Gibson Research Corporation (リンクをたどらない場合は以下を参照)の単純なパスワード(=非常に覚えやすい)にパディングを追加することによって提示されたコンセプトが、音とはどういうものかと思っていました。
ギブソンが検索スペースの増加などで何を達成しているのかは理解していますが、これが現実のシナリオ、つまりアカウントの日常的な使用や、エントロピーであってもパスワードが「安全」であるという安心感に当てはまるのかと思っていました。超低です。
ウェブサイトにアクセスしたくない場合:
Gibsonには、特定のパスワードの検索スペースを示す検索スペース計算機があります。サーチスペースは、パスワードの長さとパスワード自体を構成する文字(文字-大文字と小文字-および/または数字および/または記号)に依存します。
次に、パスワードの長さと文字、数字、記号の組み合わせの重要性について説明します。
すべてが完璧に理にかなっているが、彼は「エントロピー」は重要ではないと彼自身の言葉で主張している。
エントロピー:数学的な傾向がある場合、またはセキュリティに関する知識とトレーニングがある場合は、データの「エントロピー」またはランダム性と予測不能性の概念に精通している可能性があります。その場合、最初の強力なパスワードは2番目の(弱い)パスワードよりもエントロピーがはるかに少ないことに気づくでしょう。事実上誰もが、パスワードが「高いエントロピー」を持っていることからその強みが生まれると信じていたり、言われたりしています。しかし、今見ているように、利用可能な唯一の攻撃が推測である場合、その長年の一般的な知恵です。 。 。です。 。 。ない。 。 。正しい!
彼は2つのパスワードについて言及しています。
1)D0g .....................
2)PrXyc.N(n4k77#L!eVdAfp9
そして、1つ目は2つ目よりも記憶に残る(そして辞書の単語も含む)場合でも、「クラック」する時間は他の必要な時間よりも桁違いに大きいため、より安全であると主張します。
このコンセプトはいいですか?一言で言えば...すべてのパスワードを最初のようなもの(超簡単で超長い)に変更しなければなりませんか、それとも今日のハイパー接続世界でのトラブルを求めているだけですか? :)
「オンラインアカウントパスワード」の世界では、エントロピーは完全に役に立たないのですか?
コンピューターシステムの認証メカニズムで低エントロピーパスワードを実際に使用することへの関心がパスワードのクラッキングに関係しているため、おそらくこの質問はStackOverflowで質問する必要があります。わからない...
これで大丈夫ですか、それとももっと具体的になりますか?これは主題外のアルトゲターですか?
デイブ
もちろん、エントロピーは理論的にはパスワードを強力にしますが、パスワードクラッカーの観点からは、最初のパスワードが解読されるまでにかなり時間がかかる可能性があります。これは、パスワードの長さが原因です。この引数は、短いパスワードではおそらく無効です。それは私が持っているものです 自分の前に書かれています
パスワードクラッキングソフトウェアがパスワードを攻撃する方法を検討してください。
パスワードが最初の2つのカテゴリに分類されず、ソフトウェアがブルートフォースを実行する必要がある限り、最初のパスワードは1文字長く、同じキースペース(上、下、数字、および記号)を使用するため、最も強力です)2番目のパスワードとして。最初のパスワードは24文字の長さであり、したがって、95 ^ 24(291,989,024,338,773,000,000,000,000,000,000,000,000,000,000,000)の置換が可能です。 2番目のパスワードには、95 ^ 23(3,073,568,677,250,240,000,000,000,000,000,000,000,000,000,000)の順列があります。ご覧のとおり、その24番目のキャラクターは大きな違いをもたらします。
実際には、パスワードが.... g .....................である場合、他の2つよりもクラックするのにかなり時間がかかります。 2つの小文字と記号を使用するだけで、パスワード解読ソフトウェアは大文字と数字の使用を試み、2文字長くなります。ただし、多くの人がパディングの概念に従って始めた場合、すべてのパスワードをパディングすることを試みるパスワードクラッキングルールを構築することは難しくありません。パスワード全体にパディングを混ぜたり、複数の文字を交互に使用したり、パスワードにセミワードをいくつか追加したりすることをお勧めします。
パスワードに関しては、エントロピーの欠如と文字セットの欠如は、パスワードの長さを長くすることで常に補うことができます。
それにもかかわらず、これをすべて言っても、賢く、同じパスワードを再利用したり、複数のシステムで同じパターンを再利用したりする必要はありません。パスワードを覚える必要がある場合にのみ、このようなものに頼るべきです。ランダムパスワードジェネレーターでパスワードマネージャーを使用することは、依然として従うべきベストプラクティスです。