Question:
Le NHS se trompe-t-il sur les mots de passe?
Robin Winslow
2016-10-07 01:31:03 UTC
view on stackexchange narkive permalink

Un médecin du NHS que je connais a récemment dû remplir son questionnaire de formation obligatoire en ligne, qui pose un tas de questions sur la pratique clinique, la sûreté et la sécurité. Ce même questionnaire aura été envoyé à tous les médecins de cette confiance NHS.

Le questionnaire comprenait la question suivante:

Laquelle des propositions suivantes rendrait le mot de passe le plus sûr ? Sélectionnez-en un:

a. 6 lettres, minuscules et majuscules comprises.
b. 10 lettres un mélange de majuscules et minuscules.
c. 7 caractères comprenant un mélange de chiffres, de lettres et de caractères spéciaux.
d. 10 lettres en majuscules.
e. 5 lettres toutes en minuscules.

Ils ont répondu "b", et ils ont perdu une note, car la "bonne réponse" était apparemment "c".

Il Je crois comprendre qu'en règle générale, l'extension de la longueur du mot de passe ajoute plus d'entropie que l'extension de l'alphabet. Je suppose que le NHS pourrait soutenir que les gens forment normalement de longs mots de passe à partir de mots très prévisibles, ce qui les rend faciles à deviner. Mais si vous forcez les gens à introduire des "caractères spéciaux", ils ont également tendance à les utiliser de manière très prévisible avec laquelle les algorithmes de devinettes de mots de passe n'ont aucun problème.

Bien que la divulgation complète, je ne suis pas un expert en mots de passe - je J'ai surtout eu cette impression de Randall Munroe (cliquez pour discuter):

password strength

Ai-je tort?

J'aime le fait qu'ils testent les gens sur les concepts de mots de passe, mais c'est un ensemble horrible de réponses possibles.
En fin de compte, c'est une question très mal formulée sans réponse claire.Vous avez raison de dire qu'en général la longueur est plus importante que le jeu de caractères lorsqu'il s'agit d'empêcher une brute de déchiffrer un mot de passe, mais sans définir quels caractères sont inclus dans les «caractères spéciaux», il est impossible de dire lequel est le meilleur.L'option c ne spécifie pas non plus les lettres majuscules et minuscules, il est donc tout à fait possible qu'il s'agisse d'un jeu de caractères plus petit et d'un mot de passe plus court.26 lettres minuscules + 10 chiffres + une demi-douzaine de caractères spéciaux courants contient moins de caractères que des lettres majuscules et minuscules
Avez-vous suivi une formation ou ce quiz était-il hors du commun?La bonne réponse sera celle fournie par la formation et non la «vraie» réponse.C'est un triste état de choses, mais je pense que cela ne se limite pas à l'infosec et que vous rencontrez des problèmes similaires avec des éléments médicaux.Props d'être un médecin du NHS;Je suis britannique et tu fais un travail incroyable.
Compte tenu du nombre de / banques / qui se trompent sur la sécurité des mots de passe, je ne peux pas dire que je suis surpris ...
Je soupçonne que les auteurs envisagent cela d'un point de vue pratique plutôt que théorique.Le fait est que la plupart des tentatives de piratage commencent par des recherches basées sur un dictionnaire, éventuellement avec quelques substitutions triviales.Ainsi, alors que plus de lettres peuvent être moins devinables que moins de caractères, y compris la ponctuation, les craqueurs sont assez susceptibles d'essayer toutes les lettres avant d'élargir beaucoup le jeu de caractères.Ainsi, le temps de pause _pratique_ peut être très différent du temps théorique.
C'est l'une de ces questions sur Internet qui m'énerve et je veux lancer une campagne d'écriture de lettres en colère à quelqu'un.
@Michael nous avons besoin d'un xkcd "j'ai découvert sur Internet que quelqu'un se trompe DANS LA VRAIE VIE" pour ces occasions.
La réponse «c» est également mauvaise car elle mentionne un mot de passe de 7 caractères, ce qui est * bien * trop court pour toutes les normes.
@keshlam C'est un peu ma question.Je suis en fait plus intéressé par les implications pratiques que par le nombre total absolu de possibilités aléatoires.Le problème avec cette logique concernant les caractères spéciaux est que quiconque * essayant * de pénétrer quelque part avec l'exigence de caractères spéciaux connaîtra l'exigence.Je suppose que les gens ont tendance à utiliser des caractères spéciaux de manière très prévisible, et donc l'avantage d'une longueur accrue (ahem) est toujours bien supérieur.Mais je souhaiterais la bienvenue à tous ceux qui connaissent des recherches à ce sujet.
Le seul problème que j'ai avec cette bande dessinée est que je ne pourrai pas utiliser ce mot de passe presque n'importe où parce que tout le monde a besoin d'un numéro, d'une casse (et parfois même d'un caractère spécial).
Et à l'abri de quelle menace?Si le serveur stocke le mot de passe en texte brut, ils en sont tous également protégés.Vous pourriez dire que le plus court est le plus sûr, car vous êtes le moins susceptible de l'écrire et de le laisser sur votre bureau.
C'est le même NHS qui finance toujours l'homéopathie, rappelez-vous!Ne vous méprenez pas, je pense que le NHS est l’une des meilleures choses que nous ayons en Grande-Bretagne - mais il a des problèmes de gestion chroniques, et son bilan en matière d’informatique est mieux résumé par la citation de Despair.com:la vie doit servir d'avertissement aux autres ».Tellement surpris du fait qu'ils ne peuvent pas obtenir une formation informatique de base, n'est-ce pas?Pas très.
Il y a le fait que le mot de passe C contiendra (s'il est contraint de manière appropriée) des caractères "spéciaux", empêchant l'utilisation de noms simples ou de mots / phrases courants.Cela n'augmente pas la force statistique du mot de passe mais le rend moins sensible à un schéma de craquage de dictionnaire.
Non, ce n'est pas le cas.Le point que l'OP pose / fait valoir sur les substitutions courantes est mort sur l'argent, et les algorithmes actuels de craquage de mots de passe utilisent une analyse heuristique, pas de simples attaques par dictionnaire par force brute.Quels que soient les caractères d'un mot de passe à 7 caractères, il sera brisé dans un laps de temps relativement court.Il n'y a tout simplement pas assez de permutations et l'ordinateur peut essayer toutes les possibilités indépendamment de la complexité dans un court laps de temps.8 caractères est un ordre de grandeur meilleur mais encore trop court.9 est nettement meilleur que 8, et 10 largement meilleur que 9, par des marges * énormes *.
Qu'est-ce que NHS? ....
10 ^ 26 >> 26 ^ 10.Autrement dit, vingt-six chiffres ont des combinaisons beaucoup plus grandes que dix lettres.La longueur est presque toujours plus importante que la largeur.
L'entropie dépend de l'alphabet et du nombre de symboles utilisés.Dans le cas des mots anglais (dont le nombre est d'environ un million): un mot de passe de quatre mots choisis au hasard donne une entropie de 79 ie (log2 (10 ^ [6 * 4]).l'alphabet n'est pas l'un des 52 éléments étranges ... comme certains semblent confondre ici.
Bien sûr, même un jeu de 26 symboles peut décrire une chaîne de mots ... A cet égard, il suffit de garantir une longueur adéquate pour que l'entropie du mot de passe «vu» avec une vue alphabétique de 26 symboles soit comparable;pour une entropie de plus de 72 ici, nous avons besoin d'un total d'environ 17 caractères.soit 72 / Log2 (26)
@Celeritas [National Health Service] (https://en.wikipedia.org/wiki/National_Health_Service) au Royaume-Uni.
Cela me rappelle le quiz sur la conformité de la sécurité informatique administré par un fournisseur de soins de santé au Texas, où l'une des questions du quiz tentait de voir si les gens projetteraient leurs connaissances des virus biologiques sur des logiciels malveillants informatiques.Malheureusement pour les supposés experts qui rédigent le quiz, les virus informatiques sont très susceptibles de provoquer une augmentation de la température du système et de la lenteur, en raison de la charge du processeur causée par le malware qui tente de se propager.
Notez qu'un ** facteur humain ** peut être impliqué dans leur décision.Les éloigner des mots de passe contenant uniquement des lettres (même si cela signifie qu'ils n'en utilisent pas un aussi long car il est difficile de s'en souvenir) pourrait, en moyenne, créer des mots de passe plus sécurisés simplement parce que moins de gens utilisent des choses comme `secretpass`(qui fait 10 caractères ... mais serait probablement cassé assez rapidement) ou d'autres mots de passe de style mot extrêmement simplistes.... encore une question minable.
Copie possible de [XKCD # 936: Mot de passe complexe court ou phrase de passe du dictionnaire long?] (Http://security.stackexchange.com/questions/6095/xkcd-936-short-complex-password-or-long-dictionary-passphrase)
Je pense que la plupart des réponses ici manquent le point.La question n'est pas de demander à un groupe d'administrateurs de réseau "quels mots de passe sont les meilleurs à appliquer?", Mais de demander à un groupe d'utilisateurs "quel mot de passe (en supposant que tous répondent aux exigences minimales) est préférable de choisir?".En d'autres termes, il essaie d'amener l'utilisateur à réfléchir à la manière dont il choisit un mot de passe, à réfléchir aux facteurs mêmes que de nombreuses réponses identifient comme clés (l'aléatoire n'est pas une hypothèse valable dans le monde réel, sauf si nous imposons l'utilisation de gestionnaires de mots de passe,la plupart utilisent un mot de passe non aléatoire pour y accéder).
Pas pour un mot de passe spécifique généré radomly, mais pour une politique ou, comme Adam le mentionne, des exigences, ils ont raison de dire que les caractères spéciaux rendent plus probable la génération de mots de passe plus difficiles à deviner / raisonner, car les utilisateurs ne le font généralement pas.créez-en des complètement aléatoires.
cette question demande "pourquoi" http://security.stackexchange.com/questions/139594/why-do-the-large-majority-of-big-organizations-have-known-bad-password-policie
@StarWeaver il existe un XKCD pour celui-là: https://xkcd.com/386/
@ Evan Steinbrenner, Bien que vous ayez raison dans le principe, "Nombres et caractères spéciaux" ont un jeu simple et intuitif (j'hésite à l'appeler "définition"): ce sont les symboles sur les 21 boutons non alpahbétiques du clavier gauche.Ils sont tous les suivants: `1234567890- = ~! @ # $% ^ & * () _ + []; '\,. / {}:" | <>?
(suite) il est facile de voir que 52 ^ 10 ~ = 1e17 et 94 ^ 7 <= 1e10 ^ 14.Ce qui est plus difficile à prouver, c'est que "10 caractères en majuscules et minuscules" équivaut presque toujours à 1 ou 2 mots (je dirais ~ 20 bits d'entropie, puisque tous les mots longs seront simples), tandis que "7 caractères en majusculeset les minuscules "est un mot, mais avec de la merde bizarre collée (28 bits selon le graphique, mais d'accord sur> 25, d'accord?)
Vous savez quoi?Je suis d'accord pour dire que 2 mots sont <= 24 bits, selon le graphique.
Il est intéressant de noter que personne n'a comparé cela aux diverses publications que les organisations du NHS publient ou pointent sur le sujet de la sécurité des mots de passe.En outre, [voici un quiz similaire, mais différent, du Royal Wolverhampton Hospitals NHS Trust] (http://www.royalwolverhamptonhospitals.nhs.uk/jdoi/downloads/Intro_to_Information_Governance_Booklet_070411.pdf#page=33).Et profitez [de ces conseils sur la façon d'écrire les mots de passe d'une autre partie du NHS] (http://www.northamptonshire.nhs.uk/resources/uploads/files/IM&T_14.pdf#page=16).
Trop mauvais mot de passe [173467321476C32789777643T732V73117888732476789764376Lock] (https://www.youtube.com/watch?v=oNrWgjh9tnU) est publiquement connu
Docteurs Doggone.Ils ont raté la journée de leur classe de première année à l'école de médecine en informatique où le sujet était l'entropie de l'information.Oh, attendez, ils étudient la physiologie et la génétique à la faculté de médecine, pas en informatique.
Neuf réponses:
Mark
2016-10-07 02:01:57 UTC
view on stackexchange narkive permalink

À tous égards, ils sont faux:

Sept ASCII imprimables au hasard: 95 7 = 69 833 729 609 375 mots de passe possibles.

Dix alphabétique aléatoire: 52 10 = 144 555 105 949 057 024 mots de passe possibles, soit plus de 2000 fois plus.

La longueur compte. Si vous générez vos mots de passe au hasard, cela compte beaucoup plus que toute autre méthode pour les rendre difficiles à deviner.

Ils n'ont pas dit ASCII, et de nombreux systèmes (la plupart?) Autorisent les mots de passe Unicode.Il y a 128 172 caractères Unicode, donc "c" serait correct sur cette base.
En fait, pour "b", ils n'ont pas dit qu'il s'agissait de lettres LATIN majuscules et minuscules.Je pense qu'Unicode a une charge de travail en majuscules et minuscules non latines.
@paj28, le concept de capitalisation n'est en réalité qu'une caractéristique des alphabets latin et grec, et de certains des alphabets qui en dérivent.
Avec un [quickscript] (http://dpaste.com/3HJGDJK) je compte 1984 caractères minuscules et 1631 majuscules.3615 ** 10 = 381138671891365331133862350087890625 (pour b) qui est toujours inférieur à 128172 ** 7 = 568266595760666481405057656211161088 (pour c).Peut-être que nous pourrions supprimer certains caractères non imprimables de (c) pour réduire le nombre - mais il est assez clair que les personnes qui ont écrit la question n'ont fait aucun de ces calculs!
@paj28 D'une manière générale, c'est un bon point, mais en pratique, je pense qu'il n'est pas réaliste de s'attendre à ce que le système de médecin moyen dans un pays de langue anglaise comme langue primaire ait autre chose que des entrées clés ASCII facilement disponibles (s'ils doivent comprendrecomment configurer plusieurs dispositions de clavier sur éventuellement plusieurs machines qui ne sont peut-être pas "à eux" à configurer, et la méthode de saisie de travail basculer les raccourcis clavier dans leur flux de saisie de mot de passe, et éventuellement se verrouiller lorsqu'ils doivent se connecter à un poste de travail qui ne l'est pasdéjà ainsi configuré, il pourrait aussi bien ne pas exister).
@mtraceur Si vous prenez la sécurité suffisamment au sérieux pour faire des questionnaires sur eux, vous êtes probablement au-delà du point de les saisir manuellement, ils sont tenus d'avoir des clés d'accès physiques (comme une puce RFID ou une clé USB avec la clé).
@Kevin si seulement ... Avec de nombreux systèmes incompatibles entre eux, le NHS est le type d'institution qui fonctionne avec des mots de passe écrits.le mieux que vous puissiez espérer, c'est que ce n'est pas sur un post-it sous le clavier.Certains membres du personnel hospitalier * plus sophistiqués * que j'ai rencontrés ont eu un document en clair sur un téléphone protégé par mot de passe.D'autres un livre.
@ChrisH Sérieusement?Je suis un développeur d'applications qui crée des applications pour les établissements de santé néerlandais, le NHS sera notre premier client international l'année prochaine.Presque toutes les organisations de santé néerlandaises utilisent des puces RFID pour s'authentifier, l'inspection des soins de santé les oblige essentiellement à le faire.Si le NHS est vraiment aussi peu sûr que ça, je n'ai pas hâte de l'année prochaine lol: P
@Kevin Je n'ai que mes propres yeux pour continuer et je ne passe pas beaucoup de temps dans les établissements de santé, donc les choses ont peut-être évolué.Mais il y a encore beaucoup de systèmes hérités en cours d'utilisation, et les problèmes classiques de mots de passe multiples avec des règles différentes, qui sont tous beaucoup modifiés à des fréquences différentes.Le NHS était l'un des plus gros organismes à payer pour un support XP étendu après la fin de vie.Je crois qu'ils se sont arrêtés maintenant mais ça ne veut pas dire que tout a évolué
Tout clavier américain a des diacritiques et peut être configuré en us-intl pour imprimer è, é, ò, ç, ë, õ .. 5 diactritiques, généralement sur les 5 voyelles, soit 50 caractères de plus, ou `145 ^ 7 = 1,3 10^ 15` ou juste 100 fois moins.
[Cette réponse] (http://security.stackexchange.com/a/137322/112339) à une question différente présente le cas contre l'utilisation de caractères non ASCII dans les mots de passe.Cela n'a rien à voir avec la théorie (les jeux de caractères plus grands sont meilleurs) et tout à voir avec la pratique (vous ne pouvez pas faire confiance aux implémenteurs de systèmes tiers pour traiter le texte non ASCII de manière fiable).
Et de plus, dans le cas de c, si le système exige que tous les mots de passe contiennent un mélange de symboles et de chiffres supérieurs / inférieurs, alors le nombre de mots de passe possibles diminue un peu, en fonction des règles, bien sûr.
@JimmyJames,, tout comme l'augmentation de la taille de l'alphabet n'aide pas beaucoup les choses, la réduire ne nuit pas beaucoup aux choses - en théorie.En pratique, tout le monde met la lettre majuscule au début du mot de passe, et le chiffre et le symbole à la fin.
@Mark Veuillez m'aider à comprendre cela.Disons que les règles nécessitent au moins une majuscule, un numérique et un symbole.Le nombre de mots de passe possibles est alors 23 * 10 * 26 * 95 ^ 4 = 487 074 737 500 ou 143 fois moins que le chiffre 95 ^ 7.143 fois moins, c'est beaucoup dans mon livre, par exemple143 mois pour forcer tous les hachages, c'est beaucoup plus d'un mois.Soit mes calculs sont faux, soit nous avons des idées différentes sur ce que signifie «beaucoup».
@JimmyJames, Deux erreurs dans vos maths.Premièrement, il y a 33 symboles, pas 23, et deuxièmement, les caractères restreints peuvent apparaître n'importe où dans le mot de passe.La formule correcte est (33 * 10 * 26 * 95 ^ 4 * 7!) / (3! * 4!) = 24,459,622,687,500, soit environ un tiers aussi grand que 95 ^ 7.
@Mark Ouais, j'ai réalisé la deuxième erreur alors que je savourais ma bière de dîner.De toute évidence, j'étais déficient en vitamine B12.Donc, pas une différence aussi grande que je l'avais pensé, mais 1/3 n'est pas une différence insignifiante.
@njzk2:, il est tout simplement ridicule d'affirmer que les utilisateurs typiques vont mettre des signes diacritiques dans leurs mots de passe.Cela n'arrivera tout simplement pas, fin de l'histoire.La longueur du mot de passe est primordiale.Et la variété de l'entrée ** en pratique ** est plus petite que le jeu de caractères ASCII complet.
@Craig à droite, car les utilisateurs typiques sont bien sûr des Américains.Comme c'est idiot de ma part de considérer le reste du monde.
@njzk2: bel allumage.Ils utilisent beaucoup de trémas en Grande-Bretagne, n'est-ce pas?L'anglais est une langue peu utilisée, par exemple, pour les affaires dans le reste du monde?Je parle juste de l'aspect pratique.En bout de ligne, la taille réelle, en pratique, de l'alphabet à partir duquel les mots de passe sont choisis est beaucoup plus petite que le jeu de caractères Unicode complet.La théorie est belle, mais la réalité est ce qu'elle est.D'ailleurs, ** vous êtes ** celui qui parlait des claviers et diacritiques américains.
@Craig oui, car c'est le clavier sur lequel j'ai écrit ce commentaire.Mais cela ne devrait que souligner le fait que même les personnes qui n'utilisent généralement pas de signes diacritiques peuvent toujours en mettre dans leur mot de passe.(mais comme vous l'avez dit, c'est de la théorie. En pratique, nous savons tous que le mot de passe est toujours "123456") (Je dois souligner, cependant, que mon point initial était que * même * en considérant divers signes diacritiques courants, nous serionschanger l'ordre de grandeur, mais pas le résultat de la comparaison)
Le problème avec cette réponse est que les gens ne choisissent pas du tout les mots de passe au hasard *.Il est donc préférable de regarder une grande base de données de mots de passe réels et de comparer pour chacune de ces contraintes la facilité avec laquelle le mot de passe moyen répondant à la contrainte est de craquer.
Le revers de la médaille est que si vous n'avez que des lettres, il y a de fortes chances que le mot de passe contienne un mot du dictionnaire ... Probablement seulement un mot / s du dictionnaire
@Kevin Le NHS dispose en effet d'une solution d'authentification par carte à puce.Cependant, comme pour toute solution SSO, l'intégration est une douleur, et de nombreux fournisseurs ne le font pas, et bien sûr, elle n'est pas intégrée dans des solutions antérieures à son introduction.
En désaccord avec le «par n'importe quelle mesure» - qui crée un mot de passe complètement aléatoire?Presque personne, car c'est difficile à retenir.Donc, puisque nous imposons déjà une sorte de modèle ou d'ordre au processus de sélection, laquelle des options est la plus susceptible de réintroduire un niveau d'aléatoire difficile à deviner ou une raison pour laquelle quelqu'un essaie de déchiffrer le mot de passe?Quel que soit le nombre de caractères, si je choisis quelque chose comme MyNameIsAndy, cela pourrait être facilement deviné, où exiger que j'inclue un caractère étrange, quelque part, le rendra plus aléatoire - MyName # IsAndy
@AndrewMattson Tout outil de craquage de mot de passe décent essaierait les mots de passe probables et permuterait à travers des nombres et des ajouts / substitutions de symboles.L'ajout d'un symbole comme celui-ci ne rend pas un mot de passe facilement devinable beaucoup plus fort.
@JimmyJames - et avoir une chaîne de lettres légèrement plus longue seulement, les majuscules et les minuscules n'offriraient AUCUNE protection contre un hack "facilement devinable".Je souligne que le principe selon lequel la chaîne la plus longue est plus forte n'est applicable que si l'utilisateur génère au hasard une combinaison de mots de passe, ce qui ne se produit pratiquement jamais.Il existe un certain nombre de façons d'utiliser des caractères autres que des lettres, ce qui peut le rendre plus fort, car vous devrez tester plusieurs versions du même mot de passe devinable.MyN@meIsAndy, MyName! SAndy, MyNameIs@ndy, MyN@me! S@ndy, etc.
@AndrewMattson Oui, mais dans le cas où les hachages sont exposés, essayer ces combinaisons prend très peu de temps.
Évalué à la baisse parce qu'il est tout à fait incorrect de dire "à quelque mesure que ce soit" qu'ils se trompent.Il existe des tableaux arc-en-ciel facilement disponibles allant du haut vers le bas jusqu'à> 10 caractères.Ceux-ci doivent être considérés comme des * non-mots de passe * en premier lieu.Ce n'est pas parce qu'en théorie vous pouvez utiliser tout le jeu de caractères ascii que les pirates sont assez stupides pour supposer que vous l'avez fait.
@njzk2 En ce qui concerne les utilisateurs internationaux qui prennent la peine d'utiliser des signes diacritiques - la plupart d'entre eux ne le feront pas, même s'ils sont habitués à le faire pour la saisie régulière.Par exemple, tous les Chinois que je connais utilisent l'alphabet latin plus des chiffres pour leurs mots de passe;Je n'ai pas eu autant d'exposition aux utilisateurs dont la langue principale utilise beaucoup de caractères latins accentués, mais ce que j'ai suggère qu'ils ignoreront également les accents dans les champs de mot de passe.
@LoganPickup En tant que personne qui a quelques signes diacritiques dans ma langue maternelle, mon expérience me dit que presque personne ne les utilise, surtout avec l'avènement des appareils mobiles où les taper est souvent ennuyeux.Cela rend également votre compte inaccessible à partir de tous les ordinateurs sans clavier polonais installé, puis il y a le facteur de ne pas savoir comment le site cible gérera ces caractères.Une fois, j'ai perdu l'accès à mon compte parce que le formulaire de changement de mot de passe les traitait différemment du formulaire de connexion.
Les tables arc-en-ciel @WilliamKappler: ne sont vraiment utiles qu'avec les hachages non salés, qui décrivent malheureusement encore trop de bases de données d'identifiants.Mais pbkdf2, scrypt et bcrypt sont à l'abri des tables arc-en-ciel, tout comme un hachage SHA1 simple avec du sel.Le problème avec SHA1 purement salé est qu'il est trop rapide, ce qui permet à l'attaquant d'essayer beaucoup plus de suppositions.Les attaques plus modernes utilisent des heuristiques et des hypothèses de dictionnaire.Même le fait d'enchaîner trois mots de dictionnaire non liés dans un mot de passe long augmente considérablement la force du mot de passe.La longueur du mot de passe est critique.
Anders
2016-10-07 02:04:53 UTC
view on stackexchange narkive permalink

La perspective théorique

Faisons le calcul ici. Il y a 26 lettres, 10 chiffres et disons environ 10 caractères spéciaux. Pour commencer, nous supposons que le mot de passe est complètement aléatoire (et qu'un caractère d'un groupe n'est pas plus susceptible d'être utilisé qu'un caractère d'un autre groupe).

Le nombre de mots de passe possibles peut alors être écrit comme C = s ^ n s est la taille de l'alphabet, et n le nombre de caractères. L'entropie du mot de passe est définie comme suit: 

  log2 (C) = log2 (s ^ n) = log2 (s) * n

Permet de brancher les nombres de la question dans ceci: 

  sn Entropie (bits) A 52 6 34.2B 52 10 57.0C 72 7 43.2D 26 10 47.0E 26 5 23.5

Donc, dans ce scénario, C n'est que la troisième meilleure option, après B et D.

La perspective pratique

Mais tout cela est sous l'hypothèse du hasard. Ce n'est pas une hypothèse raisonnable sur la façon dont les gens génèrent des mots de passe. Les humains ne le font tout simplement pas de cette façon. Nous devrions donc choisir d'autres hypothèses sur la manière dont les mots de passe sont générés et dans quel ordre l'attaquant les essaie dans son dictionnaire.

Une supposition non déraisonnable serait que de nombreux dictionnaires commencent par des mots, et seulement plus tard passez à faire des substitutions et à ajouter des caractères spéciaux. Dans ce cas, un seul caractère spécial dans un mot de passe court serait mieux qu'un mot commun très long. Mais d'un autre côté, si l'attaquant sait qu'un caractère spécial est toujours utilisé, il essaiera d'abord ces mots de passe. Et d'un autre côté, peut-être que le dictionnaire est centré sur des principes complètement différents (comme l'occurrence dans des bases de données ayant fait l'objet d'une fuite).

Je pourrais continuer à spéculer pour toujours.

Pourquoi c'est la question, pas les réponses, c'est faux

Le problème est qu'il existe de nombreux principes de génération du mot de passe, et je pourrais en choisir un arbitrairement pour que presque toutes les réponses soient correctes. Donc, toute la question est inutile et ne sert qu'à obscurcir un point important qu'aucune politique de mot de passe au monde ne peut appliquer: Ce ne sont pas les caractères d'un mot de passe qui le rendent fort - c'est la façon dont il est généré.

Par exemple, Password1! contient des majuscules, des minuscules, un nombre et un caractère spécial. Mais ce n'est pas très aléatoire. ewdvjjbok en revanche ne contient que des minuscules mais c'est bien mieux car il est généré aléatoirement.

Ce qu'ils auraient dû faire

Si vous arrêtez simplement de vous fier à la mémoire humaine très faillible et limitée, le jeu de caractères et la longueur cessent d'être des facteurs limitants que vous devez peser les uns contre les autres. Vous pouvez avoir les deux en abondance.

Une façon de faire est d'utiliser un gestionnaire de mots de passe. Comme Dan Lowe l’a souligné dans ses commentaires, cette option n’est peut-être pas viable dans un hôpital. Une deuxième alternative consiste à utiliser une sorte d'authentification à deux facteurs (par exemple un jeton matériel ou une carte-clé) qui rend la sécurité du premier facteur (le mot de passe) moins importante.

C'est la responsabilité du système les gestionnaires, et non les utilisateurs finaux, à mettre en œuvre. Ils doivent fournir les outils qui permettent aux utilisateurs finaux d'effectuer leur travail de manière pratique et sûre. Aucune formation des utilisateurs ne peut changer cela.

En regardant un clavier de langue anglaise près de moi (un qui a en fait des gravures!) J'ai trouvé un peu plus de trente non-alphanumériques disponibles (en utilisant uniquement Shift comme modificateur - pas Compose / Super / etc);même sur un écran tactile de dispositif médical.Vous pouvez donc probablement augmenter un peu le score de C (il ne gagnera toujours jamais!).
@TobySpeight Merci pour votre contribution - ne vous attendiez pas à ce qu'il y en ait autant!J'imagine que c'est une question sur la question de savoir s'il s'agit de "caractères spéciaux disponibles" ou de "caractères spéciaux que les gens utilisent en moyenne".Et puis nous revenons au fait que la question originale du NHS est trop vague pour être répondu.
Le gestionnaire de mots de passe n'est pas réaliste dans un contexte médical.Les médecins et les autres membres du personnel se connectent à des terminaux partagés dans les bureaux, les couloirs, les chambres des patients, etc. Pas seulement sur leur propre ordinateur ou appareil.
Votre bit "perspective pratique" suppose que l'attaque par dictionnaire épuiserait d'abord toutes les variantes de lettres uniquement.Si l'attaquant sait qu'un certain nombre de caractères spéciaux et de chiffres sont requis, il essaiera probablement des variantes de mots au fur et à mesure.Même si ce n'est pas le cas, les utilisateurs sont toujours susceptibles d'utiliser des mots et de remplacer les lettres par des caractères visuellement similaires (comme E à 3 ou T à 7).Cela ajouterait un ensemble limité de chiffres ou de caractères spéciaux contre l'autorisation de mots ou de phrases plus longs, ce qui, je ne suis pas convaincu, le pousserait vers un territoire «plus sûr».
@DavidStarkey Le point que vous faites dans le commentaire est en quelque sorte le même que celui que je fais dans la réponse.Je ne dis pas que vous pouvez prendre pour acquis que l'attaquant utilisera les lettres seulement en premier - en fait, je suggère l'opposé.
Le gestionnaire de mots de passe peut également être illégal (je ne sais pas) car je ne pense pas que LastPass a été créé avec les exigences de stockage HIPA au Royaume-Uni.
@MaciejPiechotka Bon point.Je vais réécrire le dernier passé de la réponse pour être plus nuancé plus tard, mais pas de temps pour le moment.Merci pour la contribution.
Excellente réponse, mais je ne suis pas du tout d'accord avec la conclusion de votre dernière section ("Ce qu'ils auraient dû demander").Non pas parce que "Générer vos mots de passe au hasard avec un gestionnaire de mots de passe" est un mauvais conseil, mais plutôt parce que c'est un bon conseil pour les ** utilisateurs finaux **, et moins pour les ** institutions ** comme NHS, qui, si elles sont vraiment sérieusesà propos de la sécurité des mots de passe, ils devraient plutôt se pencher sur l'authentification à deux facteurs.
@DanLowe Ce serait un argument pour l'authentification à 2 facteurs.Mais alors nous parlons d'atténuer le risque d'un mot de passe faible en utilisant un mécanisme supplémentaire au lieu de simplement «force de mot de passe», ce qui rend encore la question mauvaise.+1 à cette excellente réponse.
@MaciejPiechotka - pour autant que je sache, le Royaume-Uni n'a pas de législation spécifique similaire à HIPA.Cela signifierait qu'il n'y a qu'une obligation générale en vertu de la loi sur la protection des données selon laquelle les responsables du traitement des informations confidentielles devraient suivre les meilleures pratiques afin de garantir que les informations ne sont pas divulguées de manière incorrecte, mais qui n'a pas d'exigences législatives spécifiques sur les technologies réellement utilisées.
@TobySpeight Êtes-vous sûr que tous les claviers sont égaux?Que tous les types de claviers de bureau / gamer / notepad / OSD / & c ont les mêmes spéciaux?
Édité dans un plus grand nombre de caractères spéciaux, bien sûr, cela ne fait que renforcer la conclusion.- Pour ceux qui sont intéressés, vous avez besoin de plus de 282 caractères uniques dans un mot de passe aléatoire de longueur 7 pour battre un mot de passe aléatoire de longueur 10 qui est composé de 52 caractères uniques.
Désolé: j'ai mal anticipé ce que vous vouliez écrire :).[retour] Je n'aime pas les * gestionnaires de mots de passe * car ce que vous faites confiance dans le modèle de mot de passe est la mémoire du propriétaire physique du mot de passe (authentification basée sur ce que ** vous ** savez).En introduisant un logiciel dans ce chemin de confiance, vous ajoutez de nombreux risques.[retour] J'ai commis l'erreur de penser que la plupart des spécialistes de la sécurité partageaient cette analyse des risques.
Les mots de passe sont beaucoup plus sûrs que les gestionnaires de mots de passe ou ils nécessitent eux-mêmes des mots de passe.Un médecin peut utiliser plus d'un ordinateur et donner à des personnes non autorisées qui trouvent un bâton ou un tel accès complet est vraiment très mauvais.
Je dois dire que c'est ravissant le nombre de systèmes auxquels je me suis connecté où «* light |» n'est pas un mot de passe sécurisé, mais «Password1!» L'est.
Vality
2016-10-07 04:20:19 UTC
view on stackexchange narkive permalink

Je me rends compte qu'il y a déjà un certain nombre de bonnes réponses, mais je veux clarifier un point.

La question est sans réponse car elle ne spécifie pas de jeu de caractères, ni la méthode de sélection du mot de passe .

Tout d'abord pour aborder le deuxième point, nous ferons comme si les mots de passe sont générés de manière vraiment aléatoire dans le domaine autorisé, sinon nous ne pouvons même pas commencer à raisonner à ce sujet.

Pour notre autre point, pour donner des exemples extrêmes, disons que b implique des lettres uniquement dans l'alphabet anglais, disons donc 52 symboles possibles. Cela donne environ 5,7 bits d'entropie par caractère et donc environ 57 bits d'entropie au total.

D'un autre côté, disons (peut-être un peu déraisonnablement) que la réponse c implique tout point de code Unicode complètement aléatoire qui est considéré être un caractère (par opposition à une nomenclature, etc.). Il y en a actuellement environ 109 000 à partir d'Unicode 6. Cela signifie environ 16,7 bits d'entropie par caractère et un total de 117 bits d'entropie.

D'un autre côté, si la réponse c était limitée uniquement à l'ASCII ou peut-être ISO 8859-15 ou un sous-ensemble de ceux-ci, la conclusion opposée pourrait facilement être tirée.

Ceci est bien sûr complètement déraisonnable mais met en évidence le caractère cassé de la question et comment on peut raisonnablement justifier l'une ou l'autre réponse. Pour être une question de test sensée, elle devrait être formulée de manière beaucoup plus rigoureuse, ce qui rendrait la tâche beaucoup plus difficile pour les utilisateurs ayant des connaissances techniques ou mathématiques limitées.

En fin de compte, je suggérerais que ce test est probablement assez inutile car une organisation n'obligerait idéalement pas les utilisateurs à mémoriser les exigences en matière de mot de passe, mais les appliquerait à la place sur le plan technologique (la seule exigence que je peux penser qu'apprendre par cœur est utile est de ne pas réutiliser le même mot de passe à plusieurs endroits).

D'un point de vue pratique, l'espace de clés doit être limité à ce que l'utilisateur peut raisonnablement taper.Comme il s'agit du NHS, la seule langue dont ils peuvent être sûrs est l'anglais.Les locuteurs étrangers peuvent avoir d'autres éléments configurés sur leurs systèmes, mais cela ne signifie pas que tous les ordinateurs qu'ils peuvent avoir besoin d'utiliser seront ainsi configurés.
@LorenPechtel Je comprends cela, et comme j'essayais de le dire, je ne disais pas que l'exemple est vraiment réaliste, mais simplement que de telles ambiguïtés suffisent à rendre la question impossible à répondre avec certitude.
Je m'oppose à ce point de vue «sans réplique».Oui, il y a certaines inconnues, ce qui signifie qu'il n'est pas possible de calculer des nombres absolument corrects absolus sur les possibilités.Cela ne signifie * pas * que c'est sans réponse, car tout ce que nous recherchons ici sont des généralités.Nous savons que les alphabets utilisent généralement des tailles approximatives.Et aussi, n'est-il pas vrai que le nombre de possibilités ajoutées en étendant la longueur de 7 à 10 dépasse de loin une différence de, disons, 40% ou plus dans la taille de votre alphabet?Indépendamment des inconnues, il existe certainement des règles empiriques meilleures et pires.
Je suis d'accord avec tout sauf le dernier paragraphe.Je pense qu'il est utile d'enseigner aux gens le * raisonnement * derrière les exigences de complexité des mots de passe en général (mais non, je suis d'accord, les détails d'un ensemble de règles particulier), car s'ils comprennent ce raisonnement, beaucoup d'entre eux (enthéorie, espérons-le) pourraient être plus enclins et capables de choisir des mots de passe plus forts de leur propre gré.Plutôt que de faire le strict minimum pour satisfaire aux exigences de tout mécanisme d'application technique en place.
Jander
2016-10-08 12:40:19 UTC
view on stackexchange narkive permalink

Le NHS se trompe-t-il sur les mots de passe les plus sûrs dans le cas idéal? Oui, absolument - et les autres réponses ont couvert ce terrain assez complètement.

Le NHS se trompe-t-il sur les mots de passe les plus sûrs dans un environnement NHS? Peut-être pas.

Comment un mot de passe long pourrait-il être pire que -?

Il existe des systèmes hérités qui limitent artificiellement la longueur d'un mot de passe - par exemple, l'ancien Windows LANMAN / Le hachage de mot de passe NTLMv1 limite la longueur à 14 symboles, et l'ancien hachage de mot de passe UNIX basé sur DES le limite à 8. Pire, la saisie du mot de passe sur un tel système vous permettra souvent de saisir un mot de passe aussi longtemps que vous le souhaitez, et de tout ignorer après les premiers n symboles.

En fait, il semble probable que NTLMv1 soit le schéma hérité particulier qu'ils exécutent. Comme le souligne @MarchHo, NTLMv1 divise votre mot de passe en deux moitiés de 7 caractères maximum chacune, et chaque moitié peut être craquée séparément. Donc, si vous utilisez NTLM avec un mot de passe alphanumérique à 10 caractères, vous avez vraiment un mot de passe alphanumérique à 7 caractères et un mot de passe alphanumérique à 3 caractères. Le premier est clairement pire que 7 caractères du jeu de symboles complet, et le dernier peut être cassé en millisecondes sur un PC de 10 ans.

Pourquoi quelque chose d'aussi vieux serait-il encore d'usage courant?

Fondamentalement, parce que cela fonctionne et que la mise à niveau coûterait cher.

Maintenant, c'est moi qui spécule, mais: je propose que les environnements de soins de santé en particulier soient susceptibles d'exécuter des systèmes hérités, en raison de la nature sensible des soins de santé. Les nouveaux systèmes nécessiteront probablement un examen très approfondi avant d'être acceptés comme solution, ce qui signifie que les mises à niveau des systèmes de santé ont tendance à se produire lentement et à grands frais.

Donc, si vous savez qu'il existe des systèmes couramment utilisés qui se comportent de cette manière et vous ne pouvez pas les résoudre, alors le mieux que vous puissiez faire est de dire à vos utilisateurs de choisir un mot de passe de longueur n en utilisant le plus grand pool de symboles possible.

En général: êtes-vous sûr que vos mots de passe ne sont pas tronqués?

Malheureusement, cela a également des implications pour le cas général, en particulier pour nous qui aimons nos mots de passe longs. Dans quelle mesure sommes-nous sûrs de ne pas pouvoir nous connecter à notre compte sur https://example.com avec juste le premier mot ou deux de notre phrase secrète? Aussi mauvais que soit l'utilisation du fameux «correcthorsebatterystaple», utiliser accidentellement «correct» serait encore pire. Pour être sûr de vos mots de passe, il ne suffit pas de vous assurer de générer suffisamment d'entropie. Vous devez également vous assurer que le système à l’autre bout n’en jette pas la majeure partie.

NTLM divise également le mot de passe de 14 caractères en deux hachages de 7 caractères, de sorte que la longueur effective du mot de passe est de 7.
@MarchHo: Je pense que vous venez de résoudre le puzzle!Mis à jour ma réponse.
Le processus de hachage NTLM ne divise ** pas ** le mot de passe en deux segments de 7 caractères avant le hachage.Vous pensez au processus de hachage LM, qui fait effectivement cela.LM convertit également tous les caractères alphabétiques en majuscules avant le hachage.
NTLM version 1 utilise le processus dont je parle, dont il a hérité de LANMAN.Voir par exemple[Wikipédia] (https://en.wikipedia.org/wiki/NT_LAN_Manager) et [MSDN] (https://msdn.microsoft.com/en-us/library/cc236699.aspx).NTLMv2 est celui qui résout ce problème en passant à un schéma basé sur MD4.Bon point sur la conversion en majuscules.
@Jander Je pense que nous mélangons les discussions sur les protocoles d'authentification et les méthodes de hachage.
C'est très intéressant.Mais un protocole de sécurité Microsoft merdique que la plupart des gens n'utilisent pas ne suffit pas pour justifier les 7 caractères en règle générale.
Édité à nouveau.Je pense que j'ai fait en sorte que la réponse se rapporte mieux à la question fondamentale.
Il est certainement vrai que les environnements de soins de santé peuvent être * très * lents à se mettre à niveau.En 2014, je voyais toujours IE6 dans les journaux de serveur Web pour une application Web liée à la santé.
Les observations isolées d'IE6, si rares soient-elles, ne sont guère surprenantes dans aucun contexte.
UTF-8
2016-10-07 02:06:19 UTC
view on stackexchange narkive permalink

Cette question pose certains problèmes. L'un d'eux est qu'il n'indique pas comment les mots de passe sont choisis, mais je pense que l'approche la plus logique consiste à supposer que les mots de passe sont choisis au hasard mais en satisfaisant les conditions respectives, donc j'utiliserai cette convention pour ma réponse. Notez que la bande dessinée de Randall ne partage clairement pas cette hypothèse, mais la question ne spécifiait pas la manière dont un mot de passe est choisi, donc je pense que nous pouvons faire le meilleur possible et c'est choisir un mot de passe au hasard. De plus, le test n'est probablement pas basé sur la bande dessinée de Randall.

Le rythme clé de l'option b est assez facile à calculer si nous supposons que l'alphabet anglais est utilisé. Ouais, plus d'hypothèses, je sais. Mais comme le test semble être en anglais et pas très difficile, je pense que nous pouvons faire cette hypothèse.

Il y a 26 lettres minuscules dans l'alphabet anglais et tout autant de lettres majuscules, ce qui fait 52 au total. Il y a donc 52 ^ 10 ≈ 1,45 * 10 ^ 17 éléments dans l'espace clé de l'option b.

L'option c est beaucoup moins spécifique que l'option b . Cependant, puisque nous avons supposé que l'alphabet anglais est utilisé - ce qui est en faveur de l'option c - nous pouvons également supposer que seul ascii est utilisé pour les caractères spéciaux - ce qui est en faveur de l'option b . Vraiment, si nous supposons plus de caractères spéciaux que ascii, nous devons supposer plus de lettres que dans ascii puisque ä est sans doute une lettre en allemand. Cela rend l'espace clé de l'option b encore plus grand que celui de l'option c.*

Le mieux que nous pouvons faire pour l'option c si on se limite à l'alphabet ascii, c'est utiliser tous les caractères imprimables (à l'exclusion du blanc) de notre alphabet (note: utilisation différente, plus générale du mot «alphabet»). Cela fait 94 caractères, ce qui donne à l'option c un espace clé de 94 ^ 7 ≈ 6,48 * 10 ^ 13 éléments.

Puisqu'une de nos hypothèses pour aborder la question est que le mot de passe est choisi au hasard avec les restrictions respectives et que cette règle équivaut à choisir un mot de passe au hasard dans l'espace clé respectif, un mot de passe choisi à l'aide de l'option b est sans doute plus difficile à deviner car il y a plusieurs ordres de grandeur plus d'options à essayer pour déchiffrer le mot de passe.

En fait, si nous supposons que les coûts de déchiffrement d'un mot de passe par force brute sont approximativement linéaires à la taille de l'espace clé, craquer un mot de passe choisi via l'option b est 52 ^ 10 / (94 ^ 7) ≈ 2'229 fois plus difficile que de craquer celui choisi via l'option c , montrant clairement que la réponse prétendument correcte à cette question est fausse.

* C'est assez facile à prouver mathématiquement mais ce StackExchange ne prend pas en charge LaTeX et vous comprendra mieux grâce à une description textuelle de toute façon.

Le seul avantage de l'option c par rapport à l'option b est son plus grand alphabet (encore une fois, utilisation plus générale du mot «alphabet»). L'option b , cependant, compense plus que cela en choisissant un mot de passe plus long. Si nous y ajoutons de plus en plus de caractères (comme ü , à , Ø , Æ , etc.) , nous rendons les alphabets plus égaux en taille, ce qui réduit l'avantage de c sur b , alors que l'avantage de b sur c n'est pas affecté.

Pour que "c" soit la bonne réponse, vous devez choisir au moins 221 caractères spéciaux, en plus des caractères alphanumériques.Bonne chance pour trouver un clavier qui vous permettra de taper votre mot de passe!
Ce sont des questionnaires de formation pour les médecins, pas un examen Comp Sec.Bien que vous puissiez prouver mathématiquement l'entropie en faveur d'une autre réponse, leur objectif est d'amener les gens à penser `` Pa $$ w0rd '' au lieu de `` mot de passe ''
@Mark Ouais.Et vous feriez mieux d'espérer que le clavier n'offre pas plus de lettres.Oh, attendez.En gros, n'importe quel clavier propose déjà des caractères comme «à», ce qui augmente encore considérablement ce nombre.
@ShaneAndrie Il a dit "lettres", pas "mots".
@UTF-8, J'ai trois claviers assis sur mon bureau, et aucun d'entre eux n'offre "à" comme caractère typable.Je sais comment le taper sur le système Linux (`compose`-`backtick`-`a`), et je peux faire une bonne estimation du Mac (` option + backtick` comme clé morte pour créer la marque d'accent,puis `a` pour le combiner), mais je ne me souviendrai pas du code` alt + clavier` pour le saisir sous Windows.
Vous ne pouvez pas faire le backtick sur Windows?
@UTF-8 Je comprends cela, mais étant grossièrement spécifique, cela fonctionne pour le calcul, cependant, l'ami d'OP s'est trompé parce que le but du test n'était pas d'être pédant, mais de pousser une exigence politique.Cette politique ne concernait pas la théorie de la force du mot de passe d'entropie, elle incitait les gens à ne pas choisir «123456» et à penser que c'est bien.
@ShaneAndrie La question était "Laquelle des propositions suivantes rendrait le mot de passe le plus sûr?", Et non "Quelle politique de mot de passe incitera les utilisateurs à choisir des mots de passe plus sûrs en moyenne?".De plus, vous pouvez facilement créer accidentellement des mots de passe conformément à l'option «c» qui ne font pas partie du million de mots de passe les plus populaires.Les utilisateurs sont beaucoup moins enclins à créer accidentellement un mot de passe qui ne fait pas partie du million de mots de passe les plus populaires s'ils doivent seulement se conformer à l'option «b».Il faut toujours vérifier si un mot de passe est l'un des millions de mots de passe les plus populaires du service.
@UTF-8 Et je suis d'accord.Et si nous allons le lire spécifiquement, nous ne pouvons pas répondre à ces questions, car nous ne le faisons pas si A) le jeu de caractères est limité à la personne qui crée le mot de passe, ou aussi au système, et B) aux personnes qui créentmot de passe.Je soutiens simplement que les RH ne pensent pas de cette façon, pas plus que la personne qui a écrit la question.
@UTF-8 Je ne peux pas du tout créer ce caractère sur mon clavier américain, sauf pour Windows Alt + ... pour les caractères CP439 et Linux Ctrl + Shift + U + ... pour les points de code Unicode.
@ShaneAndrie Leur objectif est donc faux.Ils ne devraient pas amener les gens à penser "Pa $$ w0rd" au lieu de "mot de passe";ils devraient amener les gens à penser "c'est une phrase de passe et vous ne pouvez pas le deviner" au lieu de "mot de passe", ce qui fonctionnerait beaucoup plus efficacement vers leur objectif _réel_.
Pensez-vous réellement que lorsque les gens tentent de déchiffrer un mot de passe, ils exécutent tous les caractères en ASCII?C'est vraiment ce qui préoccupe.Tout autre que <4 chiffres ou un mot facile à deviner est déjà plus sûr que votre compte bancaire en termes de * mots de passe saisis par l'utilisateur *.En termes de cracking, s'écarter de l'alpha-num est un énorme avantage de sécurité.
Shane Andrie
2016-10-07 01:51:24 UTC
view on stackexchange narkive permalink

J'adore les questions d'entropie:

La réponse courte:

Oui, vous avez "techniquement" raison d'avoir plus d'entropie (meilleur type de ).

La réponse longue

L'entropie est largement factorisée par deux choses. Nombre de symboles qu'un mot de passe peut utiliser et longueur. Dans le scénario du NHS, il serait logique que les "caractères spéciaux" soient des symboles disponibles à utiliser dans la réponse à 10 caractères et par conséquent, plus un mot de passe est long, plus l'entropie est élevée et théoriquement plus sûr.

CEPENDANT, nous devons traiter avec les gens et nous sommes paresseux. La question est d'essayer d'amener les gens à inclure des caractères spéciaux dans leur mot de passe parce que cela force l'entropie à se produire.

Sans cela, la bande dessinée de Randall est mathématiquement correcte, tout en étant effrontée, mais tout SysAdmin qui pense que correcthorsebatterystapler est un bon mot de passe car il a longtemps besoin d'être giflé au visage, car cela est dans mes tables arc-en-ciel depuis un tandis que.

Pour être honnête, je pense que prendre quatre mots du dictionnaire et les enchaîner est un bon concept (ce que nous appelons une phrase de passe), mais les gens, comme je l'ai dit, sont paresseux et tomberont probablement dans des schémas communs.

Merci pour cela.Existe-t-il des preuves que les personnes forcées d'utiliser des caractères spéciaux conduisent en fait à des mots de passe plus imprévisibles?Parce que je dirais que quelqu'un qui est obligé de trouver un mot de passe à 10 caractères, sans autres règles, pourrait bien en produire un qui est plus difficile à deviner que quelqu'un qui est obligé de créer un mot de passe à 7 caractères qui comprend des caractères spéciaux.Telle est la vraie question ici.
Et pour mémoire, dans mon équipe, nous utilisons "la bonne agrafe de batterie de cheval" dans quelques endroits;).Des endroits où nous ne pensons pas qu'il doit y avoir un mot de passe en premier lieu ...
Bien au contraire, permettre aux gens de sélectionner des mots de passe est horrible.Nous avons tendance à utiliser des mnémoniques et une liste de modèles pas très longue.Cela nous rend faciles à profiler et donc faciles à deviner.La physiologie des mots de passe est une chose, et c'est l'une des raisons pour lesquelles les certificats sont fortement sollicités.
@RobinWinslow Je préférerais penser que les mots anglais de 10 lettres constitueraient une grande partie des mots de passe choisis, car les utilisateurs s'efforcent de les rendre mémorables plutôt que imprévisibles
Luis Casillas
2016-10-07 01:42:07 UTC
view on stackexchange narkive permalink

Le test cité et vos contre-arguments sont faux, fondamentalement parce que l'entropie est une mesure de l ' caractère aléatoire d'un mot de passe - pas la longueur, pas la taille de l'alphabet. Le système de bandes dessinées XCKD que vous citez est sécurisé au niveau de sécurité revendiqué de 44 bits si et seulement si les 44 petites cases grises sous "bonne base de batterie de cheval" représentent les résultats des tirages de pièces de monnaie (ou un uniforme similaire, événements aléatoires indépendants) qui ont été utilisés pour sélectionner les mots de passe. Si un humain choisit les mots, tous les paris sont ouverts.

Puisque ni le NHS ni vous ne parlez de ce facteur critique, il est impossible de dire quoi que ce soit de concret sur la sécurité des mots de passe, sauf s'ils ne le sont pas choisis uniformément au hasard, ils sont susceptibles d'être faibles.

Je crois comprendre qu'en règle générale, l'extension de la longueur du mot de passe ajoute plus d'entropie que l'extension de l'alphabet.

Si d est la taille de l'alphabet et n est la longueur du mot de passe, alors un mot de passe choisi uniformément au hasard a log2 ( d) * n bits d'entropie. Doubler la taille de l'alphabet ajoute donc n bits d'entropie; l'ajout d'un symbole supplémentaire au mot de passe ajoute des bits log2 (d) . Tout se résume donc aux valeurs concrètes de d et n ; il n'y a vraiment pas grand intérêt à avoir une règle de base comme vous le proposez ici, car nous pouvons simplement calculer les augmentations directement.

Cela semble inutilement pédant.Je sais que l'entropie est une question de hasard, mais je demande quelle est la meilleure politique.Êtes-vous vraiment en train de dire qu'il ne sert à rien d'avoir une politique de mot de passe à part "utiliser un générateur aléatoire"?
De plus, si une équation inclut «x» * à la puissance de * «y», il est assez clair que les augmentations de «y» auront une plus grande influence sur la magnitude.
@RobinWinslow: Ce que je veux dire, c'est que si nous n'introduisons pas le hasard dans l'équation, nous n'avons aucune raison de croire que l'une ou l'autre de ces politiques sera réellement sécurisée.Débattre entre ces alternatives lorsque les humains choisissent les mots de passe, il manque la forêt pour les arbres.
@RobinWinslow: si l'on prend 2 ^ 2 comme point de départ, il est trivial d'observer que 3 ^ 2> 2 ^ 3.Et mon point le plus important est qu'il n'est pas nécessaire de généraliser lorsque vous avez des exemples concrets à partir desquels vous pouvez simplement calculer.
Je savais que vous me reviendriez avec un cas extrêmement choisi où la puissance faisait moins de différence.Merci d'avoir fait votre point pédant.Ce n'est pas utile et ne répond pas à la question.
Il n'y a rien de pédant avec cette réponse, et elle répond à votre question.S'il y a autre chose que vous voulez savoir, je pense que vous devez être plus clair à ce sujet dans votre question.
@RobinWinslow: Mais les exemples NHS que vous avez cités montrent une croissance * linéaire * apparente des longueurs de mots de passe (5, 6, 7, 10) par rapport à une augmentation * exponentielle * de la taille de l'alphabet (26, 52, 95).Ainsi, la règle empirique selon laquelle «x ^ y» croît plus vite sur «y» que sur «x» risque de vous induire en erreur sur cet exemple.Et encore une fois, faire le calcul est assez simple pour que nous n'ayons pas besoin de recourir à des règles empiriques.
C'est tellement évidemment faux!Pour prendre même le pire des cas de vos exemples fournis - `95 ^ 7 = 6.983373e + 13`, alors que` 26 ^ 10 = 1.411671e + 14`.Même avec un jeu de caractères * considérablement * plus grand (ce qui est peu probable en pratique), la plus grande longueur l'emporte.
@RobinWinslow Un mot de passe à six lettres en minuscules est "meilleur" qu'un mot de passe à sept lettres en minuscules.Juste un exemple.
@RobinWinslow C'est pédant, mais vraiment, ça devrait l'être.Le point de vue de la bande dessinée que vous avez intégrée n'est pas seulement que la longueur est reine (ce qu'elle est généralement), mais aussi que l'intuition peut être trompeuse.Les mots de passe qui semblent bons peuvent ne pas l'être et les mots de passe qui semblent faciles à deviner peuvent en fait être assez sûrs.Toutes les règles empiriques s'effondrent à un moment donné.(En fait, dans le xkcd, "agrafe de batterie de cheval correcte" est en fait un mot de passe de longueur 4 issu d'un vocabulaire très large.) Le seul moyen infaillible de déterminer la qualité du mot de passe (ou plus précisément la qualité de la méthode de génération de mot de passe) est de * faireles maths*.
@Ray: Votre observation selon laquelle «l'agrafe correcte de la batterie du cheval» est un mot de passe de longueur 4 à partir d'un grand jeu de symboles est parfaite.Mais cela mine votre déclaration précédente selon laquelle le point de vue de la bande dessinée est (partiellement) que "la longueur est roi" (ou généralement ainsi).
@LuisCasillas D'où le bit "ou généralement".Un vocabulaire de 2048 éléments est (à peine) suffisant pour rendre la taille du vocabulaire pertinente.Mais passer simplement d'un vocabulaire de taille 52 (dans l'option B) à un vocabulaire de ~ 80 (dans l'option C) n'est même pas proche de la quantité nécessaire avant que la longueur ne cesse d'être le facteur dominant.Mon point clé est «Faites toujours le calcul lorsque c'est possible».À l'appui de cela, j'ai souligné le fait que même le conseil xkcd (globalement assez bon) a des aspects non intuitifs.
coteyr
2016-10-10 23:11:20 UTC
view on stackexchange narkive permalink

Voici le truc, qu'on le veuille ou non, cette question ne concerne pas les mots de passe de laboratoire ou mathématiquement plus sécurisés. Il s'agit d'amener les gens à «réfléchir» à leurs mots de passe lorsqu'ils les choisissent.

a. Est incorrect car il ne contient que des lettres.
b. est faux car il ne contient que des lettres
c. est correct car il est suffisamment long et comprend des "caractères spéciaux"
d. est faux car il ne contient que des lettres.

Ou en d'autres termes, les mots de passe utilisant uniquement des lettres sont mauvais.

Maintenant, il est vrai que vous pouvez créer un mot de passe plus sécurisé en n'utilisant que des lettres si elles sont suffisamment longues, ou assez aléatoires . Sûrement "asefhesesnh" est meilleur que "p4ssw0rd!", Mais pour être honnête, c'est une compréhension au-delà de la plupart des gens dans le public cible de ce test.

Au lieu de cela, il est "préférable" de faire comprendre aux utilisateurs de choisir un mot de passe "plus long" et comportant des lettres, des chiffres et des caractères spéciaux.

En d'autres termes, C est correct quand vous parlez d'un large éventail d'utilisateurs avec différents niveaux de compétences techniques, créant leurs propres mots de passe. Bien sûr, le calcul est peut-être faux, mais ce n'est pas grave. Aucun fournisseur ne va rester là et comprendre l'entropie du mot de passe, mais il peut compter le nombre de $ dans un mot de passe.

«Grâce à 20 ans d'efforts, nous avons réussi à former tout le monde à utiliser des mots de passe difficiles à retenir pour les humains, mais faciles à deviner pour les ordinateurs»
"C est correct quand votre (Sic.) Parle d'un large éventail d'utilisateurs avec différents niveaux de compétences techniques, créant leurs propres mots de passe" - la plupart des experts ici semblent être en désaccord.Avez-vous des preuves?
@RobinWinslow Je n'ai pas encore vu un expert en désaccord.L'argument proposé est l'entropie, ce dont un utilisateur normal n'est même pas conscient ou peut même le définir.Vous ne pouvez pas créer une règle de mot de passe comme "Votre mot de passe doit contenir au moins 40 bits d'Entropie" et vous attendre à ce que la plupart des utilisateurs finaux "l'obtiennent".Vous pouvez cependant définir quelques directives de base, et que ce test consiste à se conformer aux directives.
pratiquement tout le monde a dit que C était une mauvaise réponse (en plus de dire que la question en général est mauvaise et que le hasard est la meilleure solution, etc.).Je crois que même lorsque vous avez affaire à de vraies personnes dans le monde réel, si vous leur dites de trouver un mot de passe de 10 caractères avec seulement des lettres, ils en produiront un qui sera plus difficile à deviner pour une machine que si vous leur dites de trouverun 7 caractères comprenant des caractères spéciaux."lazypsycho" est meilleur que "Daphné!".
Comme je l'ai dit, si vous avez des preuves pour contredire (ou, en fait, confirmer) ma croyance ici, je suis extrêmement intéressé de le voir.
Ce que je veux dire, c'est qu'il ne s'agit pas d'un seul mot de passe fort.Il s'agit d'amener un groupe de personnes désintéressées à choisir de meilleurs mots de passe.Comment expliqueriez-vous à un groupe de 20 personnes non techniques comment choisir un mot de passe?Maintenant, comment feriez-vous cela en moins de 15 secondes?
Il n'y a pas de malentendu ici - nous avons exactement le même objectif, nous sommes simplement en désaccord.Ce que je veux dire, c'est que chacun de votre groupe de 20 personnes non techniques trouverait un mot de passe de 10 caractères uniquement composé de lettres qu'un mot de passe de 7 caractères comprenant des caractères spéciaux.Principalement parce qu'ils mettraient tous exactement 1 caractère spécial à la fin, ce qui est probablement un point d'exclamation, un point d'interrogation ou un point.Comme je l'ai dit, si vous avez des preuves pour réfuter cette hypothèse, je suis toute oreille.
lazypsycho!est mieux que lazypsycho (notez que les 3 mauvaises réponses n'incluent aucune ponctuation) même si ce n'est pas beaucoup.
https://www.betterbuys.com/estimating-password-cracking-times/ essayez les deux options.Je pense que leur estimateur est complètement faux, car il ignore les dictionnaires et les modèles mais ... Encore une fois, les gens désintéressés,
C'est une bonne ressource.Merci.Et bien sûr, "Daphné!"= 1 mois 3 semaines, alors que "lazypsycho" = 4 mois, 3 semaines.Evidemment "lazypsycho!"est meilleur que "lazypsycho", c'est une évidence.
Dans le monde réel, l'exigence «c» produira un mot de passe composé, dans l'ordre, d'une lettre majuscule, de quatre lettres minuscules, d'un chiffre et d'un symbole de ponctuation.En outre, le chiffre sera généralement un "1" et la ponctuation sera un point, un point d'exclamation ou un point d'interrogation.Le résultat global sera une complexité de l'ordre de 26 ^ 5, soit environ douze millions de mots de passe possibles.
@Mark De toute évidence, la solution à ce problème est que nous devons faire une règle selon laquelle le nombre ne doit pas être un 1, et ne doit pas être au début ou à la fin du mot de passe. Cela résoudra le problème, vous parlez.
RocketNuts
2016-10-11 14:07:37 UTC
view on stackexchange narkive permalink

L'option b vous offre 52 possibilités par personnage.

Pour que c soit meilleur, chacun des 7 personnages doit avoir plus de 52 10/7 = au moins 283 possibilités.

Cela signifie que les jeux de caractères ASCII ou ANSI occidentaux ne suffiront pas. Ils devraient autoriser le jeu de caractères Unicode (ou certaines pages de code ANSI asiatiques très mystérieuses) pour que l'option c soit meilleure.

C'est évidemment une question mal formulée. Il y a 62 chiffres et lettres (majuscules + minuscules) donc la bonne réponse serait:

c si 'caractères spéciaux' signifie que je peux utiliser des caractères Unicode ou tout autre jeu de caractères contenant au moins 221 caractères non alphanumériques (c'est-à-dire «spéciaux»), sinon b.

Sauf que quiconque essaie de déchiffrer un mot de passe le fera passer par un alpha-num assez étendu avant de se soucier des caractères spéciaux.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...