Quanti bit di entropia dovrei mirare alla mia password? [chiuso]

Naviga le tue risposte
13

Uso principalmente 2 password: 1 è una passphrase in lettere minuscole di 4 parole di lunghezza pari a 18 lettere, che utilizzo ovunque possibile. L'altro è fondamentalmente 3 parole e una cifra con la prima parola in lettere maiuscole e solo 14 cifre. Lo uso ogni volta che la prima passphrase non è valida a causa della lunghezza o dei vincoli dei set di caratteri. le parole sono abbastanza comuni (le prime 5000 parole sui programmi TV più diffusi).

Ho calcolato l'entropia per entrambe le password utilizzando il link . l'entropia per entrambe le password è circa uguale a 68 bit, da dare o da prendere a metà. Uso principalmente queste password per questioni relative ai giochi (account MMO, client desktop, forum). Non uso queste password per i dati finanziari, a parte 2 account paypal vuoti e un estratto conto della carta di credito prepagata di sola lettura.

Non so quanto siano validi questi numeri di entropia, ma a giudicare da questi parametri, queste password sono abbastanza sicure per il loro scopo? E qual è la linea guida generale per l'entropia della password per scopi diversi?

    
posta Nzall 04.04.2014 - 10:50
fonte

2 risposte

23

I contatori di password non vanno bene. Bene, è un po 'semplicistico, quindi lasciatemelo dire più dettagliatamente: un'applicazione "password meter" come quella che hai usato è senza senso e generica; ciò che misura è lo sforzo di infrangere la tua password, usando la strategia priva di senso e generica che l'autore del misuratore di password ha pensato. In particolare, quel sistema di misuratori di password non ha idea che le password siano state generate assemblando parole prese casualmente da una breve lista. Tuttavia, un utente malintenzionato intenzionato a violare la tua password lo saprà e si adatterà: l'hai appena scritto su un forum pubblico, quindi è diventato di pubblico dominio.

Un calcolo entropia corretto non funziona sul valore della password effettiva, ma sul processo da cui è stata generata la password. Assumiamo semplicemente che l'attaccante sia a conoscenza del processo e che lo sappia tutto tranne le scelte casuali effettive. Con 4 parole da un elenco di 5000, si ottiene una password in un set di 5000 4 con probabilità di selezione uniforme (questo è un presupposto importante), quindi l'entropia qui è 49,15 bit (perché 2 49.15 è approssimativamente uguale a 5000 4 ). Con 3 parole ottieni 36,86 bit. Per ulteriori informazioni sul calcolo dell'entropia, vedi questo rispondere .

(La saggezza di inserire la password in un "misuratore di password" basato sul Web è anch'essa discutibile. Quello che colleghi a afferma che fa tutti i calcoli in Javascript e la tua password no lascia il tuo browser, ma hai davvero controllato la fonte Javascript per assicurartene?)

Per quanto riguarda le password, 36,86 bit di entropia sono piuttosto buoni. L'entropia delle password selezionate dagli utenti medi è molto più bassa di quella. Una tale password sarà interrotta da un utente malintenzionato che ha ottenuto l'hash corrispondente SE l'hash non è stato eseguito correttamente (ad esempio, alcune costruzioni fatte in casa con un paio di invocazioni SHA-1), ma anche in questo caso è probabile che altre gli utenti cadranno per primi.

Tuttavia , stai facendo qualcosa di veramente sbagliato. È proprio lì, nella tua prima frase:

I mainly use 2 passwords: 1 is a 4 word full lowercase passphrase of 18 letters long which I use wherever possible.

L'enfasi è mia; mostra il problema. Stai riutilizzando le password. Non va bene. Non devi riutilizzare le password. Quando usi la stessa password su N siti, abbassi la sicurezza del tuo account su tutti siti al livello fornito dal peggiore dei N . Inoltre, quando quel sito viene violato e la password viene rubata e la tua password viene visualizzata sugli elenchi di login + password scambiati su reti P2P, non saprai quale sito ha sbagliato. Molti siti archiviano ancora password in chiaro (un reato di sparatoria), pertanto è necessario ritenere che una password ampiamente riutilizzata sia già trapelata.

Se si utilizzano password specifiche del sito, qualsiasi danno sarà contenuto nel colpevole specifico. Ovviamente, ciò implica un sistema di archiviazione dalla tua parte, ad es. KeePass , o un file "passwords.txt" a bassa tecnologia (devi occuparti di dove lo memorizzi e usarlo, ma ciò può essere gestito con una sicurezza fisica decente) o persino una lista stampata che si tiene nel portafoglio. In pratica , la separazione delle password per il contenimento dei danni sarà molto più importante per la tua sicurezza rispetto all'entropia della password.

    
risposta data 04.04.2014 - 15:20
fonte
6

Misurare l'entropia di una passphrase è spesso complicato. Ad esempio, se segui le linee guida NIST per misurare l'entropia della password generata dall'uomo allora l'entropia di entrambe le password sarà ~ 33 bit.

Direi che anche a 33 bit questo è OK per gli scopi previsti, tuttavia, stai facendo una cosa molto male: dovresti MAI MAI riutilizzare una password. So che nel mondo digitale attuale è difficile da raggiungere, ma ci sono strumenti per aiutare (vedi ad esempio KeePass o 1password ). Adotta uno di questi strumenti in anticipo e ti salverà in futuro.

    
risposta data 04.04.2014 - 11:38
fonte

Leggi altre domande sui tag

Sono protetto da malware di esecuzione automatica USB su Windows 7? PCI-DSS: un'applicazione per server?