Passphrase vs. entropia della password

5

Da un po 'di tempo mi interessa il concetto di passphrase come alternativa potenzialmente più sicura per le password classiche. Il mio interesse derivava da una sensazione istintiva che le passphrase sarebbero state di un'entropia inferiore rispetto alle password date la loro natura.

Ecco la mia logica. Dalla mia ricerca su Google, la maggior parte dei post di tipo blog che un tipico utente di computer può leggere passphrase come una cosa sicura e persino un sito ha affermato che il software di cracking delle password esistente non è in grado di crackare le passphrase in quanto troppo lunghe. Preso alla lettera questo è vero, ma un semplice cambiamento nei dizionari che alimentano il tuo password cracker può risolverlo. Nondimeno, ecco la mia logica:

Password:

Gli utenti sono ora abituati all'idea che le password debbano essere complicate, usando la sostituzione di simboli e numeri e la lunghezza. Personalmente uso le password basate su parole di dizionario non comuni con sostituzioni di simboli e numeri casuali. Tecnicamente, un utente che sceglie una password di 8 caratteri (a caso) avrà una entropia della password di 94 ^ 8. Certo, la maggior parte delle persone non ha password veramente casuali, ma spiegherò perché penso che ciò si annullerà presto con un errore umano simile nelle passphrase. Questo è un numero enorme pazzo dal 94 ^ 8 = 6,1 x 10 ^ 15.

Frasi d'accesso:

Ovunque e in tutti coloro che ho visto parlare di passphrase abbiamo costantemente fornito esempi di tutte le lettere minuscole, senza simboli o frasi di numero come la classica striscia xkcd con "punto corretto della batteria del cavallo". Secondo Oxford Dictionary qui ci sono circa 170 000 parole attualmente utilizzate nel dizionario inglese. Supponendo che gli utenti scelgano in media una passphrase di tre parole (più sembra superare la pigrizia dell'utente), cioè un'entropia di 170000 ^ 3 = 4,9 x 10 ^ 15 che è circa il 20% di entropia inferiore rispetto alla password scelta a caso da 8 caratteri. Ora, prima di argomentare che nessuno usa password generate casualmente, sarà ugualmente raro che le persone scelgano parole totalmente casuali dal dizionario inglese. Invece, gli utenti useranno spesso detti comuni. Anche se le persone evitano i detti comuni, non sono un esperto di linguistica, ma ci sono opzioni limitate che possono seguire logicamente una parola in inglese, riducendo seriamente le possibili permutazioni usate nei passphrase.

Con questo in mente, sostengo che per lo meno la mancata conformità alla casualità nelle passphrase sarà uguale se non supererà l'incapacità di rispettare la casualità nella creazione di password in quanto gli utenti sono cullati in un falso senso di sicurezza con il concetto di passphrase.

Quindi presento la mia domanda formale, sto trascurando alcune considerazioni chiave qui o sono corretto e le passphrase sono davvero meno sicure se non solo ugualmente sicure come password e non sono un nuovo modo rivoluzionario per rendere la password / passphrase molto più difficile da indovinare?

    
posta dFrancisco 19.01.2018 - 21:58
fonte

1 risposta

7

Due punti generali.

In primo luogo, il vantaggio di Passphrases è che rendono più semplice per gli utenti generare entropia pur ricordando la loro chiave. Generare entropia attraverso caratteri randomizzati è difficile - e più è difficile qualcosa, meno persone lo faranno.

Il motivo per cui il fumetto di XKCD è così citato non è solo la matematica - è che le persone che non hanno visto il fumetto da anni possono ancora dirti quale sia la password. Questo è il punto del fumetto: che quei byte di entropia erano facili da ricordare per un umano.

In secondo luogo, potresti dare un'occhiata a:

link

Il momento clou principale? L'entropia della password media è 21,6. Aka, è fuori da un fattore di 2 miliardi dal tuo numero 94 ^ 8. La ragione? Gli utenti non scelgono caratteri ascii casuali. Non scelgono lettere casuali con maiuscole casuali. Non scelgono lettere a caso. Semplicemente scelgono una parola e la decorano.

Fondamentalmente, è più facile ottenere una persona pigra per generare entropia attraverso una passphrase di 15 caratteri piuttosto che farla generare entropia attraverso una password di 8 caratteri.

    
risposta data 19.01.2018 - 23:28
fonte

Leggi altre domande sui tag