Bezpečnostní průvodce

Vysvětlení entropie hesla

Pochopte entropii hesla, vyhledávací prostor, velikost abecedy, délku a proč jsou teoretické bity pouze horním odhadem.

Shrnutí

Entropie hesla je způsob, jak popsat velikost vyhledávacího prostoru, který by útočník musel prozkoumat. Pro uniformně náhodné heslo je užitečný horní odhad vzorec:

bits = length × log2(alphabet size)

Použijte kalkulačku doby prolomení hesla k porovnání předpokladů.

Velikost abecedy

Velikost abecedy je počet možných znaků. Malá písmena dávají 26 možností. Velká a malá písmena dávají 52. Přidání číslic dává 62. Symboly mohou fond dále rozšířit, ale pouze pokud je služba přijímá a generátor je vybírá náhodně.

Délka

Délka násobí vyhledávací prostor. Delší náhodné heslo obvykle poskytuje větší praktické zlepšení než krátké heslo ozdobené předvídatelnými symboly.

Varování o horním odhadu

Vzorec předpokládá, že každá pozice je vybrána uniformně z abecedy. Nevztahuje se na lidské fráze, znovu použitá hesla, slovníková slova, data, klávesnicové vzory, uniklé přihlašovací údaje nebo upravený výstup. Také nemodeluje hashování na straně služby ani online omezení rychlosti.

Praktická doporučení

• Entropii považujte za srovnávací nástroj, nikoli záruku.
• Preferujte náhodně generované hodnoty.
• Použijte větší délku pro omezené abecedy.
• Každé heslo mějte jedinečné.
• Výsledky ukládejte bezpečně.

Podrobný návod

Tento průvodce se zaměřuje na interpretaci entropie hesla bez přehánění. Je psán pro čtenáře, kteří porovnávají délku, velikost abecedy a seznamy slov pro přístupové fráze, takže praktickým cílem není vytvořit dramatické bezpečnostní tvrzení. Cílem je zvolit návyk s heslem, který přežije každodenní použití: přihlašovací formuláře, správci hesel, mobilní klávesnice, obnovení účtu, sdílená zařízení a občasnou službu s podivnými validačními pravidly. Bezpečné doporučení je užitečné pouze tehdy, pokud ho skutečný člověk může důsledně dodržovat.

Nejbezpečnějším výchozím bodem je náhodnost plus jedinečnost. Náhodnost znamená, že hodnota je vybrána z velkého prostoru kryptograficky vhodným náhodným zdrojem, nikoli vymyšlena z narozenin, jména domácího mazlíčka, klávesnicového vzoru nebo oblíbeného citátu. Jedinečnost znamená, že stejné heslo není použito nikde jinde. Dlouhé, ale znovu použité heslo může rychle selhat po jednom nesouvisejícím úniku, zatímco jedinečné náhodné heslo omezí škodu na jediný účet, kde bylo použito.

Pro toto téma je praktickým přednastavením délka vynásobená log2 velikosti náhodné abecedy pro uniformně náhodná hesla. Toto přednastavení můžete použít s kontrolou síly hesla a poté uložit výslednou hodnotu do důvěryhodného správce hesel. PwdGen generuje hodnoty lokálně v prohlížeči pomocí Web Crypto; vygenerované heslo není odesláno na server PwdGen. Tento lokální design snižuje expozici na straně serveru, ale nechrání před každou hrozbou. Škodlivé rozšíření prohlížeče, kompromitované zařízení, phishingová stránka nebo nebezpečná manipulace se schránkou mohou stále odhalit tajemství po jeho vygenerování.

Nejčastějšími problémy, kterým je třeba se vyhnout, jsou aplikace jednoduchého vzorce na lidsky zvolená hesla, ignorování opětovného použití a považování odhadů za záruky. Tyto problémy jsou důležité, protože útočníci jen zřídka potřebují brute-force prohledávat všechna možná hesla, když jim lidské návyky poskytnou zkratku. Credential stuffing, phishing, uniklé seznamy hesel a zneužití obnovení účtu jsou často realističtější než čistě matematické hledání. Proto nejlepší rada kombinuje kvalitu hesla s kontrolami na úrovni účtu, jako je MFA, přístupové klíče, ukládání kódů pro obnovení a pravidelná kontrola e-mailu nebo telefonu pro obnovení.

Použijte tento kontrolní seznam při aplikaci doporučení:

• Entropii používejte pouze pro náhodné generování.
• Pro lidský vstup používejte kontroly typu zxcvbn.
• Zvyšte délku, pokud platí omezení abecedy.
• Pamatujte, že hashování úložiště ovlivňuje rychlost útoku.

Pokud webová stránka odmítne ideální nastavení, nenuťte heslo ručně do slabšího vzoru. Upravujte jednu proměnnou najednou. Pokud jsou symboly odmítnuty, ponechte velká písmena, malá písmena a číslice povolené a zvyšte délku. Pokud je maximální délka nízká, použijte největší akceptovanou délku a ujistěte se, že hodnota je jedinečná. Pokud musí být heslo čteno nahlas, vytištěno nebo zadáno na televizní či routerové obrazovce, zvažte vyloučení matoucích znaků a zvýšení délky, abyste kompenzovali menší abecedu.

Nakonec si pamatujte hranice rad ohledně hesel. Silné heslo je jedna vrstva obrany, nikoli záruka. Nemůže učinit phishingovou stránku bezpečnou, opravit malware nebo kompenzovat službu, která ukládá přihlašovací údaje špatně. Užitečný návyk je nudný, ale trvanlivý: vygenerujte jedinečnou hodnotu, bezpečně ji uložte, chraňte cestu obnovení a rychle ji vyměňte, pokud máte podezření na prozrazení.

Bezpečný další krok

Po přečtení tohoto průvodce proveďte jeden malý audit účtu místo snahy opravit vše najednou. Vyberte účet, který by způsobil nejvíce problémů, kdyby byl převzat, potvrďte, že jeho heslo je jedinečné, a zkontrolujte e-mail pro obnovení, telefon pro obnovení, metodu MFA a uložení záložních kódů. Pokud je některá část tohoto řetězce slabá, zlepšete ji, než přejdete k účtům s nižším rizikem. Tento postup udržuje práci zvládnutelnou a chrání účty, které útočníci s největší pravděpodobností použijí jako odrazový můstek. Pro vysvětlení entropie hesla je nejlepším výsledkem opakovatelný návyk: generovat lokálně, ukládat opatrně a vyhýbat se opětovnému použití.

Často kladené otázky

Jaký je jednoduchý vzorec pro entropii?

Pro uniformně náhodné znaky je běžným horním odhadem délka vynásobená log2 velikosti abecedy.

Proč je entropie pouze odhad?

Předpokládá uniformní náhodný výběr a nezohledňuje opětovné použití, úniky, lidské úpravy, kompromitovaná zařízení nebo cílové úložiště.

Přidávají symboly vždy více entropie?

Symboly zvyšují velikost abecedy, pokud jsou vybrány náhodně, ale přidání délky často přináší větší a snadněji použitelný přínos.