XKCD # 936: Mot de passe complexe court ou phrase de passe de dictionnaire longue?

AviD

2011-08-11 14:14:01 UTC

view on stackexchange narkive permalink

Je pense que la partie la plus importante de cette bande dessinée, même si elle devait se tromper en maths ( ce qu'elle n'a pas), est de souligner visuellement qu'il y a deux aspects tout aussi importants à la sélection d'un mot de passe fort (ou en fait, une politique de mot de passe, en général):

Difficulté à deviner
Difficulté à se souvenir

Ou, en d'autres termes:

L'aspect informatique
L'aspect humain

Trop souvent, quand on parle de mots de passe complexes, de politiques fortes, expiration, etc. (et, pour généraliser - toute sécurité), nous avons tendance à trop nous concentrer sur les aspects informatiques, et à ignorer les aspects humains.

Surtout quand il s'agit de mots de passe, (et le double en particulier pour les utilisateurs moyens ), l'aspect humain devrait souvent être la principale préoccupation.
Par exemple, à quelle fréquence la politique stricte de complexité des mots de passe appliquée par le service informatique (comme celle indiqué dans le XKCD), aboutit à ce que l'utilisateur note son mot de passe et l'enregistre sur son sc reen ? C'est le résultat direct de trop se concentrer sur l'aspect informatique, au détriment de l'aspect humain.

Et je pense que est le message central du sage de XKCD - oui, Facile à deviner est mauvais, mais Difficile à se souvenir l'est également.
Et ce principe est correct. Nous devons nous en souvenir plus souvent, AKA Règle d’utilisabilité d’AviD :

La sécurité au détriment de la convivialité se fait au détriment de la sécurité.

Votre dernière citation mérite mille votes positifs.

Pour une analyse approfondie des mathématiques derrière xkcd, voir la [réponse de Thomas] (http://security.stackexchange.com/a/6096/33) ci-dessous. Sa réponse montre pourquoi le xkcd a fait le bon calcul, un complément parfait à pourquoi cela n'a pas vraiment d'importance.

écrire un mot de passe n'est pas vraiment un problème. les gens qui vous volent partent avec de l'argent, des bijoux, des objets légers et clôturables (ordinateurs portables, tablette ...), mais ils ne se soucient pas d'un mot de passe sur un post sur votre bureau. D'autant plus que a / ils n'ont pas le login et b / ils ne savent pas à quel service il est lié.

@njzk2 Cela ressemble beaucoup à une phrase que les gens qui gardent leurs mots de passe sur un bureau post-it utiliseraient pour se rassurer en se trompant en pensant qu'ils sont en sécurité. Si ma maison est volée, je serais beaucoup plus préoccupé par les voleurs ayant mon mot de passe bancaire que par la perte de mon argent, de mes bijoux, etc. surtout si je n'apprends le cambriolage que lorsque je rentre chez moi en fin de journée. La seule justification à distance potentiellement valable pour conserver les mots de passe sur le bureau est qu'ils sont des mots de passe pour quelque chose qui n'est pas important, donc ce n'est pas grave si quelqu'un les vole.

@SantiBailors avoir une séquence aléatoire de mots sur un morceau de papier quelque part est loin de vous donner accès à quoi que ce soit. pourrait être un indice, pourrait être un mot de passe, pourrait être obsolète, pourrait être une transformation du mot de passe, et même alors vous ne savez pas à quel compte il appartient, ni quel est le nom d'utilisateur.

@njzk2 Oui, cela pourrait être beaucoup de choses, mais les choses qui intéressent un voleur sont très peu nombreuses, donc le voleur donnera probablement par ex. votre banque en ligne quelques coups avec cela comme mot de passe. Et d'autres choses qu'ils ont volées chez vous sont susceptibles de révéler ce qu'est votre banque, à partir de laquelle il est facile de savoir quel type de nom d'utilisateur utilise ce système, et s'il n'utilise pas de noms d'utilisateur standard (par exemple, le mien utilise mon numéro de sécurité sociale) alors le nom d'utilisateur est susceptible d'être inscrit sur le même post-it. Je dis juste que si j'écris mes mots de passe, je ne les laisserai pas sur le bureau.

@SantiBailors était d'accord, ce n'est pas une bonne pratique. Mais je pense que c'est mieux pour quelqu'un qui aurait des difficultés à se souvenir d'un bon mot de passe que de choisir quelque chose de trivial, comme le nom de son chien.

Je généraliserais «difficulté à se souvenir» à «difficulté à utiliser», qui contient à la fois «difficulté à se souvenir» et «difficulté à entrer».

Très bonne citation!Ça me dérange de l'utiliser dans une page infosec interne de l'entreprise (avec l'URL source)?

@johanvdPluijm s'il vous plaît faites!J'apprécierais l'attribution, ou j'appellerais la règle par son nom propre :-)

@AviD: Je l'ai également mis dans mon rapport de stage sur la sensibilisation à la sécurité de l'information: «D'autres aspects clés étaient la pertinence et la convivialité:« La sécurité au détriment de l'utilisabilité se fait au détriment de la sécurité »(AviD, 2011).Voilà.J'ai rectifié l'utilisation de cette source par le nombre de votes positifs.Vous faites désormais partie d'un nombre limité de personnes que j'ose citer dans mon rapport de stage (+/- 30 atm)

Une autre chose qui améliore la méthode de base de la batterie (via l'observation d'AviD sur la convivialité) est le nombre croissant d'appareils mobiles.Sur un clavier mobile, la méthode `` leetspeak '' nécessite beaucoup de picage et de déplacement de la table des symboles, tandis que la méthode d'agrafage de la batterie peut être saisie beaucoup plus facilement avec moins de risque d'erreur.Essayez de chronométrer vous-même la rapidité avec laquelle vous pouvez saisir l'un ou l'autre des exemples de mot de passe sur le clavier d'écran d'un iPhone.

Je ne suis pas sûr que cela soit clair pour moi.De quel côté es-tu?

Un avantage pour les mots de passe qui sont complètement charabia: si quelqu'un en regarde un sur votre écran, il est non mémorisable sans pas mal de travail.

Pour mémoire, la règle d'utilisation d'AviD est similaire à "I Hate You Maxim 2" de Roger G. Johnston: _Plus une technologie donnée cause des tracas ou ennuie le personnel de sécurité, moins elle sera efficace_.Vous pouvez trouver ceci et d'autres maximes de sécurité intelligente dans [ce PDF] (http://www-personal.umich.edu/~rsc/Security/security_maxims.pdf).

Thomas Pornin

2011-08-11 02:54:22 UTC

view on stackexchange narkive permalink

Voici une explication approfondie des mathématiques dans cette bande dessinée:

Les petites cases dans la bande dessinée représentent l'entropie dans une échelle logarithmique, c'est-à-dire "bits". Chaque case signifie un peu d'entropie supplémentaire. L'entropie est une mesure du coût moyen pour obtenir le bon mot de passe lors d'une attaque par force brute. Nous supposons que l'attaquant connaît la méthode exacte de génération de mot de passe, y compris les distributions de probabilité pour les choix aléatoires dans la méthode. Une entropie de n bits signifie qu'en moyenne, l'attaquant essaiera 2^n-1 mots de passe avant de trouver le bon. Lorsque les choix aléatoires sont équiprobables , vous avez n bits d'entropie lorsqu'il y a 2ⁿ mots de passe possibles, qui signifie que l'attaquant essaiera, en moyenne, la moitié d'entre eux. La définition avec le coût moyen est plus générique, en ce qu'elle capture les cas où les choix aléatoires pris lors du processus de génération de mot de passe (celui qui se produit généralement dans la tête de l'utilisateur humain) ne sont pas uniformes. Nous verrons un exemple ci-dessous.

L'intérêt d'utiliser des "bits" est qu'ils s'additionnent. Si vous avez deux moitiés de mot de passe que vous générez indépendamment l'une de l'autre, l'une avec 10 bits d'entropie et l'autre avec 12 bits, alors l'entropie totale est de 22 bits. Si nous devions utiliser une échelle non logarithmique, il faudrait multiplier: 2¹⁰ choix uniformes pour la première moitié et 2 ^{12 sup>} les choix uniformes pour l'autre moitié compensent 2 ¹⁰ · 2 ¹² = 2 ²² choix uniformes. Les ajouts sont plus faciles à transmettre graphiquement avec de petites boîtes, d'où l'utilisation de bits.

Cela étant dit, voyons les deux méthodes décrites dans la bande dessinée. Nous allons commencer par la seconde, qui est plus facile à analyser.

La méthode du "cheval correct"

Le processus de génération de mot de passe pour cette méthode est le suivant: prenez une liste (publique) donnée de 2048 mots (supposément des mots courants, faciles à retenir). Choisissez quatre mots aléatoires dans cette liste, uniformément et indépendamment les uns des autres: sélectionnez un mot au hasard, puis sélectionnez à nouveau un mot au hasard (qui pourrait être le même que le premier mot), et ainsi de suite pour un troisième puis un quatrième mots. Concaténez les quatre mots ensemble, et voilà! vous avez votre mot de passe.

Chaque sélection de mot aléatoire vaut 11 bits, car 2 ¹¹ = 2048 , et, surtout, chaque mot est sélectionné uniformément (tous les 2048 mots ont la même probabilité de 1/2048 d'être sélectionnés) et indépendamment des autres mots (vous ne choisissez pas un mot pour qu'il corresponde ou non - correspond aux mots précédents et, en particulier, vous ne rejetez pas un mot s'il se trouve être le même choix qu'un mot précédent). Puisque les humains ne sont pas du tout doués pour faire des choix aléatoires dans leur tête, nous devons supposer que la sélection de mots aléatoires se fait avec un appareil physique (dés, jetons de monnaie, ordinateurs ...).

Le l'entropie totale est alors de 44 bits, correspondant aux 44 cases de la bande dessinée.

La méthode "troubador"

Pour celle-ci, les règles sont plus complexes :

Sélectionnez un mot au hasard dans une grande liste donnée de mots significatifs.
Décidez au hasard si vous souhaitez mettre la première lettre en majuscule ou non.
Pour les lettres éligibles aux "substitutions traditionnelles", appliquer ou non la substitution (décider au hasard pour chaque lettre). Ces substitutions traditionnelles peuvent être, par exemple: "o" -> "0", "a" -> "4", "i" -> "!", "E" -> "3", "l" -> "1" (les règles donnent une liste exhaustive connue publiquement).
Ajoutez un signe de ponctuation et un chiffre.

Le mot aléatoire est évalué à 16 bits par la bande dessinée, ce qui signifie une sélection uniforme dans une liste de 65536 mots (ou non uniforme dans une liste plus longue). Il y a plus de mots que cela en anglais, apparemment environ 228 000, mais certains d'entre eux sont très longs ou très courts, d'autres sont si rares que les gens ne s'en souviennent pas du tout. "16 bits" semble être un décompte plausible.

Mettre en majuscule ou non la première lettre équivaut, nominalement, à 1 bit d'entropie (deux choix). Si l'utilisateur fait ce choix dans sa tête, alors ce sera un équilibre entre le sentiment de sécurité de l'utilisateur ("les majuscules est évidemment plus sûr!") Et la paresse de l'utilisateur ("les minuscules sont plus faciles à taper") . Là encore, "1 bit" est plausible.

Les "substitutions traditionnelles" sont plus complexes car le nombre de lettres éligibles dépend du mot de base; ici, trois lettres, donc 3 bits d'entropie. D'autres mots pourraient avoir d'autres comptes, mais il semble plausible qu'en moyenne, nous trouvons environ 3 lettres éligibles. Cela dépend de la liste des "substitutions traditionnelles", qui sont supposées être une convention donnée.

Pour le signe de ponctuation et le chiffre supplémentaires, la bande dessinée donne 1 bit pour le choix de celui qui vient en premier (le chiffre ou le signe de ponctuation), puis 4 bits pour le signe et 3 bits pour le chiffre. Le décompte des chiffres mérite une explication: c'est parce que les humains, lorsqu'on leur demande de choisir un chiffre aléatoire, ne sont pas du tout uniformes; le chiffre "1" aura environ 5 à 10 fois plus de chances d'être sélectionné que "0". Parmi les facteurs psychologiques, «0» a une mauvaise connotation (vide, sombre, mort), tandis que «1» est perçu positivement (gagnant, champion, top). Dans le sud de la Chine, «8» est très populaire parce que le mot «huit» se prononce de la même manière que le mot «chance»; et, de même, «4» est évité en raison de l'homophonie avec le mot «mort». L'attaquant va d'abord essayer des mots de passe où le chiffre est un "1", lui permettant de bénéficier de la non-uniformité des choix de l'utilisateur.

Si le choix du chiffre n'est pas fait par un cerveau humain mais par un appareil impartial, alors nous obtenons 3,32 bits d'entropie, pas 3 bits. Mais c'est assez proche à des fins d'illustration (je comprends très bien que Randall Munroe ne voulait pas dessiner des boîtes partielles).

Quatre bits pour la ponctuation sont un peu sous-estimés; il existe 32 signes de ponctuation en ASCII, tous relativement faciles à taper sur un clavier commun. Cela signifierait 5 bits, pas 4. Là encore, si le signe est choisi par un humain, alors certains signes seront plus courants que d'autres, car les humains pensent rarement à «#» ou «|» comme "ponctuation".

Le grand total de 28 bits est alors à peu près correct, bien que cela dépende des détails précis de certaines sélections aléatoires et de la liste des "substitutions traditionnelles" (ce qui a un impact sur le nombre moyen de lettres éligibles). Avec un mot de passe généré par ordinateur, nous pouvons espérer environ 30 bits. C'est encore faible en ce qui concerne les 44 bits de la méthode du "cheval correct".

Applicabilité

Les paragraphes ci-dessus montrent que les mathématiques de la bande dessinée sont correct (au moins avec la précision que l'on peut attendre dans ces conditions - c'est une bande dessinée , pas un article de recherche ). Elle requiert toujours les conditions suivantes:

La "méthode de génération de mot de passe" est connue de l'attaquant. C'est la partie que @Jeff ne croit pas. Mais cela a du sens. Dans les grandes organisations, les responsables de la sécurité publient de telles directives pour la génération de mots de passe. Même si ce n'est pas le cas, les gens ont Google et ses collègues, et auront tendance à utiliser l'un d'une douzaine de règles. La bande dessinée comprend des dispositions pour cela: "Vous pouvez ajouter quelques bits supplémentaires pour tenir compte du fait qu'il ne s'agit que de l'un des rares formats courants".

Conclusion: même si vous conservez votre méthode " secret ", ce ne sera pas cela secret car vous suivrez plus ou moins consciemment une méthode" classique ", et il n'y en a pas beaucoup.
Les choix aléatoires sont aléatoires et uniformes . C'est difficile à réaliser avec des utilisateurs humains. Vous devez les convaincre d'utiliser un appareil pour un bon caractère aléatoire (une pièce de monnaie, pas un cerveau), et pour accepter le résultat. C'est l'essentiel de ma réponse originale (reproduite ci-dessous). Si les utilisateurs modifient les choix, ne serait-ce qu'en générant un autre mot de passe si celui qu'ils ont obtenu "ne leur plaît pas", ils s'écartent de l'uniformité aléatoire, et l'entropie ne peut être abaissée (l'entropie maximale est obtenue avec un hasard uniforme; vous ne pouvez pas mieux, mais vous pouvez être bien pire).

La bonne réponse est bien sûr celle de @AviD. Les calculs de la bande dessinée sont corrects, mais le point important est que les bons mots de passe doivent être à la fois difficiles à deviner et faciles à retenir. Le message principal de la bande dessinée est de montrer que les "règles de génération de mots de passe" courantes échouent aux deux points: elles rendent difficile la mémorisation des mots de passe, qui ne sont néanmoins pas si difficiles à deviner.

Il illustre également l'échec des esprits humains à évaluer la sécurité. "Tr0ub4dor&3" semble plus aléatoire que "correcthorsebatterystaple"; et les mêmes esprits donneront de bons points à ce dernier uniquement à cause de la mauvaise raison, à savoir la croyance répandue (mais erronée) que le mot de passe longueur fait force . Ce ne est pas. Un mot de passe n'est pas fort car il est long; il est fort car il comprend beaucoup d'aléatoire (tous les bits d'entropie dont nous avons discuté tout au long). La longueur supplémentaire permet d'avoir plus de force, en donnant plus de place au hasard; en particulier, en permettant un hasard "doux" facile à retenir, comme le truc du cheval électrique. D'un autre côté, un mot de passe très court est forcément faible, car il n'y a que peu d'entropie que vous pouvez insérer dans 5 caractères.

Notez que «difficile à deviner» et «facile à retenir» ne couvrent pas tout ce qui est à dire sur la génération de mots de passe; il y a aussi «facile à utiliser», qui signifie généralement «facile à taper». Les mots de passe longs sont un problème sur les smartphones, mais les mots de passe comportant des chiffres et des signes de ponctuation et une casse mixte sont sans doute encore pires.

Réponse originale:

La bande dessinée suppose que la sélection d'un mot "commun" aléatoire donne une entropie d'environ 11 bits - ce qui signifie qu'il y a environ 2000 mots communs. C'est un décompte plausible. L'astuce, bien sûr, est d'avoir une sélection vraiment aléatoire. Par exemple, les activités suivantes:

sélectionnez quatre mots au hasard, puis mémorisez-les dans l'ordre qui a le plus de sens;
si les quatre mots semblent trop difficiles à retenir, les mettre au rebut et en sélectionner quatre autres;
remplacer l'un des mots par le nom d'un footballeur (l'attaquant ne le devinera jamais!);

... tous réduire l'entropie. Il n’est pas facile d’amener vos utilisateurs à utiliser le vrai hasard et à accepter le résultat .

Les mêmes utilisateurs se plaindront probablement des tracas liés à la saisie d’un mot de passe long (si la saisie implique un smartphone, je dois dire que je les comprends assez bien). Un utilisateur mécontent n'est jamais une bonne chose, car il commencera à chercher des contre-mesures qui lui faciliteront la vie, comme garder le mot de passe dans un fichier et le «taper» avec une copie&paste. Les utilisateurs peuvent souvent être étonnamment créatifs de cette façon. Par conséquent, les mots de passe longs ont tendance à se retourner contre vous, du point de vue de la sécurité.

Les commentaires ne sont pas destinés à une discussion approfondie; cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/30766/discussion-on-answer-by-thomas-pornin-xkcd-936-short-complex-password-or-long) .

Une chose cruciale que je pense que cette réponse manque est la mention des attaques par dictionnaire.Il peut être évident pour quiconque est versé dans ce domaine que les attaques par dictionnaire sont prises en compte dans le calcul de l'entropie, mais chaque fois que j'ai entendu quelqu'un critiquer cette bande xkcd, c'est pour le motif que l'auteur ne considère que les attaques par force brute et qu'un réell'attaquant peut utiliser une attaque par dictionnaire plus sophistiquée.La pensée est erronée, mais je pense que les attaques par dictionnaire ont besoin d'une mention juste pour dire non-dire les opposants et dissiper la confusion ici.

Une erreur ici: Une chaîne de 4 mots choisis au hasard dans votre dictionnaire ... est également une chaîne de caractères choisis parmi l'alphabet de 26 lettres ... et son entropie doit être vue à cet égard aussi.Par conséquent, le nombre total de lettres dans la chaîne doit être tel qu'elles ne réduisent pas l'entropie vue à partir d'un POV «Word».

@Score_Under Au contraire, cette réponse suppose une attaque par dictionnaire, tout comme la bande dessinée.

J'adore la façon dont vous et AviD vous êtes liés aux réponses de l'autre.

@NH [Cela arrive.] (Https://xkcd.com/978/)

@ARi En utilisant la méthode de force brute que vous mentionnez, et en supposant que vous utilisez au moins quatre mots de 5 lettres, la deuxième méthode aurait au moins [112,4 bits] (https://www.wolframalpha.com/input/?i=log2 ((5 * 4)% 5E26)) d'entropie.(L'utilisation d'une attaque par dictionnaire le réduit à 44 bits, comme indiqué.) Bien sûr, tout cela suppose que l'attaquant connaît la longueur du mot de passe, ce qui le rend un peu optimiste.

@Score_Under Voir ci-dessus pour la méthode de la force brute.(Je l'ai découvert par accident.)

@ARi êtes-vous sûr que c'est "une chaîne de caractères choisis hors de l'alphabet" de telle sorte que cela augmenterait son entropie?n'est-ce pas spécifiquement PAS ça?Je sais ce que vous voulez dire: c'est une chaîne de caractères, mais ce n'est pas une chaîne de caractères * aléatoires *.La force n'est pas de 26 ^ 25.

"il n'y a qu'une quantité d'entropie que vous pouvez insérer dans 5 caractères."- Unicode définit> 100k caractères, donnant à un caractère une entropie similaire à un mot du dictionnaire anglais (~ 17 bits).5 caractères d'Unicode aléatoire ont plus d'entropie (~ 85 bits) que 6 mots de Diceware (~ 78 bits).Plus difficile à saisir sur certains appareils, cependant.

@LukeSawczak Exactement!C'est ce que dit Score_Under ... Veuillez simplement utiliser l'expression "attaque par dictionnaire" pour être encore plus clair.Il est très facile de penser à tort que les calculs sont basés sur le forçage brutal caractère par caractère.

WRT le truc du smartphone, je soumets que le mot de passe de type `` cheval correct '' sera plus facile à saisir que le mot de passe troubadour parce que * vous ne devez pas continuer à basculer entre les minuscules, les majuscules, les lettres, les chiffres et les symboles toutes les deux lettres *.Et en prime, cela réduit également considérablement le risque d'erreurs ponctuelles, car ce sont des mots que vous savez épeler, de sorte que votre mémoire musculaire détecte correctement les erreurs que vous faites même lorsque vous ne pouvez pas voir ce que vous tapez.

«Troubador» n'est-il pas orthographié avec un «notre»?est donc «ou» à «o» une substitution?sinon, 1 lettre a été supprimée et non prise en compte.

Jeff Atwood

2011-08-11 04:34:29 UTC

view on stackexchange narkive permalink

Les deux mots de passe, basés sur le vérificateur de sécurité des mots de passe de rumkin.com:

Longueur: 11

Force: Raisonnable - Ce mot de passe est assez sécurisé cryptographiquement et les pirates informatiques expérimentés peuvent avoir besoin d'une bonne puissance de calcul pour le déchiffrer. (Dépend grandement de l'implémentation!)

Entropie: 51,8 bits

Taille du jeu de caractères: 72 caractères

et

agrafe de batterie de cheval correcte

Longueur: 28

Force: Forte - Ce mot de passe est généralement assez bon pour protéger en toute sécurité les informations sensibles telles que les enregistrements financiers.

Entropie: 104,2 bits

Taille du jeu de caractères: 27 caractères

Il est certainement vrai que la longueur, toutes choses égales par ailleurs, a tendance à donner des mots de passe très forts - et nous voyons cela confirmé ici.

Même si les caractères individuels sont tous limités à [az] , l'exposant impliqué dans "nous avons ajouté un autre caractère minuscule, donc multipliez par 26 encore " a tendance à dominer les résultats.

En d'autres termes, 72 ¹¹ < 27 ²⁸.

Maintenant, ce qui n'est pas clairement abordé:

les mots de passe doivent être saisis manuellement? A Si oui, dans quelle mesure est-il difficile, mécaniquement, de saisir chacun des caractères du mot de passe? Sur un clavier, c'est facile, mais sur un smartphone ou une console ... pas tellement.
Est-il facile de se souvenir de ces mots de passe?
Dans quelle mesure les attaques par mot de passe sont-elles sophistiquées? En d'autres termes, essaieront-ils réellement des schémas courants tels que «les mots du dictionnaire séparés par des espaces», ou «une phrase complète avec ponctuation», ou «la substitution numb3r leet-speak» comme l'implique xkcd? Fondamentalement, c'est ainsi que XKCD justifie de diviser par deux l'entropie du premier mot de passe!

Le point 3 est presque sans réponse et je pense personnellement qu'il est hautement improbable dans la pratique. Je m'attends à ce que ce soit la force brute de braindead tout le chemin pour obtenir le fruit à portée de main, et le reste ignoré. S'il n'y a pas de fruit de mot de passe simple (et oh, il y en a toujours ), ils passeront simplement au prochain service victime potentiel.

C'est pourquoi je dis le dessin animé est matériellement exact en termes de calcul, mais les attaques de mot de passe prédictives divines qu'il implique sont en grande partie un mythe. Ce qui signifie, à mon humble avis, que ces deux mots de passe spécifiques sont en quelque sorte un lavage en pratique et offriraient des niveaux de protection similaires.

@Jeff, cette réponse est imparfaite. Vous comptez sur Rumpkin pour l'estimation de l'entropie du mot de passe, mais les estimations de Rumpkin sont apparemment fausses. Regardez à nouveau la bande dessinée xkcd: elle représente visuellement la justification de son estimation d'entropie (c'est ce que font les petites boîtes). Les estimations d'entropie de xkcd me semblent correctes, et vos estimations d'entropie semblent fausses (trop optimistes). Je ne suis pas du tout d'accord avec votre conclusion et je ne vois pas d'où vous la tirez.

Les commentaires ne sont pas destinés à une discussion approfondie; cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/30767/discussion-on-answer-by-jeff-atwood-xkcd-936-short-complex-password-or-long- ré).

nealmcb

2011-08-11 04:28:31 UTC

view on stackexchange narkive permalink

Je reconnais que la longueur est souvent préférable à la complexité. Mais je pense que la controverse est moins autour de cela, et plus autour de la quantité d'entropie que vous voulez avoir. La bande dessinée dit qu'une "attaque plausible" est de 1 000 suppositions / seconde:

"Attaque plausible sur un service Web distant faible. Oui, craquer un hachage volé est plus rapide, mais ce n'est pas la moyenne l'utilisateur devrait s'inquiéter de "

Mais je vois plus d'un consensus que les opérateurs de site Web ne peuvent pas protéger leurs bases de données de hachage au fil du temps contre les attaquants, nous devrions donc concevoir les mots de passe et les algorithmes de hachage pour résister à voler les hachages pour une attaque hors ligne. Et une attaque hors ligne peut être massive, comme décrit dans Comment hacher les mots de passe en toute sécurité?

Cela rend le problème encore plus difficile, et les sites devraient vraiment envisager des options en plus d'obliger les utilisateurs à mémoriser leurs propres mots de passe pour chaque site Web, par exemple via OpenID et OAuth. De cette façon, l'utilisateur peut obtenir une bonne méthode d'authentification (peut-être même impliquant un jeton matériel) et l'utiliser pour accéder au Web.

Mais un bon hachage de mot de passe peut également être effectué via de bons algorithmes, un peu plus de longueur et outils de bookmarklet. Utilisez les techniques décrites à la question ci-dessus sur le serveur (c'est-à-dire bcrypt, scrypt ou PBKDF2) et les conseils de Existe-t-il une méthode pour générer des mots de passe spécifiques au site qui peuvent être exécutés dans ma propre tête? sur l'utilisation de SuperGenPass (ou SuperChromePass) côté utilisateur / client.

intéressant, donc cela signifie que du point de vue de l'utilisateur, le choix du mot de passe est presque - à l'exception des lésions cérébrales de type "Password1" - sans importance!

Oui, cela dépend de la menace. Je peux juste commencer à écrire risque = menace x vulnérabilité x exposition sur chaque question. Et pour Thomas, ce sont des opérations multidimensionnelles de produits croisés, et je suppose un système de coordonnées droitier dans l'espace euclidien.

@jeff Pas du tout. Le mot de passe principal utilisé pour supergenpass devrait toujours être un bon mot de passe, et vous devriez également utiliser leur mot de passe "furtif", ainsi que des mots de passe de plus de 10 caractères via leur option "personnalisé", dans votre propre bit de javascript. Parce que comme d'habitude, vous supposez que l'attaquant peut très bien essayer des mots de passe basés sur supergenpass, par exemple peut-être parce qu'ils savent que vous l'utilisez. Mais l'utilisateur n'a qu'à mémoriser un bon mot de passe.

Vous n'avez pas besoin d'un mot de passe fort pour le site Web. Il suffit de forcer un délai de «2 ^ tentatives» en millisecondes entre deux tentatives de connexion consécutives ou de bloquer le mot de passe après 10 essais erronés. 10000 mots de passe différents suffisent pour une protection décente si nous n'avons besoin que de protéger un site Web.

@Elazar Leibovich: L'attaque décrite (hors ligne) est exécutée contre votre base de données compromise; il ne sera pas limité par vos retards. En outre, vous introduisez une méthode DDOS.

@MSalter, si vous craignez que votre base de données ne soit compromise de temps en temps, forcez les utilisateurs à changer leur mot de passe chaque mois. S'ils utilisent un mot de passe très court, cela ne les dérangera pas trop. bcrypt peut également aider à protéger même les mots de passe à faible entropie. BTW, si votre base de données fuit trop fréquemment, l'inversion des hachages est le moindre des soucis de vos utilisateurs ...

@Elazar J'ai eu accès à toutes sortes de bases de données dans mes différents emplois. Dans la plupart d'entre eux, personne ne remarquerait si je vidais une copie dans un fichier et que je sortais avec, inversais ces mots de passe courts et non pertinents que les utilisateurs ont facilement réutilisés sur d'autres sites, puis partaient de là. La compromission de la base de données par un acteur externe n'est pas la seule raison pour laquelle les mots de passe sont correctement hachés ou pour les utilisateurs qui choisissent des mots de passe forts.

@Ninefingers, mais si personne ne remarque que vous videz la table des utilisateurs, personne ne remarquera que vous avez changé le hachage de l'utilisateur pendant quelques heures ou que vous videz ses informations personnelles. Donc, tant que la taupe y travaille, vos données sont compromises. Lorsque vous arrêterez d'y travailler, l'utilisateur changera son mot de passe. Et comme mentionné, inverser un bon schéma de hachage n'est pas trivial. Indépendamment des mots de passe faibles.

@elazar Vous ignorez les désagréments occasionnés à l'utilisateur par les changements fréquents de mot de passe et les dommages causés pendant le 1/2 mois pendant lequel l'attaquant a accès au compte de l'utilisateur, sans parler du temps plus long que l'attaquant a accès à d'autres comptes où l'utilisateur a réutilisé le mot de passe. Éviter les mots de passe ou réduire le nombre de mots de passe uniques auxquels un utilisateur doit faire face peut aider à bien des égards, notamment en leur permettant de se concentrer sur un ou plusieurs très bons.

`` @nealmcb @elazar ce n'est pas seulement une question de commodité. Si vous autorisez des mots de passe faibles ou forts, les gens utilisent des mots de passe selon des modèles, comme «vous ne devriez pas en fait oublier ce 01», alors vous ne le noteriez pas en entier. De plus, si des services supplémentaires ne font pas la même restriction, ils sont alors affectés. Un bon hachage est donc essentiel - le plan est de savoir si la base de données est déjà compromise. Bien que vous ayez raison, si vous rencontrez fréquemment des compromis, vous avez probablement de plus gros problèmes.

@elazar - selon le point de nealmcb. Jetez un œil à http://security.stackexchange.com/q/4704/665 qui présente les avantages et les inconvénients des délais d'expiration des mots de passe courts / longs.

Nous devrons encore supporter les dommages causés par le braindage sous forme de hachages NTLM dans un avenir prévisible. Qui sont trivialement détectables dans un environnement LAN. Tout cela au nom de la rétrocompatibilité!

Chris Cudmore

2011-08-11 21:32:03 UTC

view on stackexchange narkive permalink

Je pense que la plupart des réponses ici manquent le point. Le cadre final parle de facilité de mémorisation. la bonne agrafe de batterie de cheval (tapée de mémoire !!) élimine le danger fondamental de la sécurité de mot de passe - La note de Post-IT.

En utilisant le premier mot de passe, j'ai une note Post-IT dans mon portefeuille (si je suis intelligent) ou dans le tiroir de mon bureau (si je suis stupide), ce qui représente un énorme risque pour la sécurité.

Supposons que l'option de phrase de passe n'est aussi sécurisée que l'option de mot de base munged, alors je suis déjà mieux parce que j'ai éliminé l'échec humain dans le stockage des mots de passe.

Même si j'écrivais la phrase de passe, cela ne ressemblerait pas à un mot de passe. Ce pourrait être une liste de courses - sirop d'œufs au lait de pain. Mais 5t4ck3xCh4ng3 est bien évidemment un mot de passe. Si je tombais sur ça, ce serait la première chose que j'essaierais.

J'ai du mal avec l'ordre étrange des mots. Le plus drôle est, je pense que l'image du cadre FINAL, avec "Cheval: C'est une agrafe de batterie. Moi: Correct!" est encore plus simple et plus facile à retenir car c'est ainsi que la phrase fonctionnerait. Et beaucoup plus fort ..

Peut-être devrions-nous simplement introduire des mots de passe graphiques, où vous devez dessiner le cheval et l'agrafe de la batterie dans l'image finale du cadre. ;-)

Absolument, comme je l'ai dit dans ma réponse aussi - la sécurité par mot de passe n'est pas * seulement * une question d'entropie, c'est l'aspect humain et la façon dont l'utilisateur s'en souvient (ou non). L'entropie est absolument importante, mais ce n'est pas la fin de l'histoire.

Avoir un post-it avec un mot de passe très complexe vaut certainement la mémorisation d'un mauvais mot de passe. Habituellement, vous vous protégez contre les attaques à distance, pas quelqu'un qui se faufile sur votre bureau (c'est un problème pour la sécurité du bureau). De plus, avec les post-its, vous pouvez facilement masquer le mot de passe ou le modifier légèrement ("chaque 1 est un 2", ou le mot de passe ne représente que la moitié de ce qui est écrit, etc.) pour le rendre inutile pour quiconque. Vous simplifiez à l'extrême. (Aussi, je viens de réaliser à quel point c'est vieux, désolé, mais je pense toujours que cela s'applique)

6 ans plus tard de mémoire - "Correct Horse Battery Staple".(Faites défiler vers le haut et vérifiez - OUI!)

@pzkpfw Vous supposez qu'un attaquant distant est plus probable.Cependant, quelles sont les chances qu'un attaquant distant soit plus intéressé par votre mot de passe que (disons) un collègue plein de ressentiment?

@jpaugh le fait est qu'en matière de sécurité, c'est un axiome bien connu que "l'accès physique = game over".Se protéger contre ses collègues implique un ensemble de procédures complètement différent (sécurité physique, coffres-forts, verrous, etc.) - pour des raisons de simplicité, les discussions sur les mots de passe devraient se concentrer sur les attaquants distants, car c'est normalement contre cela que les mots de passe sont conçus pour se protéger.Cela ne veut pas dire que les attaques à distance sont les seules attaques qui existent, mais que c'est une discussion très large.

@pzkpfw Utiliser un post-it est un passage fondamental de «quelque chose que vous savez» à «quelque chose que vous avez».Il casse 2FA.

Misha

2011-09-02 02:25:00 UTC

view on stackexchange narkive permalink

Pour ajouter à l'excellente réponse d'Avid, les autres messages clés de la bande dessinée sont:

la manière appropriée de calculer l'entropie d'un algorithme de génération de mot de passe est de calculer l'entropie de ses entrées, pas pour calculer l'entropie apparente de ses sorties (comme le font rumkin.com, grc.com etc.)
variations mineures d'algorithme telles que les substitutions "1337-5p34k" et "pré / append punct & digits "ajoute moins d'entropie que la plupart des utilisateurs (ou administrateurs système) ne le pensent
(plus subtilement) l'entropie de la phrase de passe dépend de la taille de la liste de mots (et du nombre de mots), pas du nombre de caractères, mais peut toujours fournir facilement une entropie suffisante pour se protéger contre les attaques par force brute "consciente des algorithmes de génération"

À ces messages, nous pourrions souhaiter ajouter:

en tant qu'utilisateur, vous pouvez ' t contrôlent généralement si l'opérateur du site Web utilise le salage, bcrypt / scrypt / PBKDF2, garde ses hachages de mot de passe en toute sécurité, ou même s'ils hachent les mots de passe en premier lieu - vous devriez donc probablement choisir passwo rds qui comptent parce qu'ils ne le sont pas (par exemple supposons 10 ^ 9 suppositions par seconde lors du dimensionnement des mots de passe / phrases, ne réutilisez pas les mots de passe et n'utilisez pas de simples techniques "ajouter le nom du site") - ce qui rend probablement l'utilisation de LastPass / KeePass / hashpass inévitable
les longs mots compliqués n'ajoutent pas grand-chose à l'entropie à moins que vous n'en utilisiez plus d'un couple (il n'y a que ~ 500K mots en anglais, ce qui ne fait que 19 bits - juste 8 bits de plus qu'un mot de la liste de 2048 mots de Randall )
les "mots aléatoires" doivent être vraiment aléatoires pour que cela fonctionne - choisir les paroles de chansons / citations de films / versets bibliques donne une entropie beaucoup plus faible (par exemple, même avec un choix parfaitement aléatoire, il n'y a que 700K mots dans la Bible, il n'y a donc que ~ 4M phrases bibliques de 5 à 10 mots, ce qui ne représente que 22 bits d'entropie)

Avez-vous considéré que d'après la Bible, il existe potentiellement des dizaines de traductions différentes? King James, NIV, New American Standard, Strong's Concordance, la liste est longue. Et ce n'est que de l'anglais. Supposons qu'un Américain connaisse un certain nombre de versets en klingon (avec des accents appropriés, le cas échéant). Le revers de cette médaille est également un concept intéressant. Les bibliothèques de craquage de mots de passe peuvent devenir les référentiels (dans le désordre) de toutes les connaissances, parce que les travaux de session d'université, les émissions de nouvelles et tout le reste seront inclus.

@killermist.[Cela existe déjà.] (Https://libraryofbabel.info/bookmark.cgi?vodqkovajzfg,.p.oxnd182) (Recherchez Klingon sur le lien)

dr jimbob

2011-08-11 10:10:26 UTC

view on stackexchange narkive permalink

J'adore xkcd et je suis d'accord avec son point de base - les mots de passe sont parfaits pour ajouter de l'entropie, mais je pense qu'il a réduit l'entropie du premier mot de passe.

Voyons cela:

Mot de dictionnaire aléatoire. xkcd: 16 bits, Me: 16 bits. Un mot aléatoire d'un dictionnaire avec ~ 65000 mots est lg (65000) ~ 16. Très raisonnable
Ajout de majuscules. xkcd: 1 bit, Me: 0 bits (traiter dans les substitutions communes). 1 bits signifie qu'il est là ou pas là - ce qui semble très faible pour la complexité ajoutée en ajoutant une majuscule à un mot de passe - généralement lorsque la capitalisation d'un mot de passe est dans un endroit aléatoire ou je peux penser à d'autres nombreux schémas de capitalisation possibles (tout capitaliser , mettez la dernière lettre en majuscule). Je vais regrouper cela avec des substitutions courantes.
Substitutions courantes. xkcd: 3 bits, Me: 13 bits. Seulement 8 choix pour les substitutions leet speak, même si elles ne sont parfois utilisées? Je peux penser à environ 2 façons de modifier chaque lettre en moyenne (comme a à @ , 4 ; b à 8 , 6 ; c à (, [, < ) et ajoutez l'original ou en majuscule la lettre, puis pour une lettre 9 mot de passe, j'ai augmenté l'entropie de 18 (lg (4 ** 9) = 18), si je choisis au hasard chaque lettre à modifier ou non. Ceci est cependant trop élevé pour ce mot de passe. Une approche plus raisonnable serait disons que j'ai choisi au hasard, disons 4 lettres aux "substitutions courantes" à (l'une des deux options de leet, plus la mise en majuscule de trois options pour chaque lettre étant substituée). Ensuite, il arrive à lg (nCr (9,4) 3 * 4) ~ 13 bits.
Ajout de deux caractères aléatoires '&3' à la fin. xkcd: 8 bits, Me: 15 bits. Je le considère comme deux caractères à l'un des ~ 4 endroits (disons avant le mot, un avant et un après, les deux après, ou les deux claquent au milieu du mot). Je vais également laisser des caractères non spéciaux dans ces deux lettres ajoutées. Donc, en supposant un dictionnaire de 88 caractères (56 caractères + 10 chiffres, plus 32 symboles), vous ajoutez lg (4 * 80 ** 2) ~ 15 bits d'entropie.

Donc j'ai le calcul comme n'étant pas 16 + 2 + 2 + 8 = 28 bits d'entropie, mais étant 16 + 13 + 15 = 44 bits très similaire au sien mot de passe.

Je ne pense pas non plus que 3 jours à 1000 suppositions / s soit en aucun cas "facile" à deviner ou le mécanisme d'attaque plausible. Un service Web distant doit détecter et ralentir un utilisateur essayant plus de 10000 suppositions dans une période de jour pour un utilisateur spécifique.

D'autres attaques sont beaucoup plus probables (par exemple, les enregistreurs de frappe sur les ordinateurs publics, un administrateur malveillant dans un service enregistrant les mots de passe et les réutilisant, espionnant si ssl n'est pas utilisé, accéder d'une manière ou d'une autre au serveur (par exemple, SQL injection; cambriolage dans la salle des serveurs; etc)).

J'utilise une phrase de passe lorsque cela est nécessaire - par exemple, un cryptage fort (et non 44 bits plus comme 80 bits - généralement une phrase de passe de logiciel de dé 8 mots plus deux ou trois modifications - par exemple, orthographiez mal un mot ou remplacez un mot par un mot non dés commençant par les deux mêmes lettres; par exemple, si vous avez "yaourt", remplacez-le par "yomama"). Pour les sites Web (sans argent ni autorisations de sécurité), je me fiche des mots de passe triviaux qui sont généralement utilisés.

Je remarque que pour les mots de passe souvent utilisés, je suis bien meilleur pour taper les mots de passe que pour taper mes phrases de passe (ce qui devient ennuyeux lorsque vous devez ressaisir une phrase d'environ 50 caractères plusieurs fois). Aussi pour les mots de passe, je préfère souvent trouver une phrase aléatoire (comme une chanson aléatoire - à une chanson que personne ne vous associerait qui n'est pas particulièrement significative) et trouver un mot de passe basé sur les mots (comme parfois utiliser la première lettre; dernière lettre; ou remplacer un mot par un symbole; etc.). Par exemple. L ^ # g&B9y3r de "Chargez des armes et apportez votre" de Smells Like Teen Spirit.

TL; DR : Randall a raison, si vous (a) supposons que vous puissiez vérifier les mots de passe à 1000 / s pendant trois jours sans ralentir, et (b) pouvez faire de nombreuses hypothèses sur le mot de passe: construit sur un mot rare du dictionnaire, qui est en majuscule, a quelques substitutions leet pour certaines lettres couramment substituées , et a un symbole et un nombre ajoutés à la fin. Si vous ne généralisez que légèrement les substitutions autorisées (comme je l'ai fait) et les caractères ajoutés à la fin, vous obtenez une entropie similaire à la phrase de passe.

En résumé, les deux sont probablement sécurisés dans la plupart des cas avec un faible niveau de menace. Vous êtes beaucoup plus vulnérable face à d’autres exploits, ce que Randall serait probablement d’accord avec [538] [ 792]. En général, avoir des exigences de mot de passe comme avoir un supérieur / inférieur / symbole / nombre est une bonne chose, tant que de longues phrases de passe à haute entropie sont également autorisées. Forcez une complexité supplémentaire pour les mots de passe plus courts, mais autorisez plus de 20 caractères en minuscules. Certains utilisateurs choisiront de mauvaises phrases de passe tout comme ils choisissent de mauvais mots de passe (comme "c'est amusant" qui est idiot prétendu être ridiculement sécurisé ici ou en utilisant le nom de leur enfant ou leur équipe sportive préférée). Le fait d'exiger des caractères spéciaux peut rendre la tâche non triviale à deviner facilement (disons par un facteur de 100-1000 - changer un mot de passe de 10 suppositions probables à 10000 est très significatif). Bien sûr, cela n'empêchera aucun bot sur un service Web faible qui autorise des milliers de mauvaises tentatives de connexion par seconde, mais cela oblige à ajouter un niveau de sécurité modeste qui entraverait les efforts sur les sites qui limitent les mauvaises connexions ou les devinettes manuelles peu sophistiquées. le mot de passe. Un peu comme la façon dont une serrure de maison standard à 5 broches est fondamentalement non sécurisée car tout le monde peut apprendre à la prendre en quelques minutes (ou briser la vitre); Cependant, dans la pratique, verrouiller votre porte est une bonne chose car cela offre une certaine sécurité contre les non-avertis qui n'ont pas d'outils à portée de main (et briser les fenêtres comporte ses propres dangers d'alerter les autres).

"Un service Web distant doit détecter et ralentir un utilisateur essayant plus de 10 000 suppositions par période de jour pour un utilisateur spécifique." <- Notez que la bande indique "service Web non sécurisé". Bien sûr, un webservice sécurisé ralentit les choses. Cependant, tous les services Web ne sont pas sécurisés.

la bande dessinée dit que toutes ces choses qui pourraient augmenter l'entropie sont faites stupidement par les utilisateurs (ne mettez que la première lettre en majuscule; utilisez un mot et n'ajoutez qu'un nombre aléatoire et un symbole à la fin; etc.).

@DanBeale: Si vous ne faites pas confiance aux utilisateurs pour créer un mot de passe de manière suffisamment aléatoire, comment leur faites-vous confiance pour créer une phrase secrète de manière suffisamment aléatoire? «c'est amusant» ou «laissez-moi entrer» ou «duveteux est gonflé».

@Billy ONeal: J'ai lu la partie non sécurisée du service Web, mais je pense que ce n'est pas pertinent. La plupart des services qui méritent d'être piratés (les banques, les principaux comptes de messagerie, les principaux vendeurs (amazon), etc.) devraient effectuer une limitation de connexion de base. http://stackoverflow.com/questions/549/the-definitive-guide-to-forms-based-website-authentication/477578#477578 Les services Web non sécurisés ne le seront pas; mais là encore, vous ne devriez probablement pas donner d'informations aux services Web non sécurisés de toute façon - ils peuvent stocker votre mot de passe en texte clair sur un ordinateur avec des exploits bien connus qui prendraient beaucoup moins de 3 jours à quelqu'un pour le craquer.

@Billy ONeal: À moins que vous n'ayez fait quelque chose pour faire de vous une cible spécifique, personne ne passera 300 millions de tentatives sur Internet pour obtenir votre mot de passe pour votre connexion. Après quelques minutes de tentatives, ils passeront au nom d'utilisateur suivant en essayant d'obtenir des fruits à portée de main. (À moins bien sûr qu'il ne s'agisse d'un piratage hors ligne; auquel cas 28 bits et 44 bits ne sont pas sécurisés pour toute tentative réelle.)

@dr jimbob: Non. Nous voyons sur cette même page un utilisateur disant qu'il génère une phrase de passe de logiciel de dé, mais qu'il lance plusieurs fois pour obtenir une phrase de passe plus facile à retenir. Donc, i: générer les phrases et les imprimer sur des billets de 50 $ ii: faire des recherches avec de vraies personnes pour voir combien de fois elles roulent pour obtenir un pass de logiciel de dés qu'elles utiliseront, et à quel point le «vrai» dictionnaire est petit serait une bonne chose.

@DanBeale Je pense que le fait est que (certains) utilisateurs feront toujours le minimum requis d'eux, et que les services qui obligent les utilisateurs à utiliser un mot de passe "fort" avec au moins un chiffre, une majuscule, un signe de ponctuation, etc. sont en fait contreproductifs (bien qu'ils semblent vraiment bons pour la direction!)

@RoundTower - Bienvenue sur SecuritySE! Je suis d'accord; J'ai dit la même chose dans un autre commentaire ci-dessus. Les politiques visant à forcer les mots de passe «forts» se rapprochent du théâtre de la sécurité dans certains cas.

DanBeale

2011-08-11 15:12:43 UTC

view on stackexchange narkive permalink

En regardant la bande dessinée XKCD et des exemples de mots de passe du monde réel, nous voyons que la plupart des utilisateurs ont des mots de passe beaucoup plus faibles que l'exemple XKCD.

Un groupe d'utilisateurs fera exactement comme le premier panneau dit - ils prendront un mot du dictionnaire, mettront en majuscule la première lettre, effectueront une substitution douce, puis ajouteront un nombre et un symbole à la fin. C'est assez mauvais, surtout s'ils réutilisent ce mot de passe (parce qu'ils pensent qu'il est fort) ou si leur compte a des privs.

Comme cela a été mentionné dans les commentaires, Diceware est un bon moyen de générer une phrase de passe. J'aimerais voir la version facile à lire d'une analyse formelle de Diceware. (Je soupçonne que même si l'attaquant a votre dictionnaire et sait que votre phrase de passe est de 5 ou 6 mots, Diceware est meilleur qu'un tas d'autres systèmes de génération de mot de passe.

Mais, quel que soit le mot de passe qu'ils ont, beaucoup les utilisateurs peuvent être persuadés de le remplacer par une valeur connue:

http://passwordresearch.com/stories/story72.html

Pendant Lors d'une évaluation de la sécurité informatique, les auditeurs ont pu convaincre 35 responsables et employés IRS de leur fournir leur nom d'utilisateur et de changer leur mot de passe en une valeur connue. blockquote>

bonne vieille ingénierie sociale ... le hack pour toujours. http://www.codinghorror.com/blog/2007/05/phishing-the-forever-hack.html

Entropy mesure essentiellement le nombre de mots de passe possibles autorisés par le schéma que vous avez utilisé pour générer votre mot de passe. Pour ce faire, prenez le logarithme en base 2 du nombre de mots de passe autorisés par votre schéma. Si votre schéma autorise ~ 2 ^ 10 = 1024 mots de passe, il a 10 bits d'entropie; chaque bit supplémentaire double le nombre de mots de passe autorisés et double le temps de deviner par force brute. Ok, donc si votre phrase de passe du logiciel de dés est générée en lançant 5 dés à six faces (le dictionnaire a 6 ^ 5 = 7776 mots), alors chaque mot ajoute 13 bits d'entropie (log (6 ^ 5) / log (2) = 12,9 ). Par conséquent, 4 mots équivaudraient à 52 bits.

Et pour plus de questions: http://world.std.com/~reinhold/dicewarefaq.html

Je ne sais pas pourquoi vous voulez une analyse «formelle» de Diceware. Le concept est simple et ça marche. Il n'y a pas besoin de mathématiques sophistiquées. Son dictionnaire contient presque 8000 (= 2 ^ 13) mots, donc une phrase de passe aléatoire de quatre mots a environ 52 bits d'entropie (c'est-à-dire qu'il y a environ 2 ^ 52 phrases de passe possibles, toutes également probables; c'est-à-dire qu'un attaquant aurait besoin de essayez environ 2 ^ 52 suppositions pour trouver votre phrase secrète).

@D.W. Diceware est bon, mais les utilisateurs sont pauvres. Il y a un commentaire sur cette page de quelqu'un qui dit avoir roulé plus d'une fois pour obtenir une phrase secrète mémorable. Donc, si les phrases données aux utilisateurs sont correctes, mais que se passe-t-il si les utilisateurs sont autorisés à utiliser eux-mêmes des logiciels de dés? Combien de re-roll? Quels mots de dictionnaires de dés sont les moins / les plus populaires?

Une analyse utile serait de voir combien de ces 2 ^ 52 phrases de passe sont toujours abandonnées par les utilisateurs car elles ne sont pas faciles à retenir. Cela peut réduire considérablement l'espace.

Le relancement d'@DanBeale, plusieurs fois ne nuit pas de manière significative à l'entropie. (Si vous relancez jusqu'à 4 fois, la diminution de l'entropie est d'au plus 2 bits, de 52 bits à 50 bits. Ce n'est pas grave.) Dans l'ensemble, la pratique de relancer pour trouver une phrase de passe mémorable est probablement positif, car cela rend les phrases de passe plus mémorables et augmente donc la probabilité que les utilisateurs utilisent / continuent à utiliser le schéma Diceware. Comme vous le dites, le plus grand défi est la convivialité; pour cela, il faut une étude d'utilisabilité, pas une analyse mathématique formelle.

@D.W. - Merci pour l'info. C'est rassurant de savoir qu'une relance ou deux est acceptable.

@DanBeale: même relancer 16 fois diminue l'entropie de 4 bits, de 52 à 48. Vous êtes encore de quelques ordres de grandeur mieux que les mots de passe l33t.

wisty

2011-08-11 19:22:24 UTC

view on stackexchange narkive permalink

Le problème est encore, malheureusement, un problème humain.

Le fait de pousser les utilisateurs vers des mots de passe alphanumériques + ponctuation sera-t-il plus sûr ou des mots de passe plus longs?

Si vous leur dites à l'utilisateur alpha + numéros, ils écriront leur nom + anniversaire. Si vous leur dites d'utiliser également la ponctuation, ils remplaceront un "a" par "@", ou quelque chose de similaire prévisible.

Si vous leur dites "utilisez quatre mots simples", ils écriront "i aime ma mère »,« j'aime ta mère »,« Dieu merci, c'est vendredi »ou autre chose de banalement prévisible.

Vous ne pouvez tout simplement pas gagner. L'avantage des mots de passe à 4 mots est qu'ils peuvent les mémoriser, donc si vous allez forcer les utilisateurs à avoir des mots de passe forts (que vous générez), alors au moins ils ont gagné » Vous n'avez pas besoin de l'écrire sur un post-it, ou de vous envoyer le mot de passe par e-mail, ou quelque chose de stupide.

Mais ce que vous avez manqué, c'est que la bande dessinée xkcd préconisait probablement qu'un mot de passe aléatoire de quatre mots soit généré pour l'utilisateur en échantillonnant au hasard dans un dictionnaire de 2048 mots, * pas * en demandant à l'utilisateur de choisir quatre mots arbitraires. Cela n'a peut-être pas été évident si vous n'êtes pas familier avec l'histoire du domaine, mais l'idée de base a déjà été évoquée par les cryptographes.

Mike Hamburg

2011-08-12 01:02:13 UTC

view on stackexchange narkive permalink

Randall a pour la plupart raison ici. Quelques ajouts:

Bien sûr, vous devez choisir les mots au hasard. La méthode classique est Diceware, qui consiste à rouler 5d6, donnant près de 13 bits d'entropie par mot, mais les mots sont plus obscurs.

Il peut y avoir 2048 mots communs en anglais, mais il n'y en a pas 2048 mots courants en anglais. La liste Diceware (qui a 6 ^ 5 = 7776 mots de moins de 6 lettres) contient des éléments assez obscurs, plus des noms, des pluriels, des combinaisons de deux lettres, des combinaisons de deux chiffres, 19xx, etc., et je ne pense pas le quart supérieur serait bien meilleur. Si vous prenez juste le mot 2k supérieur en anglais, vous obtenez des trucs comme "multiplication" qui est un peu long dans le cadre d'un mot de passe de 4 mots. Je serais donc intéressé de voir la liste de mots suggérée par Randall.

Il existe des variantes plus évidentes des mots de passe de type "Tr0ub4dor&3" que de ceux de Diceware, donc en pratique, le premier aura quelques bits d'entropie de plus . De plus, d'après mon expérience, les mots de passe de type "Tr0ub4dor&3" ne sont pas vraiment difficiles à retenir si vous les utilisez souvent. Dans le passé, j'ai généré plusieurs mots de passe avec strings / dev / urandom , et je n'ai eu aucun problème à les utiliser comme mots de passe de connexion. Aujourd'hui, cependant, je ne pourrais pas vous dire laquelle des lettres était en majuscule. D'un autre côté, je ne suis pas sûr de pouvoir réciter certains de mes mots de passe Diceware sans confondre les homophones, la pluralisation, etc.

Si la base de données de mots de passe est volée, un renforçateur comme PBKDF2 ajouterait un mot ou plus à la longueur effective de l'un de ces mots de passe, mais de nombreux sites ne l'utilisent pas. 5 mots + un pour le renforçateur donneraient quelque 66 bits, ce qui est probablement trop gros pour une table arc-en-ciel. Cela vous met bien hors de portée des attaquants occasionnels, donc à moins que vous n'ayez quelque chose de vraiment important sur votre compte, tout devrait aller bien.

En résumé, les mots de passe de type Diceware sont idéaux pour les choses que vous tapez occasionnellement, mais pas nécessairement tous les jours. Si vous utilisez un mot de passe tous les jours, alors Diceware fonctionnerait, mais un mot de passe strings / dev / urandom sera plus court et vous devriez quand même pouvoir le mémoriser. Si vous vous connectez rarement, choisissez un mot de passe comme vous le souhaitez, jetez-le dans votre gestionnaire de mots de passe (que vous devriez également utiliser pour les mots de passe les plus couramment utilisés) et oubliez-le.

Si un site a une restriction étrange, comme "pas d'espaces, au moins une lettre majuscule et au moins un chiffre", puis enchaînez les mots avec 5s entre eux et mettez en majuscule la première lettre. Cela perd l'entropie epsilon pour Diceware et aucune pour le schéma de Randall.

Je pense que vous surestimez la capacité de la personne moyenne à mémoriser des données aléatoires.

Pour votre base de données de mots de passe, vous devriez quand même utiliser un sel, donc les tables arc-en-ciel ne sont d'aucune utilité.

L'exemple de sortie de `strings -n 10 / dev / urandom` contient des trucs comme` t! AF | r) WlB`, `<^ p! * P, gvv` et` -WAWkG;]%> (`. Êtes-vous * vraiment * prétendant que vous pouvez * vous souvenir * de l'un de ceux-ci? La «bière de base de la batterie de chevaux correcte» me semble gagnante et a toujours à peu près la même entropie.

La [Liste de mots mnémotechniques] (https://github.com/jasimmonsv/Mnemonic-Word-List) a 1626 mots (entropie: 10,66 bits / mot) avec une longueur moyenne de 5,76 caractères (4-7 caractères / mot). Tous les mots sont réels, reconnaissables internationalement et phonétiquement différents. En tant que non-anglophone, je les trouve assez faciles à comprendre. À propos de Diceware: J'utilise la méthode Diceware avec une liste de mots finlandais pour générer des mots de passe que je tape plusieurs fois par jour à mon travail (la longueur n'est pas un problème pour moi). La liste de mots finnois est bien meilleure que l'original car tous les mots sont réels et il y a beaucoup moins de bizarreries.

sarnold

2011-08-12 12:51:40 UTC

view on stackexchange narkive permalink

L'outil Openwall Linux pwqgen génère des mots de passe avec une quantité spécifique d'entropie le long de ces mêmes lignes.

Cependant, au lieu d'utiliser des espaces pour séparer les mots, des caractères de ponctuation et des chiffres sont utilisés à la place. Voici dix exemples avec 49 bits d'entropie:

  Cruise! Locus! Frametehran! Commit6churchSeller7Fire3singSalt&Render4exportForget7Driver = TriedGreat5Noun + Khakihale8Clung&doseEgo $ Clinchka $ Les mots du Gulfblaze5 sont les plus plus difficile à lire sans leurs espaces, mais depuis les années que j'utilise des mots de passe générés avec cet outil, je n'ai pas trouvé la ponctuation difficile à retenir.

Merci pour le pointeur! Mais je pense que vous avez une faute de frappe. Je suppose que vous fournissez une liste avec 44 bits d'entropie, pas 64. Cela commence à générer des phrases de 4 mots à 48 bits. Et pour mémoire, via `for i in {26..81}; faire echo -n $ i ""; pwqgen aléatoire = $ i; done`: À 26 bits, il a 2 phrases de mots, à 27, il ajoute des séparateurs de ponctuation, à 31, il a 3 phrases de mots, avec ponctuation à 40, à 48 il a 4 phrases de mots, avec ponctuation à 53, à 65, il se déplace vers 5 phrases de mots, avec ponctuation à 66, jusqu'à 81 bits. Cela semble un peu étrange.

Le [code source passwdqc] (http://cvsweb.openwall.com/cgi/cvsweb.cgi/Owl/packages/passwdqc/passwdqc/) révèle un ** petit dictionnaire de 4096 mots **, ce qui signifie la véritable entropie de bits de ces Les exemples «64 bits» sont ** en fait 49,8 bits **: `log₂ (⟨4096 × 2⟩ × 42 × ⟨4096 × 2⟩ × 42 × ⟨4096 × 2⟩)` (2x pour la première lettre à casse aléatoire, 42 caractères non alphabétiques imprimables sur un clavier en_US). [Diceware] (http://world.std.com/~reinhold/diceware.html) est de 7776 mots et un dictionnaire standard est de 100k mots. passwdqc aurait besoin de 155 000 mots pour 64 bits d'entropie. Voir aussi ma [table d'entropie pw] (https://security.stackexchange.com/a/93628/42391).

@AdamKatz, yikes. J'ai toujours supposé qu'il utilisait `/ usr / share / dict / words` sur mon système, soit ~ 100k mots, ce qui aurait conduit à ~ 60 bits d'entropie pour ce format. Je vais modifier ma réponse. Merci.

nullnvoid

2011-08-11 05:10:36 UTC

view on stackexchange narkive permalink

Je ne suis pas un expert en sécurité, mais je pense qu'il y a une erreur ici.

Le point de la bande dessinée semble indiquer qu'en augmentant la longueur du mot de passe, vous augmenterez la complexité.

La complexité d'un mot de passe de quatre mots est en fait considérablement réduite. Essentiellement, vous avez échangé 8 à 11 caractères sélectionnés de manière semi-aléatoire contre 4 mots sélectionnés au hasard. La longueur de la phrase de passe est moins importante que le nombre de mots . Tout ce qu'il faut, c'est que l'attaquant tente diverses combinaisons de mots à partir d'un dictionnaire. Les mots utilisés sont vraisemblablement assez courants s’ils doivent être mémorisés et courts s’ils doivent être tapés.

Les attaques par dictionnaire sont déjà utilisées à bon escient. Nous n'utilisons pas couramment 260 000 mots. Nous ne connaissons que 12 000 à 20 000 mots. Parmi ceux-ci, nous en utilisons généralement moins de 8 000. Je ne peux pas imaginer que les utilisateurs réguliers vont créer des mots de passe contenant des mots longs et compliqués à saisir, ce qui réduit encore le sous-ensemble de mots possibles. En supposant que tout le monde commence à utiliser cette méthode de sélection de mot de passe, les attaques par dictionnaire deviendraient en fait beaucoup plus efficaces.

Maintenant, une combinaison des deux peut être plus sûre, bien que cela défie l'intérêt de l'exercice .

Les attaques par dictionnaire sont déjà utilisées à bon escient. Le point que j'essayais de souligner était que la longueur n'est pas la mesure de la complexité de ce système. Quoi qu'il en soit, nous n'utilisons pas couramment 260 000 mots. Nous ne connaissons que 12 000 à 20 000 mots. Parmi ceux-ci, nous en utilisons généralement moins de 8 000. Je ne peux pas imaginer que les utilisateurs réguliers vont créer des mots de passe contenant des mots longs et compliqués à taper, ce qui réduit encore le sous-ensemble de mots utilisés.

On suppose 11 bits d'entropie pour un mot du dictionnaire. Cela se traduit par 2000 mots, beaucoup moins que 8K que vous avez mentionné précédemment. Ainsi, l'argument tiendrait toujours.

Cette réponse ignore les nombres utilisés dans l'analyse XKCD et est donc totalement infondée!

* "la bande dessinée semble indiquer qu'en augmentant la longueur du mot de passe, vous augmenterez la complexité" * - Non, ce n'est pas du tout ce que dit la bande dessinée. Relisez-le, plus attentivement cette fois.

Je pense que vous confondez «complexité» et «entropie». L'intérêt de la bande dessinée est que la phrase de passe * réduit * la complexité, tout en offrant une * entropie * plus élevée. La complexité affecte les humains, pas les ordinateurs - tandis que l'entropie est ce qui empêche la force brute.

Je suis entièrement d'accord avec cette réponse. S'il était courant d'utiliser des mots de passe plus longs composés de mots plus longs, les méthodes d'attaque par dictionnaire pourraient être facilement optimisées pour cela.

Vous avez le choix entre 96 ^ NumOfChars ou 7776 ^ NumOfWords. (7776 est la taille du dictionnaire de Diceware.) 96 ^ 11 == bien mais difficile à retenir. 7776 ^ 6 == mieux et plus facile à retenir.

Je ne suis certainement pas un expert dans ce domaine et je n'ai jamais rencontré Entropy auparavant. Je note qu'un certain nombre de personnes disent "Je pense que 11 bits d'entropie par mot sonne juste" mais je n'ai remarqué personne qui expliquait comment cela a été calculé. Quelqu'un a-t-il un bon article d'introduction au calcul de l'entropie? J'en ai examiné quelques-uns qui s'adressaient aux étudiants en mathématiques.

nullnvoid, un dictionnaire de 2048 mots a, eh bien, 2048 = 2 ^ 11 mots. Si vous en choisissez un uniformément au hasard, il y a 2 ^ 11 possibilités. Ainsi, 11 bits d'entropie. Un attaquant devra essayer environ 2 ^ 11 suppositions pour trouver votre mot (2 ^ 10 en moyenne, 2 ^ 11 dans le pire des cas). Vous pouvez trouver plus de détails sur les calculs d'entropie dans d'autres réponses et commentaires sur cette page.

@DanBeale Pourquoi «7776 ^ 6» est-il «meilleur»? N'est-ce pas `96 ^ 11 - 7776 ^ 6 = -214691526415214947860480> 0`?

@kizzx2 - oui. 96 ^ 11 est inférieur à 7776 ^ 6. Ainsi, un mot de passe aléatoire de 11 lettres, choisi parmi 96 caractères différents, sera difficile à utiliser mais assez bon; tandis qu'une phrase secrète aléatoire de 6 mots (choisie parmi une liste de 7776 mots) sera facile à utiliser et plus forte.

@nullnvoid Le fait est que le sous-ensemble des 10 000 mots * que vous * connaissez est différent de l'ensemble que * je * connais. C'est un diagramme de Venn - et étant donné que nous fréquentons tous les deux ce site, il y a probablement plus de chevauchement qu'avec deux personnes choisies au hasard - mais ce ne sont pas les mêmes. Dans le scénario avec lequel nous travaillons ici, l'attaquant est supposé ne rien savoir de la cible spécifique.

@AviD L'autre chose qui a semblé manquer à l'affiche de la réponse est que les vérificateurs de mots de passe ne fournissent pas vraiment (tant qu'ils ne sont pas FUBAR) de commentaires "trop courts" ou "trop longs", et à la place fournissent simplement "Non".

PearsonArtPhoto

2011-08-11 04:06:02 UTC

view on stackexchange narkive permalink

En lisant le commentaire, j'ai quelques réflexions.

Le nombre d'entropie sur le mot de passe est assez faible. À tout le moins, vous devriez ajouter 1 à 3 bits supplémentaires pour les substitutions de caractères. Dans cet exemple, il semble que la formule exacte soit connue, ce qui semble un peu improbable.
Le décompte d'entropie du mot de passe plus long me semble correct.
Le mot de base semble être "Troubador", si je déchiffre correctement les substitutions courantes. Je ne pense pas que ce soit un mot courant, donc limiter l'entropie d'un mot basé sur un dictionnaire à seulement 11 bits d'entropie est un peu faible. Je suppose que ce serait toujours dans un dictionnaire, mais devrait être étendu à au moins une entropie de 15 bits, ou une sélection de 32K mots. Cela semble être à peu près le niveau d'utilisation d'une attaque basée sur un dictionnaire.

Il est vrai qu'en principe, un mot de passe long composé de mots aléatoires est au moins aussi bon qu'un mot de passe comme un mot de passe court avec plus de caractères, mais les mots doivent être aléatoires. Si vous commencez à citer une phrase bien connue, ou même tout ce qui pourrait être une phrase ou une partie d'une phrase, cela limite considérablement l'entropie.

La bande dessinée xkcd suppose qu'il y a environ 8 substitutions couramment utilisées qu'un attaquant devrait essayer (3 bits d'entropie). Vous semblez affirmer qu'il existe environ 128 à 256 substitutions couramment utilisées qu'un attaquant devrait probablement essayer (7 à 8 bits d'entropie). Où est votre justification pour cela? Personnellement, je pense que l'estimation de xkcd est meilleure que la vôtre.

La justification est que vous pouvez les utiliser ou non. Si vous remplacez parfois 0 par o, c'est 1 bit de substitution. Si vous pouvez utiliser * et -, par exemple, c'est 2 bits de substitution pour chaque fois que vous trouvez un tel caractère, car il y a quatre combinaisons. Je pense que 1-2 après réflexion est plus précis, ce qui lui donne 4-5 bits au lieu de 3.

Vous supposez que chaque mot de passe a 8 lettres différentes qui offrent chacune une possibilité indépendante de substitutions. Pour la plupart des mots de passe, je pense que ce ne sera pas le cas.

Sur le point 1: Si vous supposez qu'un attaquant ne sera pas en mesure de deviner votre schéma de mot de passe, vous pouvez en effet renforcer la force de votre mot de passe supposé.Cependant, a) les attaquants sont meilleurs pour deviner des stratagèmes que vous ne les inventez;b) les politiques de mots de passe obligatoires facilitent la devinette des schémas;c) vous devrez également vous demander si un attaquant connaît la longueur exacte et le dictionnaire de la phrase de passe, de sorte que cela devient également plus fort. Sur le point 3: Randall a en fait accordé à «Troubadour» 16 bits d'entropie pour être un mot rare, contre seulement 11 bits pour ses «mots communs».

WBT

2015-11-02 19:30:51 UTC

view on stackexchange narkive permalink

Dans un test empirique, les phrases de passe ne semblent pas aider autant que XKCD voudrait vous faire croire: dl.acm.org/citation.cfm?id=2335356.2335366

Les utilisateurs ont tendance à créer des mots de passe faciles à deviner, tandis que les mots de passe attribués par le système ont tendance à être difficiles à retenir. Les phrases de passe, des ensembles de mots en langage naturel délimités par des espaces, ont été suggérées comme étant à la fois sûres et utilisables depuis des décennies. Dans une étude en ligne de 1476 participants, nous avons exploré la convivialité des phrases de passe de 3 et 4 mots attribuées par le système par rapport aux mots de passe attribués par le système composés de 5 à 6 caractères aléatoires et de mots de passe prononçables attribués par le système à 8 caractères. Contrairement aux attentes, les phrases de passe attribuées par le système ont fonctionné de la même manière que les mots de passe attribués par le système d'entropie similaire dans les métriques d'utilisabilité que nous avons examinées. Les mots de passe et les mots de passe ont été oubliés à des taux similaires, ont conduit à des niveaux similaires de difficulté et de gêne pour les utilisateurs, et ont tous deux été écrits par une majorité de participants. Cependant, les phrases de passe ont mis beaucoup plus de temps à entrer pour les participants et semblent nécessiter une correction d'erreurs pour compenser les erreurs de saisie. La facilité d'utilisation des mots de passe ne semblait pas augmenter lorsque nous réduisions le dictionnaire à partir duquel les mots étaient choisis, réduisions le nombre de mots dans une phrase de passe ou permettions aux utilisateurs de modifier l'ordre des mots.

[La version complète et gratuite] (https://www.ece.cmu.edu/~lbauer/papers/2012/soups2012-passphrases.pdf) est disponible sur leur site.

Cyberherbalist

2011-08-12 01:49:56 UTC

view on stackexchange narkive permalink

De nombreuses réponses à cette question soulèvent le fait évident que même si vous demandez aux utilisateurs d'utiliser plusieurs mots séparés par des espaces pour plus de lisibilité, trop d'utilisateurs choisiront des mots dans des phrases "banales", comme "j'aime ma mère" , qui, si les craquelins savaient que de telles phrases simples étaient d'usage courant, serait rapidement craquelé. Je suppose que certains crackers font peut-être déjà cela - ils ne sont pas stupides après tout! Mais tout n'est pas perdu.

Trop de sites Web avec lesquels j'ai des relations de connexion m'obligent à rendre mon mot de passe plus complexe (en utilisant leetspeakish et d'autres exigences de combinaison pour les majuscules / minuscules, les chiffres et les symboles). Ils font en sorte que mes mots de passe soient difficiles à retenir.

Et si, au lieu d'exiger de la complexité, une vérification de la validation du mot de passe était effectuée pour vérifier d'abord un dictionnaire de mots de passe reconnu, et une fois qu'une attaque par dictionnaire était éliminée en tant que problème, elle le ferait calculer la force contre une attaque bruteforce, et exiger seulement qu'un mot de passe soit capable de retarder l'attaque bruteforce pendant un billion d'années? Dans ce cas, Tr0ub4dor&3 ne passerait pas - le calculateur d'espace de recherche de Steve Gibson sur https://www.grc.com/haystack.htm dit qu'il pourrait être forcé brutalement dans seulement 1,83 milliard de siècles, mais «hold wine good cold» pourrait y résister pendant 1,43 milliard de milliards de siècles.

Ce que j'essaie de dire ici, c'est d'arrêter d'obliger les utilisateurs à trouver des combinaisons de caractères bizarres et de vérifier leurs mots de passe par rapport au dictionnaire et attaques par force brute. Je pense que la sécurité ne pourrait que s'améliorer en conséquence.

Ou simplement forcer les gens à utiliser des outils comme Keepass - fait le travail à merveille.

Bienvenue chez securitySE! Je suis tenté de -1 pour mentionner GRC. Mais vous avez un bon point.

Il h. Et quel est le problème avec GRC, exactement? :-)

Bienvenue à @Cyberherbalist, sur [security.se]! Malheureusement, Steve Gibson est reconnu comme un ignorant et un charlatan, du moins selon [attrition.org] (http://attrition.org/errata/charlatan/steve_gibson/) ...

@AviD - pour y revenir tard, mais même Mère Teresa a des haineux. Gibson n'est peut-être pas à la hauteur des normes de certaines personnes, mais son travail m'a aidé à plusieurs reprises. Et SpinRite a sauvé mon $ une fois quand il comptait. Malheureusement, tout le monde est finalement dépassé et obsolète.

@Cyberherbalist Il ne s'agit pas d'avoir des haineux, il s'agit d'être un meilleur marketeur qu'autre chose, même s'il ne comprend pas les mots qu'il répète hors contexte, ou qu'il invente tout à fait. Mais ce n'est vraiment pas le lieu pour une discussion sur son expertise ...

@AviD: Certes, ce n'est pas l'endroit. Je ferai remarquer que je n'ai pas allumé le feu. Mais déjà assez dit.

user93353

2013-06-12 09:29:03 UTC

view on stackexchange narkive permalink

Bruce Scheiner aime les longues phrases de passe, mais il souligne également les difficultés pratiques d'une longue phrase de passe depuis de nombreuses années. Les mots de passe ne sont pas repris à l'écran lorsque vous les saisissez. Vous voyez un astérisque ou un gros point noir sur l'écran par lettre. Même en tapant des mots de passe de 7 à 8 caractères, vous vous demandez parfois au milieu si vous l'avez bien tapé. Donc, vous retournez tout et recommencez. Parfois, nous oublions où nous sommes au milieu du mot de passe & compte le nombre de caractères déjà tapés et le compare mentalement avec le mot de passe pour savoir où nous en sommes. Ce serait encore plus difficile de le faire avec une longue phrase de passe si elle n'est pas renvoyée. Je pense que de longues phrases de passe ne se produiront qu'une fois ce problème résolu efficacement.

J'utilise des mots de passe "simples" (comme dans, juste des lettres minuscules, des mots réels) exclusivement depuis quelques années. Bien que j'en saisis différents au moins 6 fois par jour, je n'ai pas besoin de reculer la phrase de passe entière à cause d'une faute de frappe plus d'une fois par semaine. Je suis raisonnablement sûr que c'est le cas de quiconque écrit régulièrement à l'aide du clavier ...

J'ai dû changer votre mot de passe WiFi, car il était trop complexe à saisir dans un iPhone!

Je me demande quelles seraient les implications pour la sécurité d'avoir la logique de saisie du mot de passe pour voir si un mot est dupliqué et, si un mot de passe ne fonctionne pas, essayer le mot de passe qui résulterait de la suppression de tout mot dupliqué et de tout ce qui se trouve entre les doublons ? Donc, "la bonne agrafe de batterie de cheval" serait transformée en "bonne base de batterie de cheval"?

RobIII

2011-08-11 05:10:15 UTC

view on stackexchange narkive permalink

Je suis d'accord avec Jeff Atwood. De plus, j'ai pris un (et non le ) dictionnaire anglais que j'ai ici dans MSSQL avec 266 166 mots (ainsi que 160 086 mots allemands et 138 946 mots néerlandais) et pris un aléatoire sélection de 10 mots pour chaque langue.

Voici les résultats pour l'anglais:

malin
wolframinium
muth
non volcanique
contradictoirement
desperadoisme
non-surnaturel
placabilité
recondensation
Remi

Maintenant, prenez n'importe quelle combinaison de mots qui vous donneront assez d'entropie et vous êtes prêt à partir. Mais comme vous pouvez le voir dans cet exemple, il n'est pas très facile de faire quelque chose de facile à retenir de ce mot jumbo. Donc, l'entropie diminue beaucoup lorsque vous essayez de créer des «phrases compréhensibles (pas correctes ou logiques) ».

Par souci d'exhaustivité, des résultats (aléatoires) pour l'allemand et le néerlandais :

Allemand:

torlos
Realisierung
hinterhaeltigsten
anbruellend
Orthograpie
vielsilbigen
lebensfaehig
drang
festgeklebtes
Bauernfuehrer

Néerlandais:

spats
bijstander
Abcoude
vergunningsaanvraag
schade- eis
ammoniakuitstoot
onsentimenteel
ebstand
radiaalband
profielschets

Cela n'a aucun argument technique, et cela ne comprend pas la proposition xkcd. La proposition xkcd n'est * pas * de sélectionner 4 mots au hasard dans un dictionnaire de 200 000 mots. Il s'agit plutôt de sélectionner 4 mots au hasard dans un dictionnaire plus petit des 2000 mots les plus courants. Si vous suivez ce que xkcd * réellement * recommandé, vous constaterez que les phrases de passe résultantes sont plus faciles à mémoriser.

De toute façon, la plupart des mots suggérés pour l'allemand ne font pas partie d'un vrai dictionnaire. Par «réel», je veux dire le genre de dictionnaire auquel les gens ordinaires pensent, pas celui utilisé par les logiciels de vérification orthographique et de craquage de mots de passe.

"Les idées vertes incolores dorment furieusement." Chomsky.

@TRiG: C'est la combinaison que j'ai sur mes bagages!

"Orthograpie" devrait être "Orthographie", en fait. (Je ne sais pas si vous avez mal saisi ceci ou si votre dictionnaire contient déjà cette erreur.)

Nous sommes donc d'accord: les Allemands ont besoin de deux mots, le reste d'entre nous a besoin de quatre mots? :)

@D.W. "_Plutôt, il s'agit de sélectionner 4 mots au hasard dans un dictionnaire plus petit des 2000 mots les plus courants ._" Je ne vois cela nulle part dans la bande dessinée, ni dans l '"info-bulle" de la bande dessinée xkcd originale? Aussi: comment un ditionnaire plus petit améliore-t-il l'entropie (dont parle la bande dessinée) ??

@PaŭloEbermann Je n'en ai aucune idée; tous les mots proviennent d'une base de données aléatoire de "Dictionnaire" que j'avais traîner. Mon commentaire ne concerne pas l'orthographe parfaite, mais pas "simplement" la possibilité de créer des «phrases» faciles à retenir (indépendamment des fautes de frappe que j'ai pu faire).

Désolé pour mon commentaire, c'était juste un peu drôle que vous ayez mal orthographié le mot "orthographe correcte". Cela ne concerne pas vraiment la sécurité de votre système (bien que les mots de passe orthographiés à droite soient plus faciles à retenir, je pense).

@user3992, c'est un peu subtil. Vous devez lire attentivement la bande dessinée xkcd et vous familiariser avec la documentation sur la sécurité et les travaux antérieurs dans ce domaine (par exemple, Diceware). Conseils pour faire la bande dessinée xkcd: 1. Un panneau dit "quatre mots communs aléatoires". 2. Le panneau suivant dit "44 bits d'entropie", ce qui implique 11 bits d'entropie par mot - ce qui suggère à son tour qu'il propose de choisir chaque mot au hasard dans un dictionnaire d'environ 2000 mots courants. (Pas un dictionnaire de 266000 mots; ce serait 72 bits d'entropie, plutôt que 44 comme cité dans la bande dessinée.)

-1

En outre, @RobIII note que "ce qu'est la bande dessinée" n'est PAS * seulement * une amélioration de l'entropie, il s'agit du compromis entre une augmentation de l'entropie et de la mémorisation (utilisabilité) - et comment la solution typique est un compromis en arrière.

Jeff

2012-01-12 20:45:45 UTC

view on stackexchange narkive permalink

Je me suis également posé des questions à propos de celui-ci, et je voudrais l'analyser non pas d'un point de vue philosophique (si les utilisateurs écrivent leurs mots de passe, cela devient quelque chose que vous avez au lieu de quelque chose que vous connaissez ... 2-factor devient 1 facteur), mais d'un point de vue mathématique et scientifique.

J'ai récemment téléchargé un logiciel de craquage de mots de passe GPU pour jouer avec. Je voudrais déchiffrer ces deux mots de passe en utilisant cela (puisque c'est mon nouveau jouet) et déterminer lequel est le meilleur.

Pour une hypothèse, je voudrais également jeter une variante possible - l'attaquant vous savez peut-être que vous n'utilisez que des mots du dictionnaire et que vous n'appliquez pas les symboles et les nombres (en diminuant l'espace entre les touches).

Scénario 1

  - Attaquant sait que vous n'avez utilisé que des mots du dictionnaire. (Keyspace = 26 lettres + 26 majuscules + 1 espace = 53) .- Le mot de passe doit avoir 4 mots du dictionnaire avec un total de caractères minimum de 20.

Scénario 2 b>

  - Identique au scénario 1, sauf que l'attaquant ne sait pas que seuls les mots du dictionnaire sont utilisés (l'espace de clés augmente).

Contre 2 groupes de contrôle où les mots de passe aléatoires contiennent 2 chiffres, 2 caractères spéciaux et 16 caractères.

Serait-ce un test approprié? Sinon, faites-le moi savoir et je modifierai les paramètres.

Pas vraiment un test approprié; car le premier mot de passe aléatoire choisi par le GPU peut très bien être le mot de passe. Il y a ici une nature probabiliste dont il faudrait tenir compte pour que cela fonctionne.

Je suppose qu'un "test" plus approprié serait simplement de montrer ce qui est le plus long via les mathématiques?

Je ne comprends pas d'où vous tirez ces exigences de longueur. Ils ne me semblent pas raisonnables. (L'effet aléatoire peut être facilement contrôlé en répétant le test plusieurs fois.)

Dick99999

2013-10-15 18:13:18 UTC

view on stackexchange narkive permalink

La bande dessinée XKCD ne décrit pas explicitement que les phrases de passe peuvent contenir des symboles de séparation entre les mots. Un choix naturel consiste à ajouter le même symbole entre tous les mots. Si l'application dispose d'une option Afficher le mot de passe, la phrase peut être facilement rouge. Dans la théorie qui ajoute 5 bits de force, rétrogradé à 4 bits, voir La méthode "troubador" de l'explication des mathématiques dans cette bande dessinée

La rétrogradation exacte dépend également de la facilité avec laquelle c'est à un attaquant de deviner le symbole ou d'essayer d'abord des symboles de séparation spécifiques. C'est pourquoi j'utilise 3 ensembles distincts de symboles pour calculer ce type de renforcement. Set1: 13 symboles des symboles numériques de l'iPhone, 31 symboles pour chacun d'eux, et un ensemble spécial de 3, pour les symboles de séparation souvent utilisés: espace - _

J'utilise ce qui suit pour le calcul ( Notation Excel, uniquement si un symbole de séparation est utilisé):

force = >> voir ci-dessous pour une simplification = log (NumWordsInCurrentDict * ((sepaClassSize ^ (SepratorLen) +1) * (NumWordsInCurrentDict) ^ ( nWordInPhrase-1)), 2)

4 mots Diceware donnent les points forts suivants: Pas de séparateur: 51,7 bits; Un séparateur d'espace: 53,3 bits; et un séparateur de tous les 31 symboles comme ^: 56,7 bits

============= edit en edit2: oublié le journal 2, corrigé

Le La formule simplifiée pour la formule ci-dessus est: log (((sepaClassSize + 1) ^ SepratorLen) * (NumWordsInCurrentDict ^ numWordsInPhrase), 2)

La bande dessinée XKCD décrit de nombreuses options de modification / substitution des mots de passe. La page d'accueil de Diceware Passphrase mentionne une modification spéciale qui n'est pas dans la partie de phrase de passe comique: insérez juste 1 lettre aléatoire dans un seul des mots de la phrase choisie. Cela ajouterait encore 10 bits d'entropie. (Voir la section "Ce que vous n'avez pas vraiment besoin de savoir en option")

Alois Mahdal

2015-07-25 05:01:44 UTC

view on stackexchange narkive permalink

Il semble que la plupart soient d'accord pour dire qu'en ce qui concerne les mathématiques, la méthode Horse est supérieure - dans quelle mesure semble être principalement liée à des limitations telles que l'uniformité des choix, ou quelles sont ces expressions "faciles à retenir" ou "faciles à taper".

Très bien, mais je vais vous apprendre un tour de magie pour rendre ces limitations un peu moins pertinentes:

Utilisez la méthode Horse comme plateforme pour créer de nouvelles phrases. Utilisez la méthode correctement aléatoire pour choisir les mots. Cela peut vous apporter des mots difficiles que vous n'avez jamais entendus et que vous aurez peut-être du mal à retenir, mais ...

C'est pour suivre aveuglément la méthode Horse. Le tour de magie est que vous ne vous arrêtez pas ici . À moins que vous ne soyez une personne désespérément ennuyeuse et peu créative, vous pouvez tirer un grand avantage des étapes suivantes.

Utilisez votre cerveau.

Je veux dire, pas seulement penser, laissez votre cerveau péter des mots complètement nouveaux pour vous, ou des méthodes complètement nouvelles pour déformer celles qui existent déjà.

Vous êtes autorisé ( ou même encouragé) à remplacer certains mots dans la phrase par ceux-ci.

De plus, cette règle s'applique également à tout ce que j'écris à partir de maintenant: allez-y et changez les méthodes arbitrairement;)
Utilisez vos autres langues.

La plupart d'entre nous connaissons plusieurs langues. Mélangez-les comme bon vous semble.

(Un cas particulier peut être l'utilisation d'une disposition de clavier différente utilisée dans votre pays. Par exemple, dans la disposition tchèque, les lettres avec des signes diacritiques partagent des clés avec des chiffres --- le au-dessus de la partie alphabétique. En fait, cela crée un mappage de lettres et de chiffres qui peut compléter ou remplacer le L33T "traditionnel". Réfléchissez à la manière dont vous pouvez en tirer profit.
Inventez vos propres méthodes.

... comment déformer davantage la phrase. Vous pouvez réutiliser la méthode pour de nouveaux mots de passe, tout dépend de la complexité de la méthode que vous allez créer --- plus complexe, plus réutilisable mais n'en faites pas trop :)
Rendez le processus amusant!

Générer un mot de passe n'a pas à être ennuyeux. En fait, plus vous le rendez drôle, plus vous avez de chances de vous souvenir du mot de passe.

Mais ne vous méprenez pas: ne le rendez pas drôle au détriment de l'unicité. de drôle qui n'est drôle que pour vous (demandez à votre cerveau).

(Oh et ne le rendez pas trop drôle - vous ne voulez pas rire et blush à chaque fois que vous tapez votre phrase de passe;))

Si c'est bien fait, tout ce qui précède donnera à la méthode Horse un grand avantage.

Les cerveaux humains sont fortement biaisés contre le hasard et vers les modèles, et nous sommes tout simplement terribles à générer ou à vérifier le caractère aléatoire. Donc non, amener l'humain à choisir ses propres mots arbitraires n'améliorera pas l'entropie d'une phrase de passe vraiment aléatoire.

fwgx

2011-08-11 18:19:29 UTC

view on stackexchange narkive permalink

Je pense qu'il y a un problème avec la bande dessinée XKCD ici. Il suppose une attaque par force brute sur votre mot de passe. Si vous choisissez un seul mot du dictionnaire, vous pouvez simplement l'attaquer par le dictionnaire, c'est acquis. Vous pouvez également forcer brutalement un mot de 8 caractères en peu de temps. Dans tous les cas, c'est facile.

L'augmentation du nombre de mots augmente la quantité d'entropie, mais si vous changez la manière de l'attaque, ce n'est pas aussi bon qu'une attaque par force brute. c'est-à-dire que si votre pirate suspecte que vous utilisez plusieurs mots du dictionnaire, il utilisera simplement des mots du dictionnaire concaténés ensemble et ne fera pas du tout d'attaque par force brute.

Même si l'attaquant sait exactement quelle liste de mots vous avez utilisée, il reste beaucoup de travail à trouver les mots que vous avez utilisés et dans quel ordre. Avec 2000 mots dans le dictionnaire et 4 mots, c'est 2000 ^ 4 = 1,6 * 10 ^ 12 permutations à vérifier. Cela représente 1,6 billion (US)! Plus de mots et / ou un dictionnaire plus volumineux donne des chances encore meilleures. Voir http://world.std.com/~reinhold/dicewarefaq.html#someoneknows pour plus d'informations

Vous manquez le point de la bande dessinée, ce n'est pas l'entropie pour toute la longueur du mot de passe, mais seulement pour chaque mot.

2000 ^ 4 permutations est trivial en utilisant des GPU, qui peuvent faire * 10 milliards * de clés MD5 par seconde. Si l'attaquant connaît le dictionnaire et que le mot de passe est composé de 4 mots minuscules concaténés, alors le cracktime maximum est réduit à seulement 1600 secondes!

@Andy, c'était mon point. Si vous pensez que le mot de passe est composé d'un certain nombre de mots, vous n'êtes pas obligé de faire une attaque par force brute à partir de "aaaaaaaaaaaaaaaaaaaaaaaaa", "aaaaaaaaaaaaaaaaaaaaaaab" etc, il vous suffit de choisir dans le dictionnaire. OK, il y a donc encore pas mal de possibilités, mais c'est beaucoup moins que toutes les combinaisons de lettres possibles.

Oui, toute connaissance du mot de passe réduit considérablement sa sécurité. 4 mots d'un dictionnaire de 2000 mots sont en fait un nombre à 4 chiffres en base 2000. Même si les mots sont "133t3d", c'est tout aussi peu sûr.

@Andy, a lu la bande dessinée. Comme le dit la bande dessinée: "... 1000 suppositions / s. (Attaque plausible sur un service Web faible. Oui, craquer un hachage volé est plus rapide, mais ce n'est pas ce dont l'utilisateur moyen devrait s'inquiéter.)" Randall Munro avait déjà anticipé et a réfuté votre commentaire sur le craquage hors ligne des hachages de mots de passe volés.

DW, merci pour le rappel, même si je pense que même 1000 suppositions / s sont optimistes et seraient remarquées rapidement et protégées par un pare-feu, ou du moins devraient l'être. 2000 ^ 4 combinaisons devraient être plus que suffisantes à cette fréquence, même si le schéma de mot de passe est connu.

"Oui, casser un hachage volé est plus rapide, mais ce n'est pas ce dont l'utilisateur moyen devrait s'inquiéter." Peut-être qu'en 2011, c'était exact, mais pas aujourd'hui.

Si vous avez un dictionnaire de 30 000 mots, chaque mot aléatoire supplémentaire ajouterait une entropie de 14,9 bits. Cinq mots (5 x 14,9 = 74 bits) conviendraient pour un compte hors ligne. Trois mots suffisent pour un compte en ligne où la force de bruce est détectable.

yelvington

2011-08-11 05:56:09 UTC

view on stackexchange narkive permalink

Totalement faux. Il y a plus que les mathématiques au travail ici. Des êtres humains créant des mots de passe à partir du langage humain! = Bots créant des chaînes aléatoires à partir de seaux de caractères. Si vous partez de cette hypothèse, l'entropie est radicalement réduite en tant que facteur du temps nécessaire pour déchiffrer le mot de passe. Comme l'a dit Don Corleone, le grand philosophe: Pensez comme les gens qui vous entourent.

Si vous lisez la bande dessinée XKCD, vous remarquerez qu'elle vous suggère de sélectionner des mots courants du dictionnaire au hasard (c'est-à-dire à partir d'un bot). L'entropie est toujours là, puisqu'ils sont choisis au hasard parmi un ensemble de milliers de possibilités. Il se trouve que ce sont simplement des possibilités que les humains sont capables de reconnaître.

Oui, le système XKCD sera tout aussi faible que les autres approches, si vous laissez les utilisateurs choisir le mot de passe. Si vous * générez * le mot de passe des utilisateurs (parfois l'informatique d'entreprise), l'approche XKCD est excellente, car l'utilisateur sera plus susceptible de s'en souvenir.

Andreas

2011-08-12 06:11:10 UTC

view on stackexchange narkive permalink

Comme certains l'ont déjà dit (je ne vais donc pas le répéter), cela dépend du mécanisme des attaques par force brute et des attaques par dictionnaire utilisé.

Tout d'abord, la meilleure façon empêcher un attaquant d'attaquer, c'est en premier lieu emporter la cible. Aucun de mes serveurs n'a SSH fonctionnant sur le port 22 et la connexion root est presque toujours désactivée dans la configuration sshd. Mais ce n'est qu'un exemple. Ne donnez pas le nom d'utilisateur et vous pouvez vous épargner beaucoup d'ennuis.

C'est le plus simple des mathématiques: évitez les attaques des autres en vous cachant :)

Donc, pour le reste: Ceux qui devinent réellement le nom d'utilisateur et trouvent votre service, essaieront des attaques par force brute très courantes. Les mots de passe courts sont toujours une mauvaise idée, car aucun dictionnaire n'est nécessaire. Parcourir toutes les combinaisons alphanumériques en minuscules et majuscules et en «sel» commun comme des virgules, des points-virgules et ainsi de suite prendrait quelques jours à se fissurer. Sur la base de ma propre expérience (j'avais une ancienne configuration de machine de routage OpenBSD, mais le mot de passe du fournisseur d'accès Internet a changé et je n'avais pas d'accès physique à la machine). Le mot de passe s'est avéré être [Prénom] [Nom] [Numéro] d'une célébrité.

J'étais curieux, j'ai donc essayé différents outils de craquage. Un nom basé sur un nom n'a pris que six heures pour déchiffrer le même mot de passe. Je suppose que c'était en train de parcourir des combinaisons nom / numéro courantes.

L'astuce avec ces attaques par force brute est de savoir à quoi vous avez affaire. Un mot de passe basé sur quelque chose de personnel, chiffré avec votre propre méthode, est toujours à l'abri de la plupart des attaques par dictionnaire et ne peut être deviné que par une simple attaque par force brute, qui prendrait des années pour parcourir toutes les possibilités.

Donnez-vous un exemple: je m'appelle Andreas, donc mon mot de passe est un peu sûr.

MyN4me, A-> PwKndSf

Selon rumkin, c'est un peu sûr :) Entropie de 87,1 bits. Sensationnel. Pas mal pour un premier essai. Je m'en souviens en fait et la plupart des mécanismes n'essaieront pas de «deviner» ce genre de mot de passe, car cela n'a aucun sens pour aucun des systèmes.

Soit il est court et complexe, comme L5q3CR , -F - qui est un peu difficile à retenir mais facile à deviner, ou il consiste en des variations de mots réellement existants. C'est une faiblesse humaine, pour vous aider à vous souvenir des choses ou pour quelque chose de vraiment simple ou commun.

Je sais, c'est un peu hors sujet, mais: si vous ne voulez pas devenir un victime d'une attaque par force brute, verrouillez d'abord la plupart des portes, ou mieux encore: supprimez / cachez les portes :)

n'offrez pas les mécanismes de connexion auxquels les crackers s'attendent, si vous le pouvez .
protégez les services Web avec l'authentification client
si vous êtes totalement paranoïaque, filtrez également l'accès à votre service par adresse IP
sécurisé et totalement configuration paranoïaque: (c'est injuste pour les crackers :))) après une tentative de mot de passe ratée, pendant les 5 secondes suivantes, chaque tentative suivante pour le même utilisateur (même correcte) échouera également.

Si quelqu'un parvient à contourner tout cela, vous avez quand même affaire à des pros :) mais gardez votre mot de passe en sécurité en faisant quelque chose d'humain, auquel personne ne s'attend et qu'aucun ordinateur ne peut deviner ou prédire: faites votre propre truc, rappelez-vous simplement que ton propre truc doit être long eno ugh pour éviter les attaques simples et rester en dehors du dictionnaire pour la plupart. Utilisez quelque chose qui n'a de sens que dans VOTRE cerveau et dispersez-le en quelques caractères spéciaux.

Pour un pirate, un moyen rapide de deviner un mot de passe n'est offert que lorsque vous faites quelque chose de prévisible, comme utiliser quelque chose de court, c'est facile à mémoriser ou quelque chose qui consiste en des mots communs ou des combinaisons de lettres que vous trouvez dans les dictionnaires.

Éloignez-vous de ceux-ci, et vous pouvez même vous en tenir aux calculs de rumkins.

Malheureusement, rumkin n'est pas un juge fiable de la force du mot de passe.

Je ne me cache pas. Mes ports SSH sont sur 22. Si quelqu'un ne parvient pas à se connecter à un compte 10 fois dans les 5 minutes, son adresse IP est alors protégée par un pare-feu avec iptables et un message est envoyé à son FAI pour les avertir d'une machine compromise sur son réseau.

Correction: le ** pire ** moyen d'empêcher un attaquant d'attaquer est de retirer la cible en premier lieu. Déplacer votre serveur vers un port différent ne nettoiera qu'un peu vos journaux, cela ne vous épargnera que les attaquants qui recherchent les fruits les plus faciles à suspendre et n'entreraient pas dans un environnement raisonnablement sécurisé (tous les correctifs de sécurité appliqués, pas de mots de passe extrêmement stupides) système de toute façon.

Félicitations, vous venez d'inventer Security by Obscurity :). Et relégué les garanties de base (lock-out chronométrés) au royaume de totalement paranoïaque ...

Quelqu'un devrait écrire un outil qui puisse découvrir sur quel port vous exécutez ssh! ;) Toutes mes excuses pour le snark.

@rox0r: il existe déjà, il s'appelle `nmap`

@HubertKario Quelqu'un devrait vous dire ce que signifie snark, ou, euh, sarcastique.