La forza passphrase aumenta con questa strategia?

2

Ho letto un po 'di forza e debolezza delle passphrase. Prenderò questa risposta come esempio.

La TTT dice, tra gli altri punti:

Although there are hundreds of thousands of words in the English language, we (probably) only need to try brute-forcing passphrases using the set of the most common words. We'll assume there are 3000 words in that set.

Che porta a un'entropia (corretta?) di

3000^7 = 2.2 * 10^24

Questo rende (generalmente comprensibile) l'ipotesi che la passphrase sia in inglese.

La mia domanda è: rimuovere quell'ipotesi, cioè che ogni parola proviene da una lingua diversa, e che non ho necessariamente bisogno di parlare quella lingua per ricordare come si scrive una (o due) parola (e) [*], come si calcola l'entropia di una tale passphrase e si stima se la resistenza della passphrase è vantaggiosa?

[*]: questo è per rimuovere il possibile inconveniente di ridurre lo spazio delle lingue conoscendo il target, cioè "So che parlano solo inglese e spagnolo, quindi la passphrase può contenere solo quelle due lingue"

    
posta Federico 31.07.2018 - 12:29
fonte

2 risposte

2

Vedi Principio di Kerckhoffs / Maxim di Shannon . È molto difficile stimare con precisione se un utente malintenzionato conoscerà o indovina l'elenco di parole che usi, quindi per ottenere un limite inferiore preciso sull'entropia della passphrase si presuppone semplicemente che sappiano esattamente come hai creato la passphrase.

Se supponiamo che sappiano che stai creando una passphrase scegliendo le parole in modo casuale da un elenco e che conoscono quell'elenco, è chiaro che includere parole da lingue diverse non ha molta importanza. Ciò che conta è la dimensione della lista e quante parole ne prendi a caso. Un elenco di 2.000 parole inglesi e 2.000 parole spagnole produrrà passphrase della stessa forza di un elenco di 4.000 parole inglesi.

Potrebbe essere che, in pratica, ciò renderà più difficile per l'attaccante, ma è difficile dire da quanto. Usare parole da più lingue è una delle idee più comuni per "rafforzare" le passphrase, quindi potrebbe anche essere che non compia molte cose. È più utile sapere che "occorrerà che un hacker almeno X supponga di avere Y% di possibilità di trovare la mia frase di accesso" di "Penso che questa passphrase sia piuttosto strong ".

    
risposta data 31.07.2018 - 16:55
fonte
0

Le passphrase, come le password, richiedono una forza che corrisponda alla cosa che stai cercando di proteggere. Idealmente si calcola l'entropia e si ha una certa conoscenza degli attacchi di forza bruta / indovinare possibili. Ad esempio, in modalità di passaggio con una funzione di derivazione della chiave basata su password decente, è possibile utilizzare password moderatamente forti. In un'app web che utilizza md5 e ha scaricato il DB, avrai bisogno di molta più entropia.

Se prendi 5 parole casuali da tutte le lingue (ad esempio 100 000 parole). Avrai bisogno di 100.000 ^ 5 ipotesi. Se scegli 5 parole su 3000 parole inglesi, finirai solo con 3000 ^ 5 ipotesi.

Se si aggiunge maiuscole e l33tspeak, la complessità aumenta ulteriormente. Troy Hunt ha alcuni ottimi blog su questo argomento.

    
risposta data 31.07.2018 - 16:44
fonte

Leggi altre domande sui tag