SnowdenのMargaretThatcheris110%SEXYパスワードはどのくらい安全ですか?
Edward SnowdenのJohn Oliver とのインタビューの補足で、Snowdonは、使用する適切なパスワードはMargaretThatcheris110%SEXY.のようなものであることをアドバイスしています。
また、 Errata Securityブログで、Robert Grahamはこの件について次のように述べています :
NSAの漏洩者であるエドワードスノーデンは最近、強力なパスワードは「MargaretThatcheris110%SEXY」のようにすることを提案しました。彼はこれについて批判されてきたが、実際には、それは確かにかなり強い。はい、辞書とマルコフの弱点はたくさんありますが、長さで補われます。他のすべてが等しい場合は、長いほど良いです。実際、現在使用しているパスワードが何であれ、その末尾に "xxxxxxxxxxx"を追加するだけで解読不能になる可能性があり、覚えるのは非常に簡単です。 「MaThis110%SX」のようなパスワードは12文字のパスワードであり、NSAでさえ、それがラストパスのパスワードである場合は解読できない可能性があります-Snowdenの長い形式では作成できません。 (なお、このSnowdenの例はそれほど安全ではないと主張する人もいますが、間違っています)。
さて、ここでの以前の議論で、 人間の脳はランダムであること が悪いことを学びました。また、パスワードエントロピーは実際のパスワードの内容に基づくのではなく、 パスワードの生成方法 に基づいていることもわかっています。たとえば、次のパスワードは一見すると強力であると考えられます。
zTzG5rUev2fBBkp6dEMJHNEQWWmFTSjBBn26cQCgkVXSydep3nUx6pF4uf6Pu59RYKDEwkwnTdFJht2n
ただし、ボブは常にパスワード生成テキストファイル内の次の単語をランダムな順序で組み合わせてパスワードを生成し、攻撃者はそれを知っているとすると、パスワードはそうではありません。強い。
kVXSydep3nUx6pF4uf6P
zTzG5rUev2fBBkp6dEMJ
HNEQWWmFTSjBBn26cQCg
u59RYKDEwkwnTdFJht2n
Wired記事のコメントの1つは次のとおりです。
ハッシュをクラックしようとしていた場合、最初からすべてのパスワードが
female_names+surnames+english_Word+english_Word+known_passwordsパターンに従っていると思い込んでから、最大7日間待って正しいかどうかを確認しません。そのパターンだとわかっていれば、Snowdenのパスワードには33.041ビットのエントロピーが含まれることになります。そうでなければ、エントロピーはかなり高くなります(> 100ビット)。
これは私の質問の核心を説明しています。 MargaretThatcheris110%SEXY.のようなパスワードを作成した場合、 zxcvbn などの「強度メーター」を使用すると、エントロピーが39.6(完全なストップを含む)になります。しかし、私がzxcvbnがそれを分解する方法を生成したことを誰も知らない。また、私が過去にその方法を使用したことを知っていたとしても、次のパスワードに別の方法を使用する可能性があります(例:male_name+number+english_Word+french_Word+known_password+diceword)。
別の答えの tylerl ノートとして:
攻撃者が利用できる辞書は推測できますが、確実に知ることはできません。したがって、辞書サイズのプロキシとして、代わりにエントロピーを使用します。実際の攻撃メカニズムを反映していないため、これは不十分な代替手段ですが、何もないよりは潜在的に優れています。
攻撃者が「人間の脳が作った」シーケンス定義を使用する可能性があることを知っている場合、おそらく「人間の脳が作った」値を使用してこれらのシーケンスを埋めますが、これは実際に彼らを助けますか?つまり、エントロピー値39.6は、攻撃者がその構造を知らないため、そのキースペースを満たすブルートフォース攻撃によって攻撃される可能性があるという意味ではありません。私はセキュリティ上、パスワードと秘密鍵だけが秘密であるべきだと理解しています。メカニズム自体は既知であり、公開されていると考えるべきです。ただし、他の人がexactメソッドを知っているため、パスワードの生成方法はプライベートと見なすことができます。明らかにスノーデンはこれを公に明らかにしましたが、彼の次のパスワードのために、彼は少し違った方法でそれをします。これが、グラハムがスノーデンの例がエントロピー分析が示唆するよりも安全であることに同意しない理由ですか?
tylerlが注記 のように、エントロピーは実際にはパスワードの強度の尺度ではありませんが、私たちが得たものは次のとおりです。
パスワードの複雑さの目的は、総当たり攻撃に対抗することです。パスワードを含む使用可能な最小の辞書のサイズによって、パスワードを解読するために必要な時間が決まります。攻撃者が利用できる辞書は推測できますが、確実に知ることはできません。したがって、辞書サイズのプロキシとして、代わりにエントロピーを使用します。実際の攻撃メカニズムを反映していないため、これは不十分な代替手段ですが、何もないよりは優れている可能性があります。
エントロピー計算に基づくパスワードの比較は、実りある可能性があるかもしれませんが、最終的には、パスワードがどれだけうまく耐えるかに間接的にのみ関連する数値に、あまりにも多くの値を割り当てないように注意する必要があります。
MargaretThatcheris110%SEXY.パスワードの分析時のエントロピーは39.6ビットですが、生成方法isはランダム化されています(人間の脳によるものです)。これにより、実際の強度を測定することが困難になります。この偽のランダム化により、攻撃者が特定のパスワードの構造自体を知らずに単語リストを作成することも困難になります。エンドユーザーが複数のパスワードに同じ構造を使用している場合を除いて(覚えておく必要があるほど十分に生成された場合に誤って発生する可能性があります)、エントロピーの欠如は攻撃者を助けません。これが、グラハムがスノーデンのパスワードが弱いことに反対する理由です。
与えられた単一のパスワードが「弱い」か「強い」かを判断することは不可能です。
DyZ29ZQ8JswmeKutXHDHh77YqpkmD
安全なパスワードである可能性がありますが、それが攻撃者の辞書にある場合はそうではありません。 zxcvbn のようなパスワードの「強度」メーターは、パスワードの構築方法の内訳を提供しますmight、それが一般的なシーケンスに該当する場合は、別のもの。
のシーケンス
female_names + surnames + english Word + english Word + digits + common password + character
zxcvbnがMargaretThatcheris110%SEXY.から決定することはあまり一般的ではないため、攻撃者は、特定の理由がある場合にのみ、このエントロピー分布のキースペースを攻撃することを選択します。つまり、MargaretThatcheris110%SEXY.はおそらくNSAの証明であり、Grahamが示唆しています。
確かにスノーデンのパスワード「アルゴリズム」が知られ、潜在的なキースペースを攻撃可能な範囲に削減します。現在、Snowdenはこれを知るのに十分スマートであり、同じアルゴリズムまたは将来的には類似したアルゴリズムに基づくパスワードを使用しないと思います。ただし、考慮すべき2つの問題があります。
1つは、派生した秘密を共有する際の情報漏えいです。ランダムな単語(ダイスウェア)に対してアルゴリズムを使用する唯一の利点は、アルゴリズムから複数の安全な秘密を生成することです。例としては、2つのパスワードを導き出すことが挙げられます。これは、2つの純粋にランダムな値よりも覚えやすくなります。
アルゴリズムを知らなくても、導出された両方のパスワードが複雑すぎてブルートフォースで破壊できないと仮定しましょう。問題は、パスワードの1つを取得する他の方法があり、他のnoeの強度を低下させることです。たとえば、誰かがドキュメントを暗号化するための1つのパスワードとFacebookのログインとしてもう1つのパスワードを使用する場合、それは非常に悪いことになります。法執行機関は法的権限を使用してFacebookのパスワードを傍受し、その結果に基づいてアルゴリズムまたはアルゴリズムのかなりの部分を導き出し、秘密文書のパスワードのエントロピーを> 100ビットから40に削減することができます。漏れ。
つまり、抽象的な分析では非常に安全ですが、現実の世界は複雑です。派生したパスワードが使用される場所を考慮する必要があります。 2つの値がリンクされている場合、情報の漏えいが基礎となるアルゴリズムを危険にさらす可能性があるため、より多くのリスクがあります。アルゴリズムが秘密のままであると想定している場合、それは問題です。アルゴリズムが秘密にならないと想定する場合は、より複雑なパスワードが必要になり、ランダムなパスワードを複数使用するなどしてアルゴリズムの価値を失います。
シークレットをサードパーティに渡すと(つまり、ウェブサイトへのログイン)、それを制御できなくなり、それが一言で言えば問題になります。次のログインを記録するために法執行機関の説得力のあるFacebookの例を使用しましたが、Webサイトのセキュリティが低くプレーンテキストで保存されているか、悪意のある従業員の1人がログインをすべて記録するか、サイトがハッキングされる可能性があります。はそれを知らず、第三者(おそらく3文字で1文字)が密かにログインを記録しています。
シークレットのセキュリティを制御できない場合、そのシークレットを他のシークレットに関連付けたくありません。 facebookがその1つの秘密のセキュリティを危うくするかどうかは制御できませんが、ダメージを区分化することはできます。ランダムに生成されたサイトパスワードを格納する強力なパスワードで保護されたパスワードマネージャは、上流のリンクがないことを保証します。マスターパスワードが侵害されると、保存されているすべてのパスワードが侵害されますが、Facebookのパスワードが漏えいする方法はなく、秘密文書のパスワードが侵害される可能性があります。
まだ「マスターパスワード」がありますが、上流のリンクはありませんが、すべてのシークレットとマスターパスワードのリンクがあります。これは、同様の理由で潜在的に悪いものです。より高いレベルのセキュリティの場合、アルゴリズムと、高レベルのシークレットのパスワードマネージャーに格納されているランダムな値を使用して、より高いセキュリティのシークレットをより低いセキュリティのシークレットから分離すると便利です。したがって、マスターパスワードが侵害されると、すべての低レベルのシークレットが侵害されますが、必ずしも高レベルのシークレットは侵害されません。
パスワードの強度の尺度としてのエントロピーの問題は、実際にはoutputではなくinputに適用する必要があることです。
Wordの「パスワード」をbase64でエンコードすると、見た目は強力ですが、実際にはそうではありません。
したがって、エントロピービットを測定することは、実際にはベストケースです。純粋にランダムな生成を見ると、比較的小さなキースペースでも、シンボルごとのエントロピーは想像するほど悪くはありません。
参照先: https://en.wikipedia.org/wiki/Password_strength#Random_passwords
大文字と小文字を区別しない文字は、シンボルあたり4.7ビットです。すべてのASCIIはシンボルあたり6.5です。したがって、「通常の文字」のみを使用した私のパスワードが50%長い限り、「より安全」です。
しかし現実的には-ランダムに生成されたパスワードでさえ、そのランダムではないかもしれません。見た目は良いですが、そうではありません。人間の脳が生成するパスワードも同様です...それほどランダムではありませんが、重要な注意点があります-あなたの脳がどのように機能するかを知らない限り、使用したアルゴリズムを知ることはできません。
私はmay推測できる-そして実際、これが辞書攻撃の仕組みです。一連のディクショナリ主導の「パスワードルール」を作成します。これは、シンボルをくっつけて「推測」しようとする非常に単純なケースです。これにより、ランダムな文字の「ベストケース」からエントロピーが大幅に減少します。 XCKDは、 "correcthorsebatterystaple"を引用して、長さcouldである理論上の122ではなく44ビットをもたらすと考えています。
だから...短い答え-それを言うのは不可能に近いです。自信があっても、他人にあなたのパスワードを強引に強要させないでください。
これを定量的に分析するための最も重要な要素は
「zxcvbnのような「強度メーター」は、エントロピーを39.6(完全停止を含む)として与えます。しかし、zxcvbnがそれを分解する方法を生成したことを誰も知りません。 "
したがって、そのことを念頭に置いて、パスワード生成アルゴリズムの順列をエントロピーのビットとして含める必要があります。攻撃者は、可能な各生成スキーム(xkcdスキーム、zxcvbnスキーム、シュナイアースキームなどはすべて、ある程度のエントロピーを交換してメモリを呼び戻しやすくし、最終的にはすべてを並べて、機会があればハッシュで実行します。
グーグルを巧妙に使用すると、おそらく「記憶可能なパスワードの作成」の上位6または8の方法が明らかになるでしょう。これは、より完全なエントロピー分析を考えたい場合に開始する場所です。