web-dev-qa-db-fra.com

Citation d'experts sur l'entropie pour un mot de passe non craquable

Quelqu'un pourrait-il indiquer une citation dans un ouvrage publié - ou suggérer un expert reconnu qui pourrait fournir une citation - qui répond à la question suivante

Combien d'entropie dans un mot de passe garantirait-il qu'il est protégé contre une attaque de devinette hors ligne même si l'attaquant possède le matériel le plus puissant du monde?

J'écris un article sur la création d'un mot de passe sécurisé basé sur le vrai hasard et je voudrais inclure un chiffre pour la sécurité garantie mais je préfère ne pas offrir mes propres opinions et arguments, je voudrais citer un expert reconnu ou un travail publié.

Plus en détail, ce que l'on entend ci-dessus par ces termes est le suivant.

Si un mot de passe a suffisamment d'entropie, il est vraisemblablement impossible à craquer dans notre modèle de menace actuel, qui est celui où l'attaquant a un hachage cryptographique du mot de passe et fait à plusieurs reprises une supposition de mot de passe, hachant la supposition et comparant le hachage.

Par entropie, je veux dire que le créateur du mot de passe a choisi au hasard, avec une probabilité égale pour chaque choix, un mot de passe parmi N mots de passe possibles. L'entropie en bits est alors log₂ (N)

La citation doit donc couvrir la quantité d'entropie en bits (ou la taille de N) pour garantir que le mot de passe est sécurisé contre ce type d'attaque, même si l'attaquant possède le matériel le plus puissant du monde.

60
Stephen Hewitt

Prenons une fissure différente d'un point de vue monétaire plutôt que d'un point de vue physique. Skylar Nagao chez Peerio a déclaré que :

Dans un 2014 document de recherche sur la mémorisation des mots de passe, les chercheurs en sécurité Joseph Bonneau (Stanford) et Stuart Schechter (Microsoft) ont estimé le coût d'une attaque sur la base du paiement annuel total aux mineurs de bitcoins en 2013.

"En 2013, les mineurs de Bitcoin ont collectivement réalisé ≈ 275 SHA-256 hachait en échange de récompenses Bitcoin d'une valeur de 7 257 millions de dollars… c'est la seule opération connue du public à effectuer plus de 264 opérations cryptographiques et fournit donc la meilleure estimation disponible. Même en supposant qu'un effort centralisé pourrait être un ordre de grandeur plus efficace, cela nous laisse encore une estimation de 1 M $ US pour effectuer un 270 Évaluations SHA-256 et environ 1 G $ US pour 280 évaluations. "

Ici, nous avons l'estimation du mot de passe d'un milliard de dollars - même pour un attaquant d'État centralisé, il en coûterait environ 1 milliard de dollars américains pour calculer 280 Le hachage SHA-256 fonctionne au cours d'une année. Cela revient à dire qu'il en coûterait 1 milliard USD pour essayer 280 verrouillage des combinaisons sur un an. Puisqu'un attaquant serait "susceptible" de deviner correctement avec une seule supposition après la mi-course, Peerio utilise un 81 bits (280 fois deux) norme minimale pour nos phrases secrètes générées par ordinateur. Nous avons choisi cette norme parce que nous voulions nous assurer que même un attaquant au niveau de l'État devrait perdre 1 milliard de dollars américains pour avoir même une chance de lancer une pièce de monnaie pour casser un mot de passe Peerio.

Un mot de passe de 81 bits coûterait probablement 1 milliard de dollars et serait donc considéré par Peerio comme "non fissurable". En termes simples, 81 bits correspondraient à 17 lettres minuscules aléatoires, 13 caractères aléatoires provenant d'un clavier américain ou 7 à 8 mots choisis au hasard dans un dictionnaire.

Il y a certes beaucoup de détails techniques comme les prix, les niveaux de risque et les algorithmes de hachage. Peut-être que les mots de passe sont hachés beaucoup, beaucoup plus fortement avec bcrypt. Peut-être que ces chiffres sont obsolètes et plus modernes coûts miniers ou les dernières données sur les revenus miniers mettent les hashs/​​dollar à 1016 hachages/dollar. Peut-être que Bitcoin n'est pas la meilleure comparaison en raison des différences de marché ou des différences matérielles. En fin de compte, nous avons encore un ordre de grandeur pour le moindre coût de hachage à grande échelle.

Même si un État-nation ou un millionnaire montait une ferme de hachage de la taille de la mine Ordos de Bitmain , il faudrait encore des mois pour avoir une bonne chance de trouver votre mot de passe de mot de passe 80 bits d'un hachage non sécurisé, et jeter des millions voire des milliards de dollars de coûts et de pertes de revenus potentiels. Si un gouvernement pouvait frapper un milliard de térahashes par seconde, je parie qu'il a mieux à faire avec cette machine à gagner de l'argent que de casser votre mot de passe 81 bits .

Si nous parlons de garanties et de défense contre des adversaires incroyablement puissants, il est important de noter qu'il existe de nombreuses façons de contourner un mot de passe non craquable. Les méthodes incluent le détournement de session, les attaques MITM, les exploits de réinitialisation de mot de passe, les enregistreurs de frappe, la demande d'accès au site Web/administrateur et le phishing. Bien que certaines menaces comme l'altération physique de votre ordinateur puissent sembler absurdes, elles sont plus raisonnables qu'un effort de craquage de mot de passe d'un milliard de dollars ( xkcd pertinent ).

27
Cody P

Il y a une citation pour vous dans cette réponse crypto.SE , par Bruce Schneier dans Applied Cryptography (1996), pp. 157–8.

Vous pouvez également trouver Bruce Schneier se citant dans son blog (2009), si vous voulez une citation en ligne.

Voici le devis complet, en cas de rupture des liens:

L'une des conséquences de la deuxième loi de la thermodynamique est qu'une certaine quantité d'énergie est nécessaire pour représenter l'information. Enregistrer un seul bit en changeant l'état d'un système nécessite une quantité d'énergie non inférieure à kT, où T est la température absolue du système et k est la constante de Boltzman. (Restez avec moi; la leçon de physique est presque terminée.)

Étant donné que k = 1,38 × 10-16erg/° Kelvin, et que la température ambiante de l'univers est de 3,2 ° Kelvin, un ordinateur idéal fonctionnant à 3,2 ° K consommerait 4,4 × 10-16 ergs à chaque fois qu'il a réglé ou effacé un peu. Pour faire fonctionner un ordinateur plus froid que le rayonnement de fond cosmique, il faudrait de l'énergie supplémentaire pour faire fonctionner une pompe à chaleur.

Maintenant, la production annuelle d'énergie de notre Soleil est d'environ 1,21 × 1041 ergs. Cela suffit pour alimenter environ 2,7 × 1056 changements de bit unique sur notre ordinateur idéal; suffisamment de changements d'état pour mettre un compteur 187 bits à travers toutes ses valeurs. Si nous construisions une sphère Dyson autour du Soleil et captions toute son énergie pendant 32 ans, sans aucune perte, nous pourrions alimenter un ordinateur pour compter jusqu'à 2192. Bien sûr, il ne lui resterait pas l'énergie pour effectuer des calculs utiles avec ce compteur.

Mais ce n'est qu'une étoile, et une maigre à cela. Une supernova typique sort quelque chose comme 1051 ergs. (Environ cent fois plus d'énergie serait libérée sous forme de neutrinos, mais laissez-les partir pour l'instant.) Si toute cette énergie pouvait être canalisée dans une seule orgie de calcul, un compteur de 219 bits pourrait être parcouru par tous de ses états.

Ces chiffres n'ont rien à voir avec la technologie des appareils; ce sont les maximums que la thermodynamique permettra. Et ils impliquent fortement que les attaques par force brute contre des clés 256 bits seront irréalisables jusqu'à ce que les ordinateurs soient construits à partir d'autre chose que de la matière et occupent autre chose que de l'espace .

Mise à jour: Si vous voulez une citation pour évaluer la force d'un mot de passe généré aléatoirement, vous pouvez utiliser ce site Web qui est régulièrement mis à jour avec les recommandations faites par différents instituts. Un mot de passe aléatoire équivaut à une clé symétrique, c'est donc la valeur que vous recherchez. (Voici un lien vers la machine de retour , si ce site Web devait fermer.)

120
A. Hersean

MISE À JOUR:

Une très bonne vidéo YouTube explorant ce sujet est:

Quelle est la sécurité de la sécurité 256 bits? Par 3Blue1Brown


Je n'ai pas de devis ou de source originale, mais je réponds souvent à des questions comme celle-ci avec une réduction d'énergie. L'argument est le suivant: supposons que l'humanité puisse un jour fabriquer des processeurs à une limite d'efficacité physique. Calculez ensuite la quantité d'électricité qu'il faudrait à ces processeurs pour déchiffrer le mot de passe, puis calculez le nombre d'étoiles de la taille du soleil que vous auriez besoin de consommer pour produire autant d'électricité. Version courte: pour casser l'un des mots de passe aléatoires de 32 caractères d'un gestionnaire de mots de passe, vous cherchez à consommer comme 2x1015 étoiles dans les seuls coûts d'électricité. Par exemple, voir mes réponses récentes ici:

Dois-je faire varier la longueur de mes mots de passe complètement aléatoires pour une meilleure sécurité?

et ici

Pourquoi forcer le mot de passe au lieu de la clé directement?

Je ne sais pas vraiment où j'ai eu l'idée à l'origine, mais cela pourrait vous donner un point de départ pour googler pour trouver une source citable.


Rappelez-vous également que lorsque vous parlez de "mots de passe" dans le grand public, vous devez être très prudent pour les encadrer comme des "mots de passe correctement aléatoires provenant d'un gestionnaire de mots de passe". Si vous autorisez les utilisateurs à choisir leurs propres mots de passe, la longueur est plus ou moins non pertinente car les humains choisissent des mots de passe stupidement prévisibles, par exemple, cet article:

Comment casser 30% des mots de passe en quelques secondes

8
Mike Ounsworth

Je suis d'accord avec ce que les autres ont écrit. Comme information supplémentaire, consultez cette récente conférence (relative) sur Argon2 . Une page (diapositive n ° 8) donne une citation relativement récente sur les effets des progrès du matériel sur la force pratique des mots de passe lors d'attaques par force brute. À savoir

Les attaques par force brute (comme la supposition de clé) sont plus efficaces sur le matériel personnalisé: plusieurs cœurs de calcul sur de grands ASIC. Exemple pratique de hachage SHA-2 (Bitcoin):

  • 232 hachages/joule sur ASIC;
  • 217 hachages/joule sur ordinateur portable.

Conséquences:

  • Les clés perdent 15 bits
  • Les mots de passe deviennent 3 lettres minuscules plus courtes
  • Les NIP perdent 5 chiffres

Les attaquants équipés d'ASIC sont la menace d'un avenir proche. Les ASIC ont des coûts d'entrée élevés, mais le FPGA et le GPU sont également employés.

J'espère que cela vous donne une perspective pratique et mise à jour sur la longueur "effective" des tailles de clés sous les attaques par force brute utilisant du matériel moderne.

2
Kaiyi Li