web-dev-qa-db-ja.com

暗号とコード化スキームはパスワードをより安全にしますか?

最近、技術専門家に出会い、ユーザーに任意のプレーンテキストを取得し、それを実行します これらの暗号の1つ を実行し、それをBase64に変換し、その結果をLastPassのマスターパスワードとして使用します。

ただし、Base64のような暗号化方式と暗号化方式の単純な性質と、そうするように訓練されたシステムがそれらを簡単に解読できるので、これはあいまいさによる何らかの形のセキュリティではないのではないかと思います。

長いプレーンテキストのマスターパスワードを単に使用する場合に比べて、この方法はどれほど安全ですか。それは良いまたは悪いセキュリティ慣行ですか?基本的な暗号の解読と暗号化スキームを総当たり攻撃の一部にするハッカーがいる可能性はありますか?

5
Hashim

"そして、その結果をLastPassのマスターパスワードとして使用します"

提案された「アルゴリズム」は、本質的には単なる手の込んだ鍵の拡張です。

ご想像のとおり、これは、あいまいさによるセキュリティです。 (たとえば)Bifidでクランチされたプレーンテキストのbase64エンコーディングを使用していることを知っていれば、データベースをはるかに高速にブルートフォースすることができます。実際の100ビットシーケンスであるかのようにではなく、70ビットの情報。

一方、50〜70ビットの情報はパスワードとしては非常に有効です( 必須のxkcdリンク を参照)。したがって、安全な選択から始めれば、安全にstayできます。

一方、優れたパスワードマネージャーでは、任意の長さのマスターパスワードを使用できます。そのため、私は自分が選択したより長いテキストを選択することができ、thatは、再生成がより簡単になり、セキュリティが向上します。パスワードマネージャーのロックを解除する必要があるたびに、鉛筆と紙でBifidを実行することはできません。

そして、もし1つの単語が単一の単語を選択した場合、その安全性を高めるためにbase64の魔法を信頼することはできませんか?それが判明した場合、パスワードデータベースが数分で吹き飛ばされる可能性があります。だから、誰に与えられているかによっては、それは非常に悪い提案になるかもしれません。

おかしいファクトイド

同僚は私に、明らかに、この種の-「間違い」ではなく、「非効率」と言って-ファインマンの黄色の塗料と呼ばれるかもしれないと言った。 ストーリーが進む 画家は赤と白を混ぜることで黄色の絵の具を手に入れることができると主張したが、ファインマンはこれは不可能だと主張した。彼らは実験を続行し、白と赤の混合物はピンクに変わり、ピンクのままでした。それで、画家は「通常、私は黄色を少し加えたのですが、それからうまくいきました」とコメントしました。

ここでの類推は、base64で暗号化されたスキームから強力なパスワードを取得するには、強力なパスワードから始める必要があるということです。ただし、強力なパスワードを持っている場合は、暗号化およびエンコードの上部構造は必要ありません。

5
LSerni