it-swarm-tr.com

Parola gücü denetleyicisi ne kadar güvenilirdir?

Microsoft'tan buradaki aracı test ettim . "Bu akşam öğle yemeği yiyeceğim" gibi bir parola için, araç gücünü "EN İYİ" ve "th1 $ .v4l" gibi bir parola için "Orta" olarak derecelendirir.

Şifre uzunluğunun gerçekten ne kadar önemli olduğunu merak ediyorum. Bu durumda, ilk şifre araçlarına göre daha iyidir, ancak gerçekten daha mı iyidir? Sözlük kelimelerine dayanır ve boşlukların yanı sıra sayıların ve diğer karakterlerin birleşimi yoktur ve çatlaması çok kolay görünüyor (kaba kuvvet dikkate alınmadan).

Bu alet gerçek güç yerine uzunluğa öncelik veriyor mu?

74
iijj

"Kaba kuvvet düşünülmüyor" - tam olarak bu araçların ölçtüğü şey bu.
Açıkçası sosyal mühendisliği denemiyorlar ya da kullanıcının ilk kız arkadaşının köpeğinin doğum günü olup olmadığını keşfetmeye çalışıyorlar. Saldırgan bunu biliyor olabilir, ancak bu araçlar bilmiyor.

Ölçtükleri şey, bir kaba kuvvetlendirme aracının onu kırması için zorluktur. Üretim yönteminin bir özelliği olan parolanın entropisi bile, doğru parolayı başarılı bir şekilde bulmak için bir bruteforcing aracının ne kadar süreceğini tahmin eder.
Açıkçası, entropinin bunun üzerinde bir etkisi vardır, ancak karakter başına entropi değil, sadece toplam entropidir. Yani evet, her karakter için bir çok eşit olasılıklı seçeneğe sahip olmak entropiye katkıda bulunur, ancak uzunluk, karakter başına entropiyi karaktere göre daha yüksek bir güce yükselterek bir parolanın kırılmaz hale getirilmesinde daha da önemli bir rol oynayabilir. Miktar. Bu önemli olan tek şey total entropy demektir.

Yani, sizin durumunuzda - evet, 32 karakterli, yalnızca alfa parolası 8 karakterli noktalama işaretinden çok daha güçlüdür.


Burada biraz matematik yapmaya çalışacağım: (lütfen yanlış olduğumda beni düzeltin):

Standart ABD tarzı klavyeyi varsayarsak, yazdırılabilecek 85 olası karakter vardır (muhtemelen birkaç tane daha kazıyabilirsiniz, ancak şimdilik bunu başlatalım): küçük harfler + büyük harfler + rakamlar + standart noktalama işaretleri + boşluk.
Bu karakter başına ~ 6,3 bit güç verir; 8 karakter uzunluğunda parola size ~ 50.4 bit güç verir.
Not gerçekten çok güçlü ... Birkaç "özel" karakter daha atarsak bile, bunu çok fazla geliştiremezsiniz.

Şimdi, 32 karakteriniz için sadece alfa şifresi ...
Sadece küçük ve büyük harfleri varsayalım (hiç kullanmamış olsanız bile) artı bir boşluk (U + 32). Rakamlar bile değil ...
Bu size 54 olası karakter, karakter başına ~ 5.8 bit verir. 32 karakter uzunluğunda, 185 bitten fazla güç. Önemli ölçüde daha güçlü. Ve bu, "basit" şifre şemalarında bile genellikle kabul edilen rakamlar olmadan bile.


Bruce Schneier genellikle uzun, unutulmaz parolalara geçmenin kısa, rastgele garip görünümlü parolalardan çok daha güvenli olacağını anlatıyor.
Şimdi nedenini görüyorsun.

60
AviD

Parola sözlük sözcükleri kullandığından, kırılmanın kaba zorla zorlanması gereken bir şeyden daha kolay olabileceğinden endişeleniyorsunuz.

tl; dr: Bu geçerli bir teorik endişe, ama şu anda pratik bir endişe değil.

"Bu akşam öğle yemeği yiyeceğim" İngilizce dilinde en yaygın 5000 kelimeyi kullanan beş kelimelik bir kelime öbeğidir. Saf bir şekilde tahmin etmek, 5000 harfli bir alfabe içinde 5 harfli bir parola, 3x10 ^ 18 olasılıkları tahmin etmek izomorfiktir. Bu, büyük ve küçük harf, sayı ve sembol kullanan 10 karakterlik bir şifre ile hemen hemen aynıdır.

Tabii ki, yeterince akıllı bir çatlama programı bunu önemli ölçüde azaltabilir. Cümle standart İngiliz nesiridir, bu da bilgi entropi oranı yaklaşık harf başına 1 bit olduğu gibi katı kurallara uyar. Bu, ifadenizin 33 bit entropiye sahip olduğu anlamına gelir, bu da 5 yazdırılabilir ASCII karakterlik mükemmel rastgele bir şifre kadar karmaşık hale getirir).

Bu çok karmaşık değil.

Bununla birlikte, bu karmaşıklık eksikliğinden yararlanmak için, markov zincir modellemesi gibi bir şeyi GPGPU işleme için çekirdeklere optimize edebilecek özel bir "İngiliz parola krakeri" gerekir. Bildiğim kadarıyla, şu anda böyle bir şey bile geliştirilmiyor. Dolayısıyla, bu yazılımı oluşturmak için kaynakları olan biri parolanızı istemiyorsa, bir süre güvende olmalısınız.

17
user502

Entropi ölçmek için garip bir şey.

NIST Özel Yayını 800-63, Elektronik Kimlik Doğrulama Kılavuz şifre gücünü tahmin etmek için kılavuzlar içerir:

Entropi, bir parolanın kullanıcı tarafından seçilmesine veya rastgele oluşturulmasına bağlı olarak büyük ölçüde değişir. İstatistiksel olarak, bir kullanıcı tarafından seçilen bir şifrenin ilk karakterini tahmin etmek zordur, ancak ikincisini tahmin etmek daha kolay ve üçüncüsü henüz daha kolaydır. NIST yönergeleri, standart klavyelerde bulunan 94 karakteri kullanırken ilk karaktere 4 bit entropi verir, ancak sonraki yedi karakterin her biri için yalnızca 2 bit vb.

Rastgele seçilen şifreler desen göstermez, bu nedenle her karakter yaklaşık 6,6 bitlik aynı entropi seviyesini taşır.

Bu, kullanıcı tarafından seçilen sekiz karakterlik bir parolanın 18 bit entropiye sahip olduğu, aynı uzunlukta rastgele bir parolanın yaklaşık 52.7 bite sahip olduğu anlamına gelir.

Diğer bir deyişle, şifremin ilk 3 karakterini belirleyebiliyorsanız

Huşu

Sonra bir sonraki karakterin s olma ihtimali * Olduğundan çok daha yüksektir.

Yani bir şifre karakterinin herhangi bir karakter olabileceğini söylediğimizde, bu gerçekten doğru değildir; çoğu insan, içinde güçlü kalıplara sahip olan kelimeleri kullanır ve aşağıdaki karakterlerin olası kümesini dolaylı olarak azaltır - böylece daha düşük entropi (rastgele) ile bir parola üretir.

15
Jeff Atwood

"Bu gece öğle yemeği yiyeceğim" sözlüğünün savunmasız olduğundan nasıl emin değilim, bu yedi kelimelik bir ifade. "Th1 $ .v4l" bir karakter birleştirmesi ve karakter değiştirme yerine şifre krakerlerin sonsuza kadar göründüğünden beri uğraştığı bir şeydir.

Birkaç şifre testçisi, "this.val" şifrenizi ayıklamak için küçük bir kural tabanına sahip cracklib + ajax benzeri testler kullanır.

14
hpavc

Parola gücü denetleyicilerinin güvenilirlik sorusu da genel olarak denetleyicinin güvenlik sorusuna kadar uzanır. Çevrimiçi şifre gücü ölçerlerin çoğalmasını görmek korkutucu. Gereksiz yere internetteki bazı sitelere şifrenizi ifşa ediyorsunuz! Şifre kontrolü için yerel uygulamalar bile hain olabilir. Sitenin javascript kullandığı ve şifreyi hiçbir zaman İnternet üzerinden aktarmadığı iddialarına güvenilemez. Bazı şifre gücü test siteleri, sadece sizin için toplayabilecekleri diğer bilgilerle birlikte bunları sözlüklerine ekleyen siyah şapkalar tarafından işletilmektedir. Diğer siteler, iyi niyetli, ancak savunmasız bir sunucu veya https eksikliği gibi kötü uygulamalara sahip kişiler tarafından yönetilir. Ve yine de diğerleri, siteyi açıklamaya zorlama yolları olan "yetkililerin" saldırılarına karşı savunmasızdır. belirli IP adresi aralıkları tarafından gönderilen şifreler.

Böyle bir siteyi kullanan herkesin gerçekten kullanmak istedikleri bir şifreyi asla göndermemesi gerektiğini öneririm.

8
nealmcb

Kaba kuvvet saldırılarına karşı savunmaya çalışırken uzunluk neredeyse her şeydir.

Temel şifre kırıcıları bile 1337-konuşan stil değiştirmelerine izin verir, bu nedenle örneğinizde bir 7 Word parolasını 2 Word parolasıyla etkili bir şekilde karşılaştırıyorsunuz.

Uzun parolalarınız olduğu sürece (uzun tanımın ihtiyaçlarınıza bağlı olarak değişebileceği, ancak Rainbow masa saldırısının olasılığını en aza indirgemek için en az 13 karakterden fazla olması gerektiği) bir saldırganı diğer saldırı türlerini denemeye zorlarsınız sosyal mühendislik gibi; parolayı nereye yazdığınızı bulma; kedinizi rehin tutmak vb.

7
Rory Alsop

Teorik olarak, "şifre gücü ölçer" çalışamaz . Araç yalnızca şifre oluşturma işleminin sonucunu görürken, "güç" şifresi gerçekten sürecin bir özelliğidir. Ayrıntılar için bu cevap ve ardından bu cevap konusuna bakın.

Parola gücü ölçer uygulamasının size verebileceği en iyi şey, parolanızı kırmak için ne kadar zaman alacağıdır - başka bir deyişle, saldırganın tam olarak aynı kodu çalıştırdığını ve sizin hakkınızda daha fazla bir şey bilmediğini varsayar. Bu pratikte makul bir varsayım değildir: Saldırgan, size saldırdığında, özellikle peşinizden gelir. Güvenlik için bir şifre ölçere güvenmek, tüm saldırganların yetersiz olması için dua etmek gibidir: bu bir çeşit "inanç sıçraması" dır.

7
Thomas Pornin

Bu Microsoft aracı için Javascript'e bakıldığında, yalnızca sınırlı bir sözlük kelimesi listesi olduğu anlaşılıyor (Bkz. js file satırlarında 264. Satırlar), bu yüzden parolanızın neden daha yüksek bir derece aldığını açıklayabilir belki de olması gerekenden daha fazla.

Şahsen tavsiye ederim bu şifre gücü test cihazı şifrenizi oluşturan unsurların iyi bir dökümünü verir ve size nasıl geliştirilebileceğini söyler. % 56'da "i bu gece öğle yemeği yiyeceğim" şifrenizi ve% 74'te ikinci şifreniz "th1 $ .v4l" oranını daha gerçekçi görünüyor.

Ancak, bu araç hiçbir kelime listesi kullanmaz - parolanız sadece küçük harf olduğu için işaretlenirken, "bu akşam öğle yemeği yiyeceğim!" % 98 alır. % Yaş derecelendirmelerinin ne kadar yararlı olduğuna dair kendi sonuçlarınızı çıkarabilirsiniz.

Çatlama zamanı kontrolünde uzunluk üzerindeki etki ile ilgili olarak bu makale . Bununla birlikte, 2009'da geri dönüş yolunun ve GPGPU tabanlı şifre kırıcıların artık 500 $ GPU'lu tek bir oyun/iş istasyonu bilgisayarında 10 ^ 9/sn (makaledeki "F sınıfı" saldırı düzeyi) yönetebileceğini unutmayın. kartı.

5
Mark Davidson

Son zamanlarda gazetede bir çizgi roman gördüm. Ya da belki çevrimiçi bir çizgi romanın dijital kopyasıydı, hatırlamıyorum.

Bu tartışmayı resmetti. Ve şimdi size konuyu açıklayacağım:

Bir şifrenin kısa olması, "th1 $ .v4l" örneğinde olduğu gibi tahmin etmenin kolay olduğu anlamına gelmez. Ancak bir şifre uzun olduğu için "bu akşam öğle yemeği yiyeceğim" durumunda olduğu gibi tahmin edilmesi de kolay değildir.

Mesele şu ki, ciddi bir insan korsanı orada oturup şifrenizi tahmin etmeyecek. Sözlük kelimeleri kullanabilirler, ancak bu sözlükler olası her cümleyi içermez. Sadece kelimeler.

Hayır, bilgisayar korsanlarının yaptığı şey (tipik bir WORDS sözlüğü tükettiğinde), genellikle bilgisayarın olası her kombinasyondan sistematik olarak geçmesini sağlamaktır. Sonuna başlıyor. Eğer bu yolda zorlanırlarsa, şifre ne kadar kısa olursa o kadar kötü olur. Daha uzun, daha iyi. Basamak veya sembol olup olmadığına bakılmaksızın. Rakamlar ve semboller sadece hatırlayan ve tahmin eden insanlar için önemlidir. Bir bilgisayar için bunlar aynı şeydir ... 1'ler ve 0'lar dizisi ... ve hiç fark etmez.

Kendine bir iyilik yap. Uzun ama basit tutun. Kısa ve karmaşık bir hacker zamanına mal olabilir, ancak uzun ve basit aynı şeyi yapar. Soru şu ki, hatırlaması kolay veya hatırlaması zor bir şifre mi istiyorsunuz?

4

Şifre gücü yalnızca yalnızsınız veya şifrelerinizi nasıl oluşturduğunuzu söylerseniz başka biri tarafından tahmin edilebilir. Örneğin, 50 karakterlik bir set kullanan rastgele bir şifre oluşturucu kullanırsam ve şifrem 8 karakter uzunluğundaysa, şifrem yaklaşık 3.9 × 10 arasında 1 olur13 veya 245. Çince Pinyin tabanlı parolalar kullanırsam ve parolam 4 kelimeden oluşan bir ifadeyse, her Kelime olası bir 2.050 dışında , parolam 1.8 × 1013. Bir Çince karakterin ortalama Pinyin romanizasyonu yaklaşık 3-4 karakter uzunluğundadır ve 16 karakterlik bir "4-Word" şifresi oluşturur. Yine de, bu Pinyin şifresi 50 karakter kümesinden üretilen 8 karakterlik şifreden daha zayıftır.

Bir saldırgan, bir şifrenin nasıl oluşturulduğunu bilirse (diyelim ki birkaç güvensiz siteden çalınan düz metin şifrelerini inceleyerek), kaba kuvvet zorluğunu azaltmak için çok ! Artık klavyenizdeki tüm olası karakterleri kullanmadığınızı bildikleri için, imkansız kombinasyonları ortadan kaldırabilir ve zamandan tasarruf edebilirler.

Bir dahaki sefere şifre oluşturduğunuzda, bir şifre oluşturmak için kullandığınız algoritmayı/yöntemi düşünün. 72 karakterlik bir kümeden 21 karakterlik bir şifre oluşturmak için Password Safe kullanma ([email protected]#$%^&<>/~\?abcdefghijkmnopqrstuvwxyzandABCDEFGHJKLMNPQRTUVWXY346789), yaklaşık 1.0 × 10 elde edersiniz39 olası kombinasyonlar veya 130 bit güvenlik.

3
Kevin Li

Tüm şifre gücü denetleyicisi araçları, kaba kuvvet ve sözlük saldırısı kullanarak parolayı bulmak için ne kadar çaba sarf edeceğini doğrular.

her iki şifrenin sonuçlarını burada karşılaştırırsanız.

http://www.passwordmeter.com/

"th1 $ .v4l"

% 74 ile güçlü şifre

"Bu akşam öğle yemeği yiyeceğim"

İyi şifre 56%

bu parolanın kaba kuvvet kullanarak kırılması daha az zaman alacaktır.

3
mr_eclair

Bir parolanın gücünü, zorluğu veya kırılma olasılığı olarak tanımlarsanız, neredeyse sezgisel olarak, bir parolanın gücü, hatırlanması zorluğundan daha uzun bir işlevdir.

Potansiyel bir saldırgan şifreniz hakkında hiçbir şey bilmiyorsa ve sadece şifrenizi kırmak için kaba kuvvet kullanabiliyorsa, hatırlanması çok daha kolay olan daha uzun bir şifre

"bu akşam öğle yemeği yiyeceğim"

çatlamaktan daha fazla zaman alacak

"Th1 $ .v4l"

çünkü saldırganın şifreyi kırmak için doğru tahmin etmesi gereken daha fazla karakter olduğundan. Daha uzun parolalar, tüketmek için daha geniş bir arama alanı sunar, iğnenize (parolanıza) gizlemek için çok daha büyük bir samanlık verin.

3
Daniel Miladinov

Şifre gücü denetleyicileri, kural olarak, çok güvenilir değildir. Saldırganların yalnızca sadece karakterlerin her olası kombinasyonunu deneyerek parolanızı tahmin etmeye çalışacağını ve uygulamada nadiren doğru olduğunu varsayarak aşırı basit hesaplamalara güvenme eğilimindedirler.

Gerçekte, motive olmuş bir saldırgan, parolanızı tahmin etmek için her türlü parola gücü denetleyicisinin dikkate almak için programlanamayacağı her türlü farklı stratejiyi ortaya çıkarabilir.

Örneğin, "! QAZXSW @ # EDC" şifresi, standart bir İngilizce klavyede çok basit bir tuş desenine basarak yazdığımı fark edene kadar oldukça rastgele görünebilir. Klavye düzeni tabanlı parolaları tahmin etmek için tasarlanmış bir program kullanan bir saldırgan, böyle bir parolayı dakikalar içinde kolayca çözebilir. (Ve gerçekten, Pwned's Pwned Passwords Checker , bu tam şifrenin zaten birkaç kez kullanıldığını ve kırıldığını gösterir.) Benzer şekilde, "bu gece öğle yemeği yiyeceğim" tipik olarak güçlü görünebilir şifre gücü denetleyicisi, ancak kolayca yaygın İngilizce cümleler tahmin etmek için tasarlanmış bir program kullanarak bir saldırgan tarafından çatlak olabilir.

Bu tür bir şeyde diğerlerinden daha iyi şifre gücü denetleyicisi vardır ( ZXCVBN , örneğin, Yukarıda verdiğim klavye desenine dayalı şifreyi algılayabilir ve daha gerçekçi bir güç tahmini verebilir) ancak sonuçta bir şifrenin sadece şifrenin kendisini analiz ederek ne kadar güçlü olduğunu söylemek her zaman mümkün değildir . Kullandığınız parola gücü denetleyicisinin parolanızı seçmek için hangi yöntemi kullandığınızı tahmin edememesi, parolanızı tahmin etmeye çalışan bir saldırganın olmayacağını varsaymak güvenli değildir. Bu varsayım "belirsiz güvenlik" olarak bilinir ve bilgi güvenliği topluluğuna güvenmek kötü bir uygulama olarak kabul edilir.

Peki bunun yerine ne yapmalısın? Şifrelerinizi rastgele , tercihen zar gibi rastgele insan kaynağıyla zayıflayamayacağınız bir rastgele kaynak seçin. Bu şekilde, saldırganın şifrenizi nasıl oluşturduğunuzu tam olarak bildiğini varsaysanız bile, şifrenizi doğru tahmin etmeden önce saldırganın kaç tahmin yapması gerektiğini kolayca hesaplayabilirsiniz.

Diceware , şifre oluşturmak için böyle bir yöntemin iyi bir örneğidir. Dört rastgele Diceware kelime 7776 alacak4/ 2 = ~ 1.83 katrilyon, parolanızı seçtiğiniz sözcüklerin tam kelimelerini tam olarak bilseler bile tahmin edebilecekleri ortalama tahminlerdir. Bir şifre yöneticisi tarafından oluşturulan şifreler benzer nedenlerle güçlüdür.

Parolaların güvenli bir şekilde nasıl seçileceği hakkında daha fazla bilgi için Thomas Pornin'in cevabı 'ı, parola entropisinde ve nasıl hesaplanacağında ayrıntılı olarak geçen "XKCD # 936: Kısa karmaşık parola mı yoksa uzun sözlük parolası mı?" rastgele oluşturulmuş bir parolanın gücü.

1
Ajedi32