In che modo la password Tr0ub4dor & 3 ha ~ 28 bit di entropia? [duplicare]

Naviga le tue risposte
1

Rencent ho visto questo:

Nonriescoacapire,comecalcola28bitdientropiaperunapasswordcome"Tr0ub4dor & 3" sembra davvero poco ...

    
posta snoob dogg 10.08.2017 - 22:33
fonte

2 risposte

2

Modella la password come output di un algoritmo randomizzato simile a questo:

  1. Scegli una parola in modo uniforme a caso da un dizionario con 65.536 (= 16 bit) parole. (Supponiamo che il dizionario sia noto all'attaccante.)
  2. Lancia una moneta (= 1 bit); se esce testa, capovolgere la maiuscola della prima lettera della parola.
  3. Per ogni vocale della parola, lancia una moneta; se atterra teste, sostituire la vocale con la sua "sostituzione comune". Munroe sta semplificando qui assumendo che le parole nel dizionario abbiano tipicamente tre vocali (quindi otteniamo ~ 3 bit in totale).
  4. Seleziona un numero (~ 3 bit) e un simbolo di punteggiatura (~ 4 bit) a caso. Lancia una moneta (= 1 bit); se teste, aggiungi prima il numero alla password e il secondo al simbolo; se le code, aggiungerle nell'altro ordine.

L'entropia è una funzione delle scelte casuali fatte nell'algoritmo; lo si calcola identificando quali scelte casuali l'algoritmo rende, quante alternative sono disponibili per ogni scelta casuale e la probabilità relativa delle alternative. Ho annotato i numeri nei passaggi precedenti e, se li aggiungi, ottieni circa 28 bit in totale.

Puoi vedere che la procedura di Munroe non è affatto una scienza difficile, ma neanche una stima irragionevole. Sta praticando l'arte della stima rapida e sporca, che molto spesso dimostra nel suo lavoro - non necessariamente ottenendo il numero giusto, ma formando una rapida idea della sua grandezza approssimativa.

    
risposta data 11.08.2017 - 00:40
fonte
1

Ogni piccolo quadrato è un po 'di entropia che viene considerato.

  • 16 bit per la sola parola
  • 1 per la prima lettera: maiuscole o minuscole?
  • 1 per ogni sostituzione di O e 0, A e 4
  • 4 per l'utilizzo di un simbolo che non è così comune
  • 3 per l'utilizzo di un numero
  • 1 per l'ordine sconosciuto di simbolo + numero o numero + simbolo.

C'è qualche ragionamento a riguardo. Ad esempio, quando la password richiede un limite, quasi tutti mettono i maiuscoli nella prima lettera. Quindi non ne ottieni più di un po 'di entropia.

    
risposta data 10.08.2017 - 22:43
fonte

Leggi altre domande sui tag

Un honeypot può davvero deviare il danno all'attaccante? Come includere la politica HSTS nel pacchetto di risposte dns