it-swarm.com.de

Expertenzitat zur Entropie für unknackbares Passwort

Könnte jemand auf ein Zitat in einer veröffentlichten Arbeit verweisen - oder einen anerkannten Experten vorschlagen, der möglicherweise ein Zitat liefert -, der die folgende Frage beantwortet

Wie viel Entropie in einem Passwort würde garantieren, dass es gegen einen Offline-Vermutungsangriff sicher ist, selbst wenn der Angreifer über die leistungsstärkste Hardware der Welt verfügt?

Ich schreibe einen Artikel über das Erstellen eines sicheren Passworts auf der Grundlage echter Zufälligkeit und möchte eine Zahl für garantierte Sicherheit angeben, aber ich möchte lieber keine eigenen Meinungen und Argumente vorbringen, sondern einen anerkannten Experten oder eine veröffentlichte Arbeit zitieren.

Im Einzelnen ist das, was oben mit diesen Begriffen gemeint ist, wie folgt.

Wenn ein Kennwort genügend Entropie aufweist, ist es in unserem aktuellen Bedrohungsmodell, bei dem der Angreifer einen kryptografischen Hash des Kennworts hat und wiederholt eine Kennwortschätzung durchführt, die Vermutung hasht und den Hash vergleicht, vermutlich nicht knackbar.

Mit Entropie meine ich, dass der Passwortersteller zufällig mit gleicher Wahrscheinlichkeit für jede Wahl ein Passwort aus N möglichen Passwörtern ausgewählt hat. Die Entropie in Bits ist dann log₂ (N)

Das Zitat muss also angeben, wie viel Entropie in Bits (oder wie groß N ist), um sicherzustellen, dass das Kennwort gegen diese Art von Angriff sicher ist, selbst wenn der Angreifer über die leistungsstärkste Hardware der Welt verfügt.

60
Stephen Hewitt

Nehmen wir einen anderen Riss aus monetärer Sicht als aus physikalischer Sicht. Skylar Nagao bei Peerio erklärte das :

In einem 2014 Forschungsbericht zur Speicherbarkeit von Passwörtern schätzten die Sicherheitsforscher Joseph Bonneau (Stanford) und Stuart Schechter (Microsoft) die Kosten eines Angriffs basierend auf der jährlichen Gesamtauszahlung an Bitcoin-Miner im Jahr 2013.

"Im Jahr 2013 führten Bitcoin-Bergleute gemeinsam ≈ 2 durch75 SHA-256-Hashes im Austausch gegen Bitcoin-Belohnungen im Wert von 257 Millionen US-Dollar… dies ist die einzige öffentlich bekannte Operation, die mehr als 2 durchführt64 kryptografische Operationen und liefert daher die beste verfügbare Schätzung. Selbst wenn angenommen wird, dass eine zentralisierte Anstrengung um eine Größenordnung effizienter sein könnte, bleibt uns dennoch eine Schätzung von 1 Mio. USD für die Durchführung einer 270 SHA-256-Bewertungen und rund 1 Mrd. US-Dollar für 280 Bewertungen. "

Hier haben wir die Milliarden-Dollar-Passwortschätzung - selbst für einen zentralisierten staatlichen Angreifer würde die Berechnung 2 etwa 1 Milliarde US-Dollar kosten80 SHA-256-Hash-Funktionen im Laufe eines Jahres. Dies ist wie zu sagen, dass es 1 Milliarde USD kosten würde, 2 zu versuchen80 Schlosskombinationen über ein Jahr. Da ein Angreifer mit nur einer Vermutung nach der Halbzeit wahrscheinlich richtig raten würde, verwendet Peerio ein 81-Bit (2)80 mal zwei) Mindeststandard für unsere computergenerierten Passphrasen. Wir haben uns für diesen Standard entschieden, weil wir sicherstellen wollten, dass selbst ein Angreifer auf Bundesstaatsebene 1 Milliarde US-Dollar verlieren muss, um die Chance einer Münze zu haben, eine Peerio-Passphrase zu knacken.

Ein 81-Bit-Passwort kostet schätzungsweise 1 Milliarde, um wahrscheinlich geknackt zu werden, und wird daher von Peerio als "nicht knackbar" angesehen. In Laienbegriffen würden 81-Bit 17 zufällige Kleinbuchstaben, 13 zufällige Zeichen von einer US-Tastatur oder 7-8 Wörter, die zufällig aus einem Wörterbuch ausgewählt wurden, ergeben.

Zugegebenermaßen gibt es viele technische Details wie Preise, Risikostufen und Hashing-Algorithmen. Vielleicht werden die Passwörter mit bcrypt viel, viel stärker gehasht. Vielleicht sind diese Zahlen veraltet und moderner Bergbaukosten oder die neuesten Bergbaueinnahmen setzen die Hashes/Dollar auf 1016 Hashes/Dollar. Möglicherweise ist Bitcoin aufgrund von Marktunterschieden oder Hardwareunterschieden nicht der beste Vergleich. Letztendlich haben wir immer noch eine Größenordnung für die niedrigsten Kosten für Hashing im Maßstab.

Selbst wenn ein Nationalstaat oder Millionär eine Hash-Farm von der Größe von Bitmains Ordos-Mine zusammenstellen würde, würde es noch Monate dauern, bis sie eine gute Chance haben, Ihr 80-Bit-Passwort von einem zu finden unsicherer Hash und Millionen oder sogar Milliarden von Dollar an Kosten wegwerfen und potenzielle Einnahmen verlieren. Wenn eine Regierung eine Milliarde Terahashes pro Sekunde erreichen könnte, hätte sie bestimmt bessere Dinge mit dieser Geldmaschine zu tun als das Knacken Ihr 81-Bit-Passwort.

Wenn es um Garantien und Verteidigung gegen unglaublich mächtige Gegner geht, ist es wichtig zu beachten, dass es viele Möglichkeiten gibt, um ein unknackbares Passwort zu umgehen. Zu den Methoden gehören Sitzungsentführung, MITM-Angriffe, Exploits zum Zurücksetzen von Passwörtern, Keylogger, das Bitten der Website/des Administrators um Zugriff und Phishing. Obwohl einige Bedrohungen wie physische Manipulationen an Ihrem Computer absurd erscheinen mögen, sind sie vernünftiger als ein Milliarden-Dollar-Aufwand zum Knacken von Passwörtern ( relevant xkcd ).

27
Cody P

Es gibt ein Zitat für Sie in diese crypto.SE-Antwort , von Bruce Schneier in Applied Cryptography (1996), S. 157–8.

Sie können auch Bruce Schneier zitiert sich in seinem Blog (2009) finden, wenn Sie ein Online-Zitat wünschen.

Hier ist das vollständige Zitat für den Fall, dass die Links brechen:

Eine der Konsequenzen des zweiten Hauptsatzes der Thermodynamik ist, dass eine bestimmte Energiemenge erforderlich ist, um Informationen darzustellen. Das Aufzeichnen eines einzelnen Bits durch Ändern des Zustands eines Systems erfordert eine Energiemenge von nicht weniger als kT, wobei T die absolute Temperatur des Systems und k die Boltzman-Konstante ist. (Bleib bei mir; der Physikunterricht ist fast vorbei.)

Vorausgesetzt, k = 1,38 × 10-16erg/° Kelvin, und dass die Umgebungstemperatur des Universums 3,2 ° Kelvin beträgt, würde ein idealer Computer, der bei 3,2 ° K läuft, 4,4 × 10 verbrauchen-16 Ergs jedes Mal, wenn es etwas gesetzt oder gelöscht wird. Um einen Computer zu betreiben, der kälter als die kosmische Hintergrundstrahlung ist, würde zusätzliche Energie benötigt, um eine Wärmepumpe zu betreiben.

Jetzt beträgt die jährliche Energieabgabe unserer Sonne etwa 1,21 × 1041 ergs. Dies reicht aus, um etwa 2,7 × 10 zu versorgen56 Einzelbitänderungen auf unserem idealen Computer; genug Statusänderungen, um einen 187-Bit-Zähler durch alle seine Werte zu führen. Wenn wir eine Dyson-Kugel um die Sonne bauen und 32 Jahre lang ohne Verlust ihre gesamte Energie einfangen würden, könnten wir einen Computer mit Strom versorgen, um bis zu 2 zu zählen192 Natürlich würde nicht die Energie übrig bleiben, um mit diesem Zähler nützliche Berechnungen durchzuführen.

Aber das ist nur ein Stern und noch dazu ein dürftiger. Eine typische Supernova setzt so etwas wie 10 frei51 ergs. (Etwa hundertmal so viel Energie würde in Form von Neutrinos freigesetzt, aber lassen Sie sie vorerst los.) Wenn all diese Energie in eine einzige Rechenorgie geleitet werden könnte, könnte ein 219-Bit-Zähler durch alle zyklisiert werden seiner Staaten.

Diese Zahlen haben nichts mit der Technologie der Geräte zu tun; Sie sind die Höchstwerte, die die Thermodynamik zulässt. Und sie deuten stark darauf hin, dass Brute-Force-Angriffe gegen 256-Bit-Schlüssel nicht möglich sind, bis Computer aus etwas anderem als Materie aufgebaut sind und etwas anderes als Raum einnehmen .

Update: Wenn Sie möchten, dass ein Zitat die Stärke eines zufällig generierten Passworts bewertet, können Sie diese Website verwenden, das ist regelmäßig aktualisiert mit Empfehlungen verschiedener Institute. Ein zufälliges Passwort entspricht einem symmetrischen Schlüssel. Dies ist also der Wert, nach dem Sie suchen. (Hier ist ein Wayback-Maschinenlink , wenn diese Website geschlossen wird.)

120
A. Hersean

AKTUALISIEREN:

Ein wirklich gutes YouTube-Video zu diesem Thema ist:

Wie sicher ist die 256-Bit-Sicherheit? Von 3Blue1Brown


Ich habe kein Zitat oder keine Originalquelle, aber ich beantworte Fragen wie diese oft mit einer Energieeinsparung. Das Argument lautet wie folgt: Nehmen wir an, die Menschheit kann eines Tages Prozessoren an einer physikalischen Effizienzgrenze herstellen. Berechnen Sie dann die Strommenge, die diese Prozessoren benötigen, um das Kennwort zu knacken, und berechnen Sie dann die Anzahl der Sterne in der Größe der Sonne, die Sie verbrauchen müssten, um so viel Strom zu produzieren. Kurzversion: Um eines der 32-stelligen zufälligen Passwörter von einem Passwort-Manager zu knacken, müssen Sie 2x10 verbrauchenfünfzehn Sterne in Stromkosten allein. Zum Beispiel finden Sie meine letzten Antworten hier:

Sollte ich die Länge meiner völlig zufälligen Passwörter für die beste Sicherheit variieren?

und hier

Warum das Passwort anstelle des Schlüssels direkt brutal erzwingen?

Ich bin mir eigentlich nicht sicher, woher ich die Idee ursprünglich hatte, aber es könnte Ihnen einen Ausgangspunkt für das Googeln geben, um eine zitierfähige Quelle zu finden.


Denken Sie auch daran, dass Sie, wenn Sie in der Öffentlichkeit über "Passwörter" sprechen, sehr vorsichtig sein müssen, um sie als "richtig zufällige Passwörter von einem Passwort-Manager" zu definieren. Wenn Sie Benutzern erlauben, ihre eigenen Passwörter zu wählen, ist die Länge mehr oder weniger irrelevant, da Menschen dumm vorhersehbare Passwörter wählen, zum Beispiel diesen Artikel:

So brechen Sie 30 Prozent der Passwörter in Sekunden

8
Mike Ounsworth

Ich stimme dem zu, was andere geschrieben haben. Weitere Informationen finden Sie in diesem aktuellen (relativen) Vortrag zu Argon2 . Eine Seite (Folie 8) enthält ein relativ aktuelles Zitat zu den Auswirkungen von Fortschritten in der Hardware auf die praktische Stärke von Passwörtern bei Brute-Force-Angriffen. Nämlich

Brute-Force-Angriffe (z. B. das Erraten von Schlüsseln) sind auf benutzerdefinierter Hardware am effizientesten: mehrere Rechenkerne auf großen ASICs. Praktisches Beispiel für SHA-2-Hashing (Bitcoin):

  • 232 Hashes/Joule auf ASIC;
  • 217 Hashes/Joule auf dem Laptop.

Konsequenzen:

  • Schlüssel verlieren 15 Bits
  • Passwörter werden 3 Kleinbuchstaben kürzer
  • PINs verlieren 5 Stellen

Mit ASIC ausgerüstete Angreifer sind die Bedrohung aus naher Zukunft. ASICs haben hohe Einstiegskosten, aber auch FPGA und GPU werden eingesetzt.

Hoffentlich erhalten Sie so eine praktische, aktualisierte Perspektive auf die "effektive" Länge von Schlüsselgrößen bei Brute-Force-Angriffen mit moderner Hardware.

2
Kaiyi Li