it-swarm.com.de

Passphrase vs. Passwort-Entropie

Seit einiger Zeit interessiere ich mich für das Passphrasenkonzept als potenziell sichereren Ersatz für klassische Passwörter. Mein Interesse ergab sich aus dem Bauchgefühl, dass Passphrasen aufgrund ihrer Natur eine geringere Entropie aufweisen würden als Passwörter.

Hier ist meine Logik. Aus meiner Google-basierten Forschung geht hervor, dass die meisten Blog-Posts, in denen ein typischer Computerbenutzer gepriesene Passphrasen als erstaunlich sicher liest, und sogar eine Website behauptete, dass vorhandene Software zum Knacken von Passwörtern Passphrasen nicht knacken kann, da sie zu lang sind. Wörtlich genommen ist dies wahr, aber eine einfache Änderung in den Wörterbüchern, die Ihren Passwort-Cracker füttern, kann dies beheben. Trotzdem ist hier meine Logik:

Passwörter:

Benutzer sind jetzt etwas an die Idee gewöhnt, dass Passwörter kompliziert sein müssen, indem sie Symbole und Zahlen ersetzen und in der Länge sind. Ich persönlich verwende Passwörter, die auf ungewöhnlichen Wörterbuchwörtern mit Symbolersetzungen und Zufallszahlen basieren. Technisch gesehen hätte ein Benutzer, der ein 8-stelliges Passwort (zufällig) auswählt, eine Passwortentropie von 94 ^ 8. Zugegeben, die meisten Leute haben keine wirklich zufälligen Passwörter, aber ich werde erklären, warum ich denke, dass dies in Kürze mit einem ähnlichen menschlichen Fehler in Passphrasen aufgehoben wird. Das ist eine verrückte riesige Zahl seit 94 ^ 8 = 6,1 x 10 ^ 15.

Passphrasen:

Überall und jeder, den ich gesehen habe, wie über Passphrasen gesprochen wurde, haben immer wieder Beispiele für Kleinbuchstaben angegeben, keine Symbol- oder Zahlenphrasen wie der klassische xkcd-Streifen mit "korrekter Heftklammer für Pferdebatterien". Laut Oxford Dictionary hier werden derzeit ungefähr 170 000 Wörter im englischen Wörterbuch verwendet. Angenommen, Benutzer wählen im Durchschnitt eine Passphrase mit drei Wörtern (scheint die Faulheit der Benutzer nicht mehr zu überschreiten). Dies entspricht einer Entropie von 170000 ^ 3 = 4,9 x 10 ^ 15, was ungefähr 20% weniger Entropie ist als das zufällig ausgewählte Kennwort mit 8 Zeichen. Bevor Sie argumentieren, dass niemand zufällig generierte Passwörter verwendet, werden ebenso selten völlig zufällige Wörter aus dem englischen Wörterbuch ausgewählt. Stattdessen verwenden Benutzer häufig gebräuchliche Sprüche. Selbst wenn Leute gängige Sprüche vermeiden, bin ich kein Linguistik-Experte, aber es gibt nur begrenzte Möglichkeiten, einem Wort in englischer Sprache logisch zu folgen und die möglichen Permutationen, die in Passphrasen verwendet werden, ernsthaft zu reduzieren.

In diesem Sinne argumentiere ich, dass zumindest die Nichteinhaltung der Zufälligkeit in Passphrasen gleich oder nicht größer ist als die Nichteinhaltung der Zufälligkeit bei der Passworterstellung, da Benutzer mit dem Konzept der Passphrasen in ein falsches Sicherheitsgefühl versetzt werden.

Ich stelle also meine formale Frage vor, übersehe ich hier einige wichtige Überlegungen oder bin ich richtig und Passphrasen sind wirklich weniger sicher, wenn auch nicht genauso sicher wie Passwörter, und keine revolutionäre neue Methode, um Ihr Passwort/Ihre Passphrase viel schwieriger zu erraten ?

9
dFrancisco

Zwei allgemeine Punkte.

Erstens besteht der Vorteil von Passphrasen darin, dass sie es Benutzern erleichtern , Entropie zu erzeugen, während sie sich noch an ihren Schlüssel erinnern. Das Erzeugen von Entropie durch zufällige Zeichen ist schwierig - und je schwieriger etwas ist, desto weniger Menschen werden es tun.

Der Grund, warum XKCD-Comics so zitiert werden, ist nicht nur die Mathematik - es ist so, dass Leute, die den Comic seit Jahren nicht mehr gesehen haben, immer noch Ihnen sagen können, was das Passwort ist. Das ist der Punkt des Comics: dass diese Bytes der Entropie für einen Menschen leicht zu merken waren.

Zweitens möchten Sie vielleicht einen Blick darauf werfen:

https://wpengine.com/unmasked/

Das Haupthighlight? Die durchschnittliche Passwortentropie beträgt 21,6. Aka, es ist um einen Faktor von 2 Milliarden von Ihrer 94 ^ 8-Zahl entfernt. Der Grund? Benutzer wählen keine zufälligen ASCII-Zeichen. Sie wählen keine zufälligen Buchstaben mit zufälligen Großbuchstaben. Sie wählen keine zufälligen Buchstaben. Sie wählen einfach ein Wort und dekorieren es.

Grundsätzlich ist es einfacher, eine faule Person dazu zu bringen, Entropie durch eine 15-stellige Passphrase zu erzeugen, als sie dazu zu bringen, Entropie durch ein 8-stelliges Passwort zu erzeugen.

9
Kevin

Während Sie die Zahlen erhalten, scheint Ihre Logik auf einigen ziemlich seltsamen Annahmen zu beruhen.

Zunächst einmal zufällig Passwörter. Sie vergleichen 3 zufällige Wörter zufällig mit 8 zufälligen Zeichen und weisen auf "Faulheit" hin. Sie erklären nicht wirklich, warum jemand zu faul wäre, um sich 4 Wörter zu merken, aber er würde sich 8 zufällige Zeichen merken, die schwerer zu merken sind nd schwerer zu tippen. (4 Wörter ergeben die gleiche Entropie wie 8 Zeichen, selbst mit dem Standard-Diceware-Wörterbuch 7776-Word).

Wenn Sie andererseits vom Benutzer ausgewählte Passwörter vergleichen, sind beide anfällig für Wörterbuchangriffe. Die Person, die den Satz auswählt, wählt einen Satz aus. Die Person, die das 8-stellige Passwort auswählt, wählt ein einzelnes kurzes Wort , möglicherweise mit einem Symbol, das zum Spaß hinzugefügt wird. Ein englischer 3-Wort-Satz hat immer noch mehr Entropie als ein einzelnes englisches Wort.

Letztendlich sind von Menschen ausgewählte Passwörter unabhängig von der Methode nicht wirklich sicher. Deshalb sollten Sie immer zufällige generieren. Mit einem Passwort-Manager macht es keinen Unterschied, um welchen Typ es sich handelt - aber eine zufällige Kombination von Wörtern kann gespeichert werden, eine zufällige Zeichenfolge nicht so sehr

Wenn Sie jedoch davon ausgehen, dass Ihre Benutzer ein Kennwort manuell auswählen, sind längere Kennwörter immer noch sicherer.

1
averell