web-dev-qa-db-fra.com

Mot de passe ou entropie de mot de passe

Depuis un certain temps, je m'intéresse au concept de phrase secrète en tant que remplacement potentiellement plus sûr des mots de passe classiques. Mon intérêt provenait d'un sentiment profond que les phrases secrètes seraient d'une entropie plus faible que les mots de passe étant donné leur nature.

Voici ma logique. D'après mes recherches sur Google, la plupart des messages de type blog qu'un utilisateur d'ordinateur typique pourrait lire les mots de passe salués comme une chose sécurisée incroyable et même un site a affirmé que le logiciel de craquage de mot de passe existant était incapable de déchiffrer les mots de passe car ils étaient trop longs. Pris littéralement, cela est vrai, mais un simple changement dans les dictionnaires qui alimentent votre pirate de mot de passe peut résoudre ce problème. Néanmoins, voici ma logique:

Mots de passe:

Les utilisateurs sont maintenant quelque peu habitués à l'idée que les mots de passe doivent être compliqués, en utilisant la substitution de symboles et de nombres et en longueur. J'utilise personnellement des mots de passe basés sur des mots de dictionnaire inhabituels avec des substitutions de symboles et des nombres aléatoires. Techniquement, un utilisateur qui choisit un mot de passe à 8 caractères (au hasard) aurait une entropie de mot de passe de 94 ^ 8. Certes, la plupart des gens n'ont pas de mots de passe vraiment aléatoires, mais je vais expliquer pourquoi je pense que cela s'annulera sous peu avec une erreur humaine similaire dans les phrases secrètes. C'est un énorme chiffre fou puisque 94 ^ 8 = 6,1 x 10 ^ 15.

Phrases de passe:

Partout et tous ceux que j'ai vus parler de phrases secrètes ont toujours donné des exemples de tous les minuscules, pas de symboles ou de phrases numériques comme la bande xkcd classique avec "la bonne alimentation de la batterie du cheval". Selon Oxford Dictionary ici il y a environ 170 000 mots actuellement utilisés dans le dictionnaire anglais. En supposant que les utilisateurs choisissent en moyenne une phrase secrète de trois mots (qui semble dépasser la paresse des utilisateurs), c'est-à-dire une entropie de 170000 ^ 3 = 4,9 x 10 ^ 15 qui est une entropie environ 20% inférieure au mot de passe à 8 caractères choisi au hasard. Maintenant, avant de prétendre que personne n'utilise de mots de passe générés de manière aléatoire, il sera tout aussi rare que des personnes choisissent des mots totalement aléatoires dans le dictionnaire anglais. Au lieu de cela, les utilisateurs utilisent fréquemment des dictons courants. Même si les gens évitent les dictons courants, je ne suis pas un expert en linguistique mais il y a des options limitées qui peuvent logiquement suivre un mot en anglais, réduisant sérieusement les permutations possibles utilisées dans les phrases de passe.

Dans cet esprit, je soutiens qu'au moins le non-respect du caractère aléatoire dans les phrases secrètes sera égal, sinon supérieur, au non-respect du caractère aléatoire dans la création de mots de passe, car les utilisateurs sont bercés par un faux sentiment de sécurité avec le concept de phrases secrètes.

Donc, je présente ma question formelle, est-ce que j'oublie une considération clé ici ou ai-je raison et les mots de passe sont vraiment moins sécurisés, pas seulement aussi sécurisés que les mots de passe et ne sont pas une nouvelle façon révolutionnaire de rendre votre mot de passe/phrase de passe beaucoup plus difficile à deviner ?

9
dFrancisco

Deux points généraux.

Premièrement, l'avantage des phrases secrètes est qu'elles facilitent aux utilisateurs la génération d'entropie tout en se souvenant de leur clé. La génération d'entropie à travers des caractères aléatoires est difficile - et plus quelque chose est difficile, moins les gens le feront.

La raison pour laquelle la bande dessinée XKCD est ainsi citée n'est pas seulement mathématique - c'est que les gens qui n'ont pas vu la bande dessinée depuis des années peuvent encore vous dire quoi ce mot de passe est. C'est le but de la bande dessinée: que ces octets d'entropie étaient faciles à retenir pour un humain.

Deuxièmement, vous voudrez peut-être jeter un œil à:

https://wpengine.com/unmasked/

Le point culminant principal? L'entropie moyenne des mots de passe est de 21,6. Aka, il est divisé par un facteur de 2 milliards par rapport à votre numéro 94 ^ 8. La raison? Les utilisateurs ne choisissent pas de caractères ascii aléatoires. Ils ne choisissent pas des lettres aléatoires avec des majuscules aléatoires. Ils ne choisissent pas de lettres aléatoires. Ils choisissent simplement un mot et le décorent.

Fondamentalement, il est plus facile d'obtenir une personne paresseuse pour générer l'entropie via une phrase de passe de 15 caractères que pour les amener à générer l'entropie via un mot de passe à 8 caractères.

9
Kevin

Pendant que vous obtenez les chiffres, votre logique semble être basée sur des hypothèses plutôt étranges.

Tout d'abord, aléatoire mots de passe. Votre comparer au hasard 3 mots aléatoires à 8 caractères aléatoires et point ondulé à "paresse". Vous n'expliquez pas vraiment pourquoi quelqu'un serait trop paresseux pour mémoriser 4 mots, mais mémoriserait 8 caractères aléatoires qui sont plus difficiles à retenir et plus difficiles à taper. (4 mots vous donneraient la même entropie que 8 caractères même avec le dictionnaire de diceware standard 7776-Word).

D'un autre côté, si vous comparez mots de passe choisis par l'utilisateur, ils seront tous deux vulnérables aux attaques par dictionnaire. La personne qui choisit la phrase choisira une sorte de phrase. La personne qui choisit le mot de passe à 8 caractères choisira un seul mot court , peut-être avec un symbole ajouté pour le plaisir. Une phrase anglaise de 3 mots a encore plus d'entropie qu'un seul mot anglais.

En fin de compte, les mots de passe sélectionnés par l'homme ne sont pas vraiment sécurisés, quelle que soit la méthode. C'est pourquoi vous devez toujours en générer au hasard. Avec un gestionnaire de mots de passe, ils ne font aucune différence de quel type ils sont - mais une combinaison aléatoire de mots peut être mémorisée, une chaîne aléatoire pas tellement

Mais si vous supposez que vos utilisateurs choisiront un mot de passe à la main, les plus longs seront toujours plus sûrs.

1
averell