Passphrase: cos'è esattamente?

5

Bene, secondo Wikipedia, questa è una passphrase;

A passphrase is a sequence of words or other text used to control access to a computer system, program or data. A passphrase is similar to a password in usage, but is generally longer for added security (....).

Quindi potrei dire che il seguente è un passphrase (solo per esempio);

PerhapsThisIsAPassphraseButMaybeNotWellsee.

Se genero una password (?) con gpg;

$ gpg --gen-random -a 0 17
  fmmyY/aEufDdmvBlwTw6tPU=

Anche questo è considerato un passphrase? Quale è più sicuro al giorno d'oggi? Quando dovrei usarne uno sull'altro? La password gpg generata sarebbe più sicura della passphrase che ho citato? Se sì, perché?

Ad esempio, PGP richiede una passphrase (per la chiave master), quale sceglierei? La prima opzione? O il secondo?

    
posta seds 19.09.2015 - 02:56
fonte

4 risposte

8

Una "passphrase" è solo una password; il termine diverso è semplicemente un modo per suggerire che una password non consiste necessariamente in una singola parola come i linguisti li conoscono.

Una password (o passphrase) è esattamente sicura quanto casuale. Il gergo spesso citato in quel caso è entropy . Usare molte parole (una "frase") è un modo possibile per iniettare molta casualità, a scapito di avere più caratteri da digitare quando la password deve essere inserita. Si noti che casualità e lunghezza non sono la stessa cosa; una password più lunga non è necessariamente più casuale. Vedi questa domanda , in particolare questa risposta , per alcune discussioni su queste nozioni.

    
risposta data 19.09.2015 - 04:12
fonte
4

Le password e i passphrase sono termini per la stessa cosa, che è una chiave segreta fornita dall'utente.

Gli stessi termini moderni derivano da quando c'erano limiti sostanziali sul materiale chiave, e dovevano essere brevi, quindi la "password" sarebbe probabilmente una parola memorizzata dall'utente, di solito 8 caratteri o meno, e successivi sistemi e algoritmi aumentati il limite di caratteri. Questo perché le risorse di sistema erano limitate, 16384 byte di ROM, ad esempio, era l'intera capacità di archiviazione di Apple IIe senza un'unità floppy. 8 caratteri (6 bit) potevano essere usati come tasto DES, e quindi era il limite di algoritmi come crypt , che ha troncato qualsiasi carattere aggiuntivo oltre l'8.

La passphrase divenne un termine più comune in quanto i sistemi si sono evoluti per consentire più caratteri di input, come quelli basati su funzioni hash con input di lunghezza variabile, e più lettere sotto forma di più parole sono generalmente più facili da ricordare di una parola più lunga.

Con i tuoi esempi la maggior parte considererebbe la prima una passphrase e la seconda una password, dal momento che non è un gruppo di parole, ma piuttosto una stringa casuale codificata da testo stampabile. Il secondo è probabilmente più sicuro, nonostante sia più breve, a causa dei moderni algoritmi di cracking delle password che possono attraversare in modo efficiente gruppi di parole.

    
risposta data 19.09.2015 - 04:14
fonte
2

Le password e le pass-frasi fanno lo stesso lavoro. Entrambi sono pensati per essere memorizzati dagli umani e forniti al software / hardware di sicurezza al fine di ottenere l'accesso ad alcune strutture, sistemi o informazioni.

Le password sono in genere create da un piccolo sottoinsieme di caratteri stampabili.

Le frasi dei pass sono in genere create dalle parole del dizionario. Sono più lunghi in termini di caratteri, ma spesso più brevi in termini di numero di componenti selezionabili utilizzati. Il pool di parole disponibili (almeno decine di migliaia) è più grande del pool di caratteri disponibili (centinaia). Hanno il vantaggio di essere più facili da ricordare rispetto a una password di forza equivalente.

Misurare l'entropia è una parte essenziale del confronto tra l'efficacia e gli attacchi di forza bruta.

Vedi link

    
risposta data 19.09.2015 - 12:32
fonte
1

Prendi questa entità: " }[w)\#+aXkB2]Y" - è una password, una passphrase o qualcos'altro? È un account generato automaticamente" pass *** ", generato da uno strumento di gestione delle identità del tipo" Cyber Vault " .

Questo particolare meccanismo di protezione dell'account si sveglia semplicemente ogni mattina, interroga l'AD per i sistemi che sono stati registrati nelle ultime 24 ore, costringe il loro nome account "Amministratore" locale a diventare qualcosa di più criptico e impone loro un livello di complessità specifico . Pensi che un simile processo automatizzato si preoccupi di come un'entità umana lo definisce password o passphrase? Non è necessario.

Dopo tutto, questa "entità" può essere così brutta (basta guardarla), ma questo sguardo è davvero così bello per i miei occhi - tieni presente che questo scenario di lavoro si applica a oltre 5.000 server e (vicino a) 50.000 postazioni di lavoro, tutte con "pass ***" simile e tutte caratteristiche uniche.

    
risposta data 20.09.2015 - 05:41
fonte

Leggi altre domande sui tag