web-dev-qa-db-ja.com

パスフレーズとパスワードエントロピー

しばらくの間、私はパスフレーズの概念に、従来のパスワードに代わる安全性の高いものとして興味を持っていました。私の興味は、パスフレーズはその性質上、パスワードよりもエントロピーが低いという直感に基づいていました。

これが私の論理です。私のGoogleベースの調査によると、ほとんどのブログタイプの投稿では、一般的なコンピューターユーザーが称賛されたパスフレーズを驚くほど安全なものとして読む可能性があり、1つのサイトでさえ、既存のパスワード解読ソフトウェアはパスフレーズが長すぎるため解読できないと主張しています。文字通りこれは本当ですが、パスワードクラッカーにフィードするディクショナリに簡単な変更を加えるだけで修正できます。それでも、ここに私の論理があります:

パスワード:

ユーザーは、記号と数字の置換を使用し、長さが長いパスワードは複雑である必要があるという考えに多少慣れています。私は個人的に、記号の置換と乱数を使用した一般的でない辞書の単語に基づくパスワードを使用しています。技術的には、8文字のパスワードを(ランダムに)選択したユーザーのパスワードエントロピーは94 ^ 8になります。ほとんどの人が本当にランダムなパスワードを持っているわけではありませんが、これがパスフレーズの同様の人為的エラーですぐにキャンセルされると思う理由を説明します。これは、94 ^ 8 = 6.1 x 10 ^ 15以来、非常に大きな数です。

パスフレーズ:

パスフレーズについて私が見たどこでも、誰もが一貫してすべての小文字の例を示しており、「正しい馬バッテリーの定番」を備えたクラシックなxkcdストリップのような記号や数字のフレーズはありません。 Oxford Dictionaryによると here 現在英語辞書で使用されている約170 000語があります。ユーザーが平均して3つのワードパスフレーズ(ユーザーの怠惰を超えるように思われる)を選択するとすると、これは170000 ^ 3 = 4.9 x 10 ^ 15のエントロピーであり、ランダムに選択された8文字のパスワードよりも約20%低いエントロピーです。さて、ランダムに生成されたパスワードを誰も使用しないと主張する前に、英語の辞書から完全にランダムな単語を選択することも同様にまれです。代わりに、ユーザーは頻繁に一般的なことわざを使用します。人々が一般的なことわざを避けても、私は言語学の専門家ではありませんが、英語の単語を論理的にたどることができるオプションは限られているため、パスフレーズで使用される可能性のある順列を大幅に削減します。

そのことを念頭に置いて、ユーザーはパスフレーズの概念で誤った安全性の感覚に陥るので、少なくともパスフレーズのランダム性の順守の失敗はパスワード作成のランダム性の順守の失敗を超えないにしても同等であると私は主張します。

だから私は私の正式な質問を提示します、私はここでいくつかの重要な考慮事項を見落としているのですか、それとも正しいのですか?パスフレーズはパスワードと同等に安全であるだけでなく、本当に安全ではなく、パスワード/パスフレーズを推測することをはるかに困難にする革新的な新しい方法ではありません?

passwordsbrute-forceentropypassphrase
9
dFrancisco

2つの一般的なポイント。

まず、パスフレーズの利点は、ユーザーがキーを覚えながらエントロピーを生成できるように簡単になることです。ランダム化された文字からエントロピーを生成することはhardであり、何かが難しいほど、それを実行する人は少なくなります。

XKCDコミックがそのように引用されている理由は、数学だけではありません-コミックを何年も見ていない人でも、まだそのパスワードです。それが漫画のポイントです。それらのエントロピーのバイトは人間にとって覚えやすいものでした。

第二に、あなたは見てみたいかもしれません:

https://wpengine.com/unmasked/

主な見どころは?パスワードの平均エントロピーは21.6です。別名、94 ^ 8の数値から20億倍の差です。理由?ユーザーはランダムなASCII文字を選択しません。彼らはランダム化された大文字のランダムな文字を選びません。彼らはランダムな文字を選びません。彼らは単に単語を選んでそれを飾ります。

基本的に、怠惰な人に15文字のパスフレーズでエントロピーを生成させるほうが、8文字のパスワードでエントロピーを生成させるよりも簡単です。

9
Kevin

あなたが数を得る間、あなたの論理はいくつかのかなり奇妙な仮定に基づいているようです。

まず、ランダムパスワード。 3つのランダムな単語と8つのランダムな文字をランダムに比較し、波打つ点を「怠惰」にポイントします。あなたは、なぜ誰かが4ワードを覚えるのが面倒なのかを実際には説明しませんが、覚えにくい8つのランダムな文字を覚えるでしょうand入力するのが難しいです。 (4ワードの場合、標準の7776ワードダイスウェアディクショナリを使用しても、8文字と同じエントロピーが得られます)。

一方、ユーザーが選んだパスワードを比較すると、どちらも辞書攻撃に対して脆弱です。フレーズを選ぶ人はある種の文を選ぶでしょう。 8文字のパスワードを選択する人は、1つの短い単語を選択します。 3ワードの英語の文は、単一の英語のワードよりもエントロピーがまだあります。

結局のところ、人間が選択したパスワードは、方法に関係なく、実際には安全ではありません。そのため、常にランダムなものを生成する必要があります。パスワードマネージャーを使用すると、どのタイプでも違いはありませんが、ランダムな単語の組み合わせを記憶できます。ランダムな文字列はそれほど多くありません

ただし、ユーザーが手動でパスワードを選択すると想定した場合でも、長いパスワードの方が安全です。

1
averell