Οδηγός ασφαλείας
Εξήγηση της Εντροπίας Κωδικού Πρόσβασης
Κατανοήστε την εντροπία κωδικού πρόσβασης, τον χώρο αναζήτησης, το μέγεθος αλφαβήτου, το μήκος και γιατί τα θεωρητικά bits είναι μόνο μια εκτίμηση ανώτατου ορίου.
Σύνοψη
Η εντροπία κωδικού πρόσβασης είναι ένας τρόπος να περιγράψουμε το μέγεθος του χώρου αναζήτησης που θα χρειαζόταν να εξερευνήσει ένας επιτιθέμενος. Για έναν ομοιόμορφα τυχαίο κωδικό πρόσβασης, ένας χρήσιμος τύπος ανώτατου ορίου είναι:
bits = length × log2(alphabet size)Χρησιμοποιήστε την αριθμομηχανή χρόνου παραβίασης κωδικού πρόσβασης για να συγκρίνετε υποθέσεις.
Μέγεθος αλφαβήτου
Το μέγεθος αλφαβήτου είναι ο αριθμός των πιθανών χαρακτήρων. Τα πεζά γράμματα δίνουν 26 επιλογές. Κεφαλαία συν πεζά δίνουν 52. Η προσθήκη ψηφίων δίνει 62. Τα σύμβολα μπορούν να αυξήσουν περαιτέρω το σύνολο, αλλά μόνο εάν η υπηρεσία τα αποδέχεται και η γεννήτρια τα επιλέγει τυχαία.
Μήκος
Το μήκος πολλαπλασιάζει τον χώρο αναζήτησης. Ένας μεγαλύτερος τυχαίος κωδικός πρόσβασης συνήθως παρέχει μεγαλύτερη πρακτική βελτίωση από έναν σύντομο κωδικό διακοσμημένο με προβλέψιμα σύμβολα.
Προειδοποίηση ανώτατου ορίου
Ο τύπος υποθέτει ότι κάθε θέση επιλέγεται ομοιόμορφα από το αλφάβητο. Δεν ισχύει για ανθρώπινες φράσεις, επαναχρησιμοποιημένους κωδικούς, λέξεις λεξικού, ημερομηνίες, μοτίβα πληκτρολογίου, διαρρεύσαντα διαπιστευτήρια ή επεξεργασμένη έξοδο. Επίσης, δεν μοντελοποιεί το hashing από την πλευρά της υπηρεσίας ή τα όρια ρυθμού σύνδεσης.
Πρακτικές συστάσεις
- Αντιμετωπίστε την εντροπία ως εργαλείο σύγκρισης, όχι ως εγγύηση.
- Προτιμήστε τυχαία παραγόμενες τιμές.
- Χρησιμοποιήστε μεγαλύτερο μήκος για περιορισμένα αλφάβητα.
- Κρατήστε κάθε κωδικό μοναδικό.
- Αποθηκεύστε τα αποτελέσματα με ασφάλεια.
Λεπτομερής καθοδήγηση
Αυτός ο οδηγός εστιάζει στην ερμηνεία της εντροπίας κωδικού πρόσβασης χωρίς υπερβολές. Είναι γραμμένος για αναγνώστες που συγκρίνουν μήκος, μέγεθος αλφαβήτου και λίστες λέξεων passphrase, οπότε ο πρακτικός στόχος δεν είναι να δημιουργηθεί ένας δραματικός ισχυρισμός ασφαλείας. Ο στόχος είναι να επιλέξετε μια συνήθεια κωδικού πρόσβασης που μπορεί να επιβιώσει στην καθημερινή χρήση: φόρμες σύνδεσης, διαχειριστές κωδικών πρόσβασης, πληκτρολόγια κινητών, ανάκτηση λογαριασμού, κοινόχρηστες συσκευές και την περιστασιακή υπηρεσία με περίεργους κανόνες επικύρωσης. Μια ασφαλής σύσταση είναι χρήσιμη μόνο αν ένα πραγματικό άτομο μπορεί να την ακολουθήσει με συνέπεια.
Το ασφαλέστερο σημείο εκκίνησης είναι η τυχαιότητα συν η μοναδικότητα. Τυχαιότητα σημαίνει ότι η τιμή επιλέγεται από έναν μεγάλο χώρο από μια κρυπτογραφικά κατάλληλη τυχαία πηγή, όχι επινοημένη από ένα γενέθλιο, ένα όνομα κατοικίδιου, ένα μοτίβο πληκτρολογίου ή μια αγαπημένη φράση. Μοναδικότητα σημαίνει ότι ο ίδιος κωδικός δεν χρησιμοποιείται πουθενά αλλού. Ένας κωδικός που είναι μακρύς αλλά επαναχρησιμοποιείται μπορεί να αποτύχει γρήγορα μετά από μια άσχετη παραβίαση, ενώ ένας μοναδικός τυχαίος κωδικός περιορίζει τη ζημιά στον μοναδικό λογαριασμό όπου χρησιμοποιήθηκε.
Για αυτό το θέμα, μια πρακτική προεπιλογή είναι το μήκος πολλαπλασιασμένο με το log2 του μεγέθους του τυχαίου αλφαβήτου για ομοιόμορφα τυχαίους κωδικούς πρόσβασης. Μπορείτε να εφαρμόσετε αυτήν την προεπιλογή με τον ελεγκτή ισχύος κωδικού πρόσβασης και στη συνέχεια να αποθηκεύσετε την τελική τιμή σε έναν αξιόπιστο διαχειριστή κωδικών πρόσβασης. Το PwdGen δημιουργεί τιμές τοπικά στο πρόγραμμα περιήγησης με το Web Crypto· ο παραγόμενος κωδικός δεν αποστέλλεται σε διακομιστή PwdGen. Αυτός ο τοπικός σχεδιασμός μειώνει την έκθεση στην πλευρά του διακομιστή, αλλά δεν προστατεύει από κάθε απειλή. Μια κακόβουλη επέκταση προγράμματος περιήγησης, μια παραβιασμένη συσκευή, μια σελίδα phishing ή μη ασφαλής διαχείριση προχείρου μπορεί να εκθέσει ένα μυστικό μετά τη δημιουργία του.
Τα πιο συνηθισμένα προβλήματα που πρέπει να αποφύγετε είναι η εφαρμογή του απλού τύπου σε κωδικούς που επιλέγονται από ανθρώπους, η αγνόηση της επαναχρησιμοποίησης και η αντιμετώπιση των εκτιμήσεων ως εγγυήσεων. Αυτά τα προβλήματα έχουν σημασία επειδή οι επιτιθέμενοι σπάνια χρειάζεται να δοκιμάσουν όλους τους πιθανούς κωδικούς όταν οι ανθρώπινες συνήθειες τους δίνουν μια συντομότερη διαδρομή. Το credential stuffing, το phishing, οι λίστες διαρρευσάντων κωδικών και η κατάχρηση ανάκτησης λογαριασμού είναι συχνά πιο ρεαλιστικά από μια καθαρά μαθηματική αναζήτηση. Γι’ αυτό η καλύτερη συμβουλή συνδυάζει την ποιότητα του κωδικού πρόσβασης με ελέγχους σε επίπεδο λογαριασμού, όπως MFA, passkeys, αποθήκευση κωδικών ανάκτησης και τακτικό έλεγχο των ρυθμίσεων email ή τηλεφώνου ανάκτησης.
Χρησιμοποιήστε αυτήν τη λίστα ελέγχου όταν εφαρμόζετε τη σύσταση:
- Χρησιμοποιήστε την εντροπία μόνο για τυχαία δημιουργία.
- Χρησιμοποιήστε ελέγχους τύπου zxcvbn για ανθρώπινη είσοδο.
- Αυξήστε το μήκος όταν ισχύουν περιορισμοί αλφαβήτου.
- Θυμηθείτε ότι τα hashes αποθήκευσης επηρεάζουν την ταχύτητα επίθεσης.
Εάν ένας ιστότοπος απορρίπτει την ιδανική ρύθμιση, μην αναγκάσετε τον κωδικό σε ένα πιο αδύναμο μοτίβο χειροκίνητα. Προσαρμόστε μία μεταβλητή κάθε φορά. Εάν τα σύμβολα απορρίπτονται, κρατήστε ενεργά τα κεφαλαία, πεζά και αριθμούς και αυξήστε το μήκος. Εάν το μέγιστο μήκος είναι μικρό, χρησιμοποιήστε το μεγαλύτερο αποδεκτό μήκος και βεβαιωθείτε ότι η τιμή είναι μοναδική. Εάν ένας κωδικός πρέπει να διαβαστεί δυνατά, να εκτυπωθεί ή να πληκτρολογηθεί σε οθόνη τηλεόρασης ή δρομολογητή, σκεφτείτε να εξαιρέσετε συγχυτικούς χαρακτήρες και να αυξήσετε το μήκος για να αντισταθμίσετε το μικρότερο αλφάβητο.
Τέλος, θυμηθείτε τα όρια της συμβουλής για κωδικούς πρόσβασης. Ένας ισχυρός κωδικός είναι ένα επίπεδο άμυνας, όχι εγγύηση. Δεν μπορεί να κάνει μια σελίδα phishing ασφαλή, να διορθώσει κακόβουλο λογισμικό ή να αντισταθμίσει μια υπηρεσία που αποθηκεύει διαπιστευτήρια με κακό τρόπο. Η χρήσιμη συνήθεια είναι βαρετή αλλά ανθεκτική: δημιουργήστε μια μοναδική τιμή, αποθηκεύστε την με ασφάλεια, προστατέψτε τη διαδρομή ανάκτησης και αντικαταστήστε την γρήγορα αν υποψιάζεστε έκθεση.
Ένα ασφαλές επόμενο βήμα
Αφού διαβάσετε αυτόν τον οδηγό, κάντε έναν μικρό έλεγχο λογαριασμού αντί να προσπαθήσετε να διορθώσετε τα πάντα ταυτόχρονα. Επιλέξτε τον λογαριασμό που θα προκαλούσε τα περισσότερα προβλήματα αν παραβιαζόταν, επιβεβαιώστε ότι ο κωδικός του είναι μοναδικός και ελέγξτε το email ανάκτησης, το τηλέφωνο ανάκτησης, τη μέθοδο MFA και την αποθήκευση εφεδρικών κωδικών. Εάν κάποιο μέρος αυτής της αλυσίδας είναι αδύναμο, βελτιώστε αυτό το μέρος πριν προχωρήσετε σε λογαριασμούς χαμηλότερου κινδύνου. Αυτή η σειρά διατηρεί τη δουλειά διαχειρίσιμη και προστατεύει τους λογαριασμούς που οι επιτιθέμενοι είναι πιθανότερο να χρησιμοποιήσουν ως εφαλτήριο. Για την εξήγηση της εντροπίας κωδικού πρόσβασης, το καλύτερο αποτέλεσμα είναι μια επαναλαμβανόμενη συνήθεια: δημιουργήστε τοπικά, αποθηκεύστε προσεκτικά και αποφύγετε την επαναχρησιμοποίηση.
Συχνές ερωτήσεις
Ποιος είναι ο απλός τύπος εντροπίας;
Για ομοιόμορφα τυχαίους χαρακτήρες, ένας κοινός τύπος ανώτατου ορίου είναι το μήκος πολλαπλασιασμένο με το log2 του μεγέθους του αλφαβήτου.
Γιατί η εντροπία είναι μόνο μια εκτίμηση;
Υποθέτει ομοιόμορφη τυχαία επιλογή και δεν λαμβάνει υπόψη την επαναχρησιμοποίηση, διαρροές, ανθρώπινες επεξεργασίες, παραβιασμένες συσκευές ή αποθήκευση προορισμού.
Τα σύμβολα προσθέτουν πάντα περισσότερη εντροπία;
Τα σύμβολα αυξάνουν το μέγεθος του αλφαβήτου όταν επιλέγονται τυχαία, αλλά η προσθήκη μήκους συχνά δίνει μεγαλύτερο και ευκολότερο στη χρήση όφελος.