Biztonsági útmutató

Jelszó-entrópia magyarázata

Ismerje meg a jelszó-entrópiát, a keresési teret, az ábécé méretét, a hosszúságot, és hogy miért csak felső becslés az elméleti bitek száma.

Összefoglaló

A jelszó-entrópia a keresési tér méretét írja le, amelyet egy támadónak fel kellene tárnia. Egyenletesen véletlenszerű jelszó esetén egy hasznos felső becslő képlet:

bits = length × log2(alphabet size)

Használja a jelszó feltörési idő kalkulátort a feltételezések összehasonlításához.

Ábécé mérete

Az ábécé mérete a lehetséges karakterek számát jelenti. A kisbetűk 26 lehetőséget adnak. A nagy- és kisbetűk együtt 52-t. Számjegyek hozzáadásával 62-t. Szimbólumok tovább növelhetik a készletet, de csak akkor, ha a szolgáltatás elfogadja őket, és a generátor véletlenszerűen választja ki őket.

Hosszúság

A hosszúság megsokszorozza a keresési teret. Egy hosszabb véletlenszerű jelszó általában nagyobb gyakorlati javulást nyújt, mint egy rövid, kiszámítható szimbólumokkal díszített jelszó.

Felső becslés figyelmeztetés

A képlet feltételezi, hogy minden pozíció egyenletesen van kiválasztva az ábécéből. Nem alkalmazható emberi kifejezésekre, újrahasznált jelszavakra, szótári szavakra, dátumokra, billentyűzetutakra, kiszivárgott hitelesítő adatokra vagy szerkesztett kimenetre. Továbbá nem modellezi a szolgáltatói oldali hashelést vagy az online sebességkorlátozásokat.

Gyakorlati ajánlások

• Kezelje az entrópiát összehasonlító eszközként, nem garanciaként.
• Részesítse előnyben a véletlenszerűen generált értékeket.
• Használjon nagyobb hosszúságot korlátozott ábécék esetén.
• Tartsa minden jelszavát egyedinek.
• Tárolja az eredményeket biztonságosan.

Részletes útmutató

Ez az útmutató a jelszó-entrópia értelmezésére összpontosít túlzások nélkül. Olyan olvasóknak készült, akik a hosszúságot, az ábécé méretét és a jelszó-kifejezés szólistákat hasonlítják össze, így a gyakorlati cél nem egy drámai biztonsági állítás létrehozása. A cél egy olyan jelszó-szokás kialakítása, amely túléli a mindennapi használatot: bejelentkezési űrlapok, jelszókezelők, mobil billentyűzetek, fiók-helyreállítás, megosztott eszközök és az alkalmankénti furcsa érvényesítési szabályokkal rendelkező szolgáltatások. Egy biztonságos ajánlás csak akkor hasznos, ha egy valós személy következetesen követni tudja.

A legbiztonságosabb kiindulópont a véletlenszerűség plusz az egyediség. A véletlenszerűség azt jelenti, hogy az értéket egy nagy térből választja ki egy kriptográfiailag megfelelő véletlen forrás, nem pedig születésnapból, háziállat névből, billentyűzetmintából vagy kedvenc idézetből találja ki. Az egyediség azt jelenti, hogy ugyanazt a jelszót sehol máshol nem használják. Egy hosszú, de újrahasznált jelszó gyorsan meghiúsulhat egy független adatszivárgás után, míg egy egyedi véletlenszerű jelszó korlátozza a kárt arra az egyetlen fiókra, ahol használták.

Ehhez a témához egy gyakorlati előbeállítás a hosszúság szorozva a véletlenszerű ábécé méretének log2-ével, egyenletesen véletlenszerű jelszavak esetén. Ezt az előbeállítást alkalmazhatja a jelszó erősség ellenőrzővel, majd tárolja a végső értéket egy megbízható jelszókezelőben. A PwdGen a böngészőben generál értékeket a Web Crypto segítségével; a generált jelszó nem kerül elküldésre a PwdGen szerverére. Ez a helyi kialakítás csökkenti a szerveroldali kitettséget, de nem véd minden fenyegetés ellen. Egy rosszindulatú böngészőbővítmény, egy feltört eszköz, egy adathalász oldal vagy a nem biztonságos vágólapkezelés továbbra is felfedheti a titkot a generálás után.

A leggyakoribb elkerülendő problémák: az egyszerű képlet alkalmazása ember által választott jelszavakra, az újrahasználat figyelmen kívül hagyása, valamint a becslések garanciaként való kezelése. Ezek a problémák azért számítanak, mert a támadók ritkán kényszerülnek minden lehetséges jelszó brute-force kipróbálására, amikor az emberi szokások parancsikont adnak nekik. A hitelesítő adatokkal való visszaélés, az adathalászat, a kiszivárgott jelszólisták és a fiók-helyreállítási visszaélések gyakran reálisabbak, mint egy tiszta matematikai keresés. Ezért a legjobb tanács ötvözi a jelszó minőségét a fiókszintű vezérlőkkel, mint például a MFA, a passkeys, a helyreállítási kódok tárolása, valamint a helyreállítási e-mail vagy telefonszám rendszeres felülvizsgálata.

Használja ezt az ellenőrzőlistát az ajánlás alkalmazásakor:

• Használja az entrópiát csak véletlenszerű generáláshoz.
• Használjon zxcvbn-stílusú ellenőrzéseket emberi bevitelhez.
• Növelje a hosszúságot, ha ábécé korlátozások érvényesek.
• Ne feledje, hogy a tárolási hash-ek befolyásolják a támadás sebességét.

Ha egy weboldal elutasítja az ideális beállítást, ne erőltesse a jelszót kézzel egy gyengébb mintába. Egyszerre csak egy változót állítson be. Ha a szimbólumok elutasításra kerülnek, hagyja engedélyezve a nagybetűket, kisbetűket és számokat, és növelje a hosszúságot. Ha a maximális hosszúság alacsony, használja a legnagyobb elfogadott hosszúságot, és győződjön meg arról, hogy az érték egyedi. Ha egy jelszót fel kell olvasni, ki kell nyomtatni, vagy be kell gépelni egy TV vagy router képernyőjén, fontolja meg a zavaró karakterek kizárását és a hosszúság növelését a kisebb ábécé kompenzálására.

Végül ne feledje a jelszótanács határait. Egy erős jelszó a védelem egy rétege, nem garancia. Nem teheti biztonságossá az adathalász oldalt, nem javítja ki a kártevőt, és nem kompenzálja a hitelesítő adatokat rosszul tároló szolgáltatást. A hasznos szokás unalmas, de tartós: generáljon egyedi értéket, tárolja biztonságosan, védje a helyreállítási utat, és cserélje ki gyorsan, ha gyanítja a kitettséget.

Egy biztonságos következő lépés

Az útmutató elolvasása után végezzen el egy kis fiók-ellenőrzést ahelyett, hogy egyszerre mindent megpróbálna megjavítani. Válassza ki azt a fiókot, amely a legtöbb gondot okozná, ha átvennék, erősítse meg, hogy a jelszava egyedi, és ellenőrizze a helyreállítási e-mailt, helyreállítási telefont, MFA-módszert és a biztonsági kódok tárolását. Ha a lánc bármely része gyenge, javítsa azt a részt, mielőtt az alacsonyabb kockázatú fiókokra lépne. Ez a sorrend kezelhetővé teszi a munkát, és védi azokat a fiókokat, amelyeket a támadók valószínűleg ugródeszkaként használnak. A jelszó-entrópia magyarázatánál a legjobb eredmény egy ismételhető szokás: generáljon helyben, tárolja gondosan, és kerülje az újrahasználatot.

Gyakran ismételt kérdések

Mi az egyszerű entrópia képlet?

Egyenletesen véletlenszerű karakterek esetén egy gyakori felső becslő képlet a hosszúság szorozva az ábécé méretének log2-ével.

Miért csak becslés az entrópia?

Feltételezi az egyenletes véletlenszerű kiválasztást, és nem veszi figyelembe az újrahasználatot, a szivárgásokat, az emberi szerkesztéseket, a feltört eszközöket vagy a célhely tárolását.

A szimbólumok mindig növelik az entrópiát?

A szimbólumok növelik az ábécé méretét, ha véletlenszerűen vannak kiválasztva, de a hosszúság növelése gyakran nagyobb és könnyebben használható előnyt nyújt.