Қауіпсіздік нұсқаулығы

Құпия сөз энтропиясы түсіндірілді

Құпия сөз энтропиясын, іздеу кеңістігін, алфавит өлшемін, ұзындықты және теориялық биттердің неліктен тек жоғарғы шекаралық баға екенін түсініңіз.

Қысқаша мазмұны

Құпия сөз энтропиясы – бұл шабуылдаушы зерттеуі қажет іздеу кеңістігінің өлшемін сипаттау тәсілі. Біркелкі кездейсоқ құпия сөз үшін пайдалы жоғарғы шекаралық формула:

bits = length × log2(alphabet size)

Құпия сөзді бұзу уақытын есептегішті пайдаланыңыз болжамдарды салыстыру үшін.

Алфавит өлшемі

Алфавит өлшемі – бұл мүмкін символдар саны. Кіші әріптер 26 нұсқа береді. Бас әріптер мен кіші әріптер 52 нұсқа береді. Цифрларды қосу 62 нұсқа береді. Таңбалар пулды одан әрі ұлғайта алады, бірақ қызмет оларды қабылдағанда және генератор оларды кездейсоқ таңдағанда ғана.

Ұзындық

Ұзындық іздеу кеңістігін көбейтеді. Ұзын кездейсоқ құпия сөз әдетте болжамды таңбалармен безендірілген қысқа құпия сөзге қарағанда үлкен практикалық жақсартуды қамтамасыз етеді.

Жоғарғы шекара туралы ескерту

Формула әрбір позицияның алфавиттен біркелкі таңдалғанын болжайды. Ол адам сөз тіркестеріне, қайта пайдаланылған құпия сөздерге, сөздік сөздерге, күндерге, пернетақта жолдарына, ағып кеткен тіркелгі деректеріне немесе өңделген нәтижеге қолданылмайды. Сондай-ақ ол қызмет тарапынан хэштеуді немесе онлайн жылдамдық шектеулерін модельдемейді.

Практикалық ұсыныстар

• Энтропияны салыстыру құралы ретінде қарастырыңыз, кепілдік ретінде емес.
• Кездейсоқ генерацияланған мәндерді қалаңыз.
• Шектеулі алфавиттер үшін ұзындықты көбірек пайдаланыңыз.
• Әрбір құпия сөзді бірегей етіп сақтаңыз.
• Нәтижелерді қауіпсіз сақтаңыз.

Егжей-тегжейлі нұсқаулық

Бұл нұсқаулық құпия сөз энтропиясын асыра бағаламай түсіндіруге бағытталған. Ол ұзындықты, алфавит өлшемін және парольдік сөз тізімдерін салыстыратын оқырмандарға арналған, сондықтан практикалық мақсат – драмалық қауіпсіздік мәлімдемесін жасау емес. Мақсат – күнделікті өмірде аман қала алатын құпия сөз әдетін таңдау: кіру формалары, пароль менеджерлері, мобильді пернетақталар, аккаунтты қалпына келтіру, ортақ құрылғылар және кейде оғаш тексеру ережелері бар қызметтер. Қауіпсіз ұсыныс нақты адам оны дәйекті түрде орындай алса ғана пайдалы.

Ең қауіпсіз бастапқы нүкте – кездейсоқтық пен бірегейлік. Кездейсоқтық мәннің үлкен кеңістіктен криптографиялық тұрғыдан қолайлы кездейсоқ көзбен таңдалғанын білдіреді, туған күннен, үй жануарының атынан, пернетақта үлгісінен немесе сүйікті дәйексөзден ойлап табылмаған. Бірегейлік бірдей құпия сөздің басқа еш жерде қолданылмауын білдіреді. Ұзын, бірақ қайта пайдаланылған құпия сөз бір байланыссыз бұзудан кейін тез істен шығуы мүмкін, ал бірегей кездейсоқ құпия сөз зиянды тек ол пайдаланылған жалғыз аккаунтпен шектейді.

Бұл тақырып үшін практикалық алдын ала орнату – біркелкі кездейсоқ құпия сөздер үшін ұзындықты кездейсоқ алфавит өлшемінің log2-ге көбейту. Сіз бұл алдын ала орнатуды құпия сөз күшін тексергіште қолданып, содан кейін соңғы мәнді сенімді пароль менеджерінде сақтай аласыз. PwdGen мәндерді браузерде Web Crypto көмегімен жергілікті түрде жасайды; жасалған құпия сөз PwdGen серверіне жіберілмейді. Бұл жергілікті дизайн сервер тарапының әсерін азайтады, бірақ ол әрбір қауіптен қорғамайды. Зиянды браузер кеңейтімі, бұзылған құрылғы, фишинг беті немесе қауіпсіз емес алмасу буфері генерациядан кейін құпияны әлі де аша алады.

Ең көп таралған мәселелер – қарапайым формуланы адам таңдаған құпия сөздерге қолдану, қайта пайдалануды елемеу және бағаларды кепілдік ретінде қарастыру. Бұл мәселелер маңызды, өйткені шабуылдаушылар адам әдеттері оларға қысқа жол бергенде, әрбір мүмкін құпия сөзді брутфорс жасауға сирек мәжбүр болады. Тіркелгі деректерін толтыру, фишинг, ағып кеткен құпия сөз тізімдері және аккаунтты қалпына келтіруді теріс пайдалану көбінесе таза математикалық іздеуден гөрі шынайы. Сондықтан ең жақсы кеңес құпия сөз сапасын MFA, кілттер, қалпына келтіру кодтарын сақтау және қалпына келтіру электрондық поштасын немесе телефон параметрлерін жүйелі түрде қарап шығу сияқты аккаунт деңгейіндегі бақылаулармен біріктіреді.

Ұсынысты қолданғанда осы тізімді пайдаланыңыз:

• Энтропияны тек кездейсоқ генерация үшін пайдаланыңыз.
• Адам енгізуі үшін zxcvbn стиліндегі тексерулерді пайдаланыңыз.
• Алфавит шектеулері қолданылғанда ұзындықты арттырыңыз.
• Сақтау хэштері шабуыл жылдамдығына әсер ететінін есте сақтаңыз.

Егер веб-сайт идеалды параметрді қабылдамаса, құпия сөзді қолмен әлсіз үлгіге мәжбүрлемеңіз. Бір айнымалыны бір уақытта реттеңіз. Егер таңбалар қабылданбаса, бас әріптерді, кіші әріптерді және сандарды қосып, ұзындықты арттырыңыз. Егер максималды ұзындық төмен болса, қабылданған ең үлкен ұзындықты пайдаланыңыз және мәннің бірегей екеніне көз жеткізіңіз. Егер құпия сөзді дауыстап оқу, басып шығару немесе теледидар немесе маршрутизатор экранында теру қажет болса, шатастыратын таңбаларды алып тастауды және кіші алфавитті өтеу үшін ұзындықты арттыруды қарастырыңыз.

Ақырында, құпия сөз кеңесінің шекарасын есте сақтаңыз. Күшті құпия сөз – бұл қорғаныстың бір қабаты, кепілдік емес. Ол фишинг бетін қауіпсіз ете алмайды, зиянды бағдарламаны түзете алмайды немесе тіркелгі деректерін нашар сақтайтын қызметтің орнын толтыра алмайды. Пайдалы әдет – қызықсыз, бірақ берік: бірегей мәнді жасаңыз, оны қауіпсіз сақтаңыз, қалпына келтіру жолын қорғаңыз және әсер етуге күдіктенсеңіз, оны тез ауыстырыңыз.

Қауіпсіз келесі қадам

Осы нұсқаулықты оқығаннан кейін, бәрін бірден түзетуге тырысудың орнына, бір шағын аккаунт аудитін жасаңыз. Егер ол басып алынса, ең көп қиындық тудыратын аккаунтты таңдаңыз, оның құпия сөзінің бірегей екенін растаңыз және қалпына келтіру электрондық поштасын, қалпына келтіру телефонын, MFA әдісін және сақтық көшірме кодтарын тексеріңіз. Егер тізбектің кез келген бөлігі әлсіз болса, төменгі қауіпті аккаунттарға көшпес бұрын сол бөлікті жақсартыңыз. Бұл реттілік жұмысты басқарылатын етеді және шабуылдаушылардың баспалдақ ретінде пайдалануы ықтимал аккаунттарды қорғайды. Құпия сөз энтропиясы түсіндірілгенде, ең жақсы нәтиже – қайталанатын әдет: жергілікті түрде жасау, мұқият сақтау және қайта пайдаланудан аулақ болу.

Жиі қойылатын сұрақтар

Қарапайым энтропия формуласы қандай?

Біркелкі кездейсоқ таңбалар үшін жалпы жоғарғы шекаралық формула – ұзындықты алфавит өлшемінің log2-ге көбейту.

Неліктен энтропия тек баға болып табылады?

Ол біркелкі кездейсоқ таңдауды болжайды және қайта пайдалануды, ағып кетулерді, адам өңдеулерін, бұзылған құрылғыларды немесе мақсатты сақтауды есепке алмайды.

Таңбалар әрқашан көбірек энтропия қоса ма?

Таңбалар кездейсоқ таңдалғанда алфавит өлшемін арттырады, бірақ ұзындықты қосу көбінесе үлкенірек және пайдалану оңайырақ пайда береді.