Come determinare come cambia l'entropia quando si usano lettere maiuscole, numeri e caratteri speciali in una passphrase basata su un dizionario?

2

Conosco la matematica generale dietro l'utilizzo di passwords / passphrase basate su caratteri e dizionario e su come determinare l'entropia del risultato. Ma non sono chiaro come aggiungere lettere maiuscole, numeri e altri caratteri o parole a una passphrase basata su dizionario cambia l'entropia.

Ad esempio, usando Diceware, una passphrase di sei parole mi dà 77,4 bit di entropia. Ma se ora dovessi fare delle semplici modifiche alla frase, come usare alcune lettere maiuscole, aggiungere numeri o altri simboli, come questo influenza l'entropia? (Non so nemmeno se le lettere maiuscole contano visto che si tratta dello stesso dizionario di parole.) Potrei ottenere 77 bit di entropia usando solo una passphrase di cinque parole e aggiungendo alcuni numeri e simboli?

Allo stesso modo, cosa succede se aggiungo una parola al di fuori del dizionario? Questo semplicemente rende il dizionario una parola più grande e, quindi, non cambia davvero l'entropia?

Grazie

    
posta William Kelley 16.09.2017 - 03:58
fonte

1 risposta

3

Da quanto tempo:

  • apporta tali modifiche in modo casuale o globale (ad esempio, capitalizzando la parola ogni );
  • aggiungi tutto delle parole risultanti al tuo dizionario; e
  • continui a selezionare le parole in modo casuale per le tue passphrase

... quindi la tua entropia aumenta semplicemente con il numero di parole.

Ma se stai facendo qualcosa di non casuale e non globale per trasformare il testo, allora stai aggiungendo complessità per cui la sua entropia rigorosa di Shannon è molto meno rilevante della sua entropia del "mondo reale" (quanto è difficile da decifrare). Questo perché la tua resistenza al cracking dipenderebbe esclusivamente dalla oscurità del tuo metodo, che violerebbe Principio di Kerckhoffs e pertanto non è raccomandato.

Secondo me, stai molto meglio aggiungendo una parola alla passphrase, o aumentando la dimensione del dizionario (cosa che potresti sicuramente fare modificando le parole come hai suggerito, a patto che sia casuale o globale).

Personalmente, non faccio altro che capitalizzare, aggiungere numeri, aggiungere punteggiatura, ecc. alle mie passphrase per soddisfare i requisiti di complessità ingenua, e non contarli in alcun modo verso l'entropia efficace. Cercare di farlo a caso li rende troppo difficili da ricordare (che è il punto cruciale di una passphrase), quindi in realtà ho un metodo (aggiungi la prima lettera e poi aggiungi "2" e "!" Alla fine).

E dal momento che non faccio affidamento su quelle modifiche per aumentare l'entropia, non sono timido nel rivelare pubblicamente il metodo. Kerkhoffs sarebbe orgoglioso. ;)

    
risposta data 16.09.2017 - 08:13
fonte

Leggi altre domande sui tag