetto a un dibattito come questo.

E i passphrase generati con diceware ? Dalla discussione in cui si discute è che 5 o 6 parole scelte a caso da una lista di 7776 parole (la chiave è che sono trully casuali) hanno la stessa entropia di usare i numeri da 5 o 6 rotoli di 5 dadi

Se le lettere iniziali della frase danno una password abbastanza lunga da resistere a quasi tutti gli attacchi di forza bruta, a mio avviso l'utilizzo dell'intera frase può effettivamente ridurre la sicurezza della password. Le mie ragioni sono:

1. La password potrebbe essere troncata, nel peggiore dei casi che conosco risultante in 8 caratteri con bassa entropia dell'inglese.

2. Gli osservatori avranno più possibilità di osservarti con successo mentre digiti la password. A causa della ridondanza di Englisch, le singole chiavi mancate nell'osservazione vengono facilmente corrette. Se sei come me, inserirai anche la tua password erroneamente più spesso a causa della lunghezza pura. Ciò produce nuovamente delle osservazioni bonus per l'attaccante.

3. Questo è inverosimile, ma comunque: l'autore dell'attacco potrebbe essere qualcuno che è stato in grado di osservarti mentre scrivevi non-password per molto tempo. Ora può conoscere il ritmo con cui scrivi le parole di Englisch. Non può conoscere il ritmo di una password apparentemente casuale, dato che non lo si digiterà in un contesto non sicuro (cioè senza password). Quindi, usare frasi inglesi potrebbe rendere possibile un attacco usando solo un microfono. O forse, solo osservare i tempi dei pacchetti di rete che trasportano la tua password potrebbe essere sufficiente ora. Questo è più difficile dell'uso di un microfono a causa di cose come l'algoritmo di Nagle in TCP e la necessità di una sorta di capacità di intercettazione della rete. Potrebbe persino essere impossibile che la password venga trasmessa interamente o, come raccomandato, un hash.

L'entropia della password e la complessità dello spazio delle chiavi sono davvero interessanti da calcolare e sono utili per comprendere la probabile durata della sopravvivenza dell'hash della password sotto un attacco di forza bruta. Mentre quello è solo un tipo di attacco, e l'entropia è solo un aspetto di ciò che può o non può essere una password "strong", merita di essere esplorata. Qui ci sono un paio di calcoli che ho fatto di recente. Full disclosure: il seguente viene dal mio blog, quindi se i moderatori vogliono rifiutare questa risposta, non mi offenderò.

È strano pensare che una password in minuscolo di 7 caratteri sia migliore di un alfanumerico di 5 caratteri con la punteggiatura:

95^5 = 7,737,809,375
26^7 = 8,031,810,176

La password in maiuscolo a sette caratteri ha un numero leggermente maggiore di (294.000,801) caratteri. Ma se aumenti ciascun tipo di password di un altro carattere, la password in minuscolo ha circa 3 volte e mezzo meno caratteri.

95^6 = 735,091,890,625
26^8 = 208,827,064,576

Mi chiedo se vanno avanti e indietro in questo modo mentre aggiungi più caratteri alle tue password. Mi chiedo se i tempi dell'hash cracking siano corrispondenti a questo.

(Numero del set universale di caratteri password) ^ (lunghezza della password) non sempre è uguale a combinazioni possibili

Perché la sicurezza delle password è strongmente influenzata dagli algoritmi relativi alla password.

Ad esempio, il sistema operativo Windows memorizza le password con meno di 14 caratteri con l'algoritmo hash LM. L'algoritmo hash LM supporta ogni password utente di meno di 14 caratteri con caratteri null per estenderne la lunghezza. Quindi il risultato viene suddiviso in due parti di 7 caratteri, ciascuna delle quali viene crittografata separatamente. Insieme a un valore di parità prevedibile, i risultati vengono sottoposti a hash, concatenati e archiviati. Quindi dal punto di vista degli attaccanti le peggiori combinazioni possibili sono: (Numero del set universale di caratteri password) ^ (lunghezza password) / 2 + (numero di caratteri universali di caratteri password) ^ (lunghezza password) / 2

Che è molto meno del calcolo sopra. Spero che questo ti dia un altro punto di vista quando decidere una password è abbastanza strong o meno.

L'uso di una frase anziché di una singola parola è una passphrase e, poiché sarà più lunga di una password, è intrinsecamente più difficile da decifrare di una password da una prospettiva a forza bruta. MA , senza aggiungere complessità, non sono così forti come si potrebbe pensare che tutto ciò che un utente malintenzionato deve fare è utilizzare le parole come blocchi di costruzione anziché lettere. Prendi la password Kafka57 * come esempio. È complesso e ha 8 caratteri. Quindi prendi la passphrase "kafka ha scritto alcuni grandi spettacoli ma strani", che è di 42 caratteri in 7 parole separati da spazi. Potrebbe sembrare più strong, ma lo considererei più debole della password di 8 caratteri in alcuni modi:

• Si basa sulle parole del dizionario. Se un utente malintenzionato presuppone che la passphrase sia strutturata in questo modo, è semplice costruire una tabella arcobaleno basata su lunghe stringhe di parole del dizionario. OK, il dizionario inglese è molto più grande di un set di caratteri, quindi ci sono più possibilità, ma sospetto strongmente che un utente malintenzionato possa utilizzare un dizionario di 500 parole con grande successo.
• È una bassa complessità. Senza la complessità dell'insieme di caratteri, un utente malintenzionato potrebbe utilizzare parole di dizionario semplici.
• Segue uno schema prevedibile. È tutto minuscolo e separato da spazi

Non sto dicendo che sarebbe banale infrangere la passphrase, certamente non lo sarebbe, ma ci sono modi per renderlo molto, molto più difficile. È necessario utilizzare un separatore di parole non standard o no e aumentare il set di caratteri. Svolta "kafka ha scritto alcuni grandi spettacoli ma strani" in "Kafk4_wr0t35umGr8 suona ma * str4ng3" e hai qualcosa di veramente complesso ed estremamente strong, ma complicato da digitare. Qualcosa come "Kafka wr0t Gr8-pl4yz!" è una buona via di mezzo in quanto è complessa, non ha uno schema evidente ed è ragionevolmente facile da ricordare e da digitare.