Password entropia in parole povere

9

Entropia è un termine usato spesso in relazione alla sicurezza della password e agli attacchi di forza bruta, ma è un argomento che può ottenere complicato rapidamente . Qual è il modo migliore per descrivere l'entropia della password (che cos'è e come viene calcolata) in termini comprensibili per un laico?

    
posta jrdioko 29.08.2011 - 20:27
fonte

4 risposte

20

Non sono sicuro che ti possa essere d'aiuto, ma una volta sono riuscito a descrivere l'entropia di un bambino.

Dopo aver detto che l'entropia è una misura del caos nel sistema (per un gruppo di persone), un 12 (anno più o meno) ha detto di non capirmi. Ho risposto con "Beh, quando la tua stanza è disordinata, l'entropia è alta, ma quando pulisci la tua stanza, l'entropia è bassa, allora tutto è in ordine." Quindi, quando un ladro arriva nella tua stanza cercando di rubare i compiti, quando la stanza è pulita e l'entropia è bassa, lo troverà facilmente - di solito è sulla scrivania o nella borsa della scuola.Infica, quando la tua stanza è disordinata e i tuoi compiti sono in giro, il ladro non lo sa esattamente dove è e non può trovarlo rapidamente. Se l'entropia è abbastanza alta (diciamo collasso del tetto), è quasi impossibile trovarvi un pezzo di carta.

Alta entropia: trovare un ago in un pagliaio.

Nel gioco - Indovina chi sono, l'entropia dell'accattonaggio è molto alta, ma dopo poche domande entropia è sempre più bassa finché qualcuno non ha abbastanza informazioni per indovinare chi è la persona (o in sicurezza, dopo scie (ed errori ) e prove, per indovinare qual è la password).

    
risposta data 29.08.2011 - 21:45
fonte
7

La parte del profano viene dopo, ma prima, diventa scientifica.

Ho faticato a capire il concetto di entropia matematica, ma, fortunatamente per me, lavoro con un ingegnere. Quando gli ho chiesto di spiegarlo, mi ha indirizzato verso i grafici di due leggi: distribuzione uniforme e < a href="http://en.wikipedia.org/wiki/Normal_distribution"> distribuzione normale .

Conoscendo l'asse Y si descrive una misurazione della probabilità di indovinare la password, e l'asse X descrive il valore di ciò che la password è ... in una distribuzione uniforme ( vedi diagramma ), l'entropia è alta, perché non importa quale sia la password, la probabilità di indovinarlo è lo stesso valore (staticamente la stessa possibilità). In una distribuzione normale ( vedi schema ) , la probabilità di indovinare la password cambia ... ad esempio, sei ~ 70% probabilmente in grado di indovinare la password (sorta di).

Per il laico .... Dov'è Waldo / Wally?

Alta entropia:

  • Stai cercando di trovare Waldo identificando ciò che indossa.
  • Ti vengono assegnate 100 persone.
  • 100 di queste persone sono vestiti come Waldo, incluso Waldo.
  • Dov'è Waldo?

∴ Hai poche possibilità di identificare Waldo.

Entrata bassa:

  • Stai cercando di trovare Waldo identificando ciò che indossa.
  • Ti vengono assegnate 100 persone.
  • 33 di queste persone sono vestite come Mark, 33 sono vestiti come John, 33 sono vestiti come Tom, e 1 è vestito come Waldo (e è Waldo).
  • Dov'è Waldo?

∴ Hai una possibilità molto alta di identificare Waldo.

    
risposta data 23.09.2011 - 15:04
fonte
6

Salterei del tutto l'idea di entropia e parlo solo di quanto sarebbe difficile indovinare la password. Fondamentalmente, digli che l'entropia della password è una misura di quante password dovrebbe indovinare una persona prima di colpire la tua.

Una password come "password" o "123456" sarebbe praticamente la prima ipotesi di qualcuno. Una password come "6love" potrebbe essere nelle prime migliaia di ipotesi. Una password come "1974! JhT" richiederebbe miliardi di ipotesi.

    
risposta data 30.08.2011 - 00:43
fonte
5

Per una password, "entropia" è correlata a "indovinabilità". L'entropia bassa è più facile da indovinare, l'alta entropia è più difficile da indovinare.

L'aspetto principale è la casualità. Una password non casuale, come "secret", è facilmente intuibile. Una password casuale, come "8jh $ # F" è più difficile da indovinare.

Anche la lunghezza ha una parte. "Il segreto di un uomo della vita" non è molto più casuale del "segreto", ma la lunghezza aggiuntiva significa che è più difficile per un attacco di forza bruta spezzarsi, e quindi ha una migliore "entropia".

Quindi, per un laico: una buona password ha un'alta entropia, il che significa che è difficile indovinare, usa più tipi di carattere (simbolo del numero superiore-inferiore), e più a lungo è meglio.

    
risposta data 29.08.2011 - 20:43
fonte

Leggi altre domande sui tag