Panduan keselamatan

Entropi Kata Laluan Diterangkan

Fahami entropi kata laluan, ruang carian, saiz abjad, panjang, dan mengapa bit teori hanyalah anggaran atas.

Ringkasan

Entropi kata laluan adalah cara untuk menggambarkan saiz ruang carian yang perlu diterokai oleh penyerang. Untuk kata laluan rawak seragam, formula anggaran atas yang berguna ialah:

bits = length × log2(alphabet size)

Gunakan kalkulator masa retak kata laluan untuk membandingkan andaian.

Saiz abjad

Saiz abjad ialah bilangan aksara yang mungkin. Huruf kecil memberikan 26 pilihan. Huruf besar dan kecil memberikan 52. Menambah digit memberikan 62. Simbol boleh meningkatkan lagi kumpulan, tetapi hanya jika perkhidmatan menerimanya dan penjana memilihnya secara rawak.

Panjang

Panjang mendarabkan ruang carian. Kata laluan rawak yang lebih panjang biasanya memberikan peningkatan praktikal yang lebih besar daripada kata laluan pendek yang dihiasi dengan simbol yang boleh diramal.

Amaran anggaran atas

Formula menganggap setiap kedudukan dipilih secara seragam daripada abjad. Ia tidak terpakai kepada frasa manusia, kata laluan yang digunakan semula, perkataan kamus, tarikh, laluan papan kekunci, bukti kelayakan yang bocor, atau output yang diedit. Ia juga tidak memodelkan hashing di sisi perkhidmatan atau had kadar dalam talian.

Cadangan praktikal

• Anggap entropi sebagai alat perbandingan, bukan jaminan.
• Utamakan nilai yang dijana secara rawak.
• Gunakan lebih panjang untuk abjad yang terhad.
• Pastikan setiap kata laluan unik.
• Simpan hasil dengan selamat.

Panduan terperinci

Panduan ini memberi tumpuan kepada mentafsir entropi kata laluan tanpa keterlaluan. Ia ditulis untuk pembaca yang membandingkan panjang, saiz abjad, dan senarai perkataan frasa laluan, jadi matlamat praktikal bukanlah untuk membuat tuntutan keselamatan yang dramatik. Matlamatnya adalah untuk memilih tabiat kata laluan yang dapat bertahan dalam penggunaan harian: borang log masuk, pengurus kata laluan, papan kekunci mudah alih, pemulihan akaun, peranti kongsi, dan perkhidmatan sekali-sekala dengan peraturan pengesahan yang pelik. Cadangan yang selamat hanya berguna jika orang sebenar boleh mengikutinya secara konsisten.

Titik permulaan paling selamat ialah rawak ditambah keunikan. Rawak bermaksud nilai dipilih daripada ruang yang besar oleh sumber rawak yang sesuai secara kriptografi, bukan dicipta daripada hari lahir, nama haiwan peliharaan, corak papan kekunci, atau petikan kegemaran. Keunikan bermaksud kata laluan yang sama tidak digunakan di tempat lain. Kata laluan yang panjang tetapi digunakan semula boleh gagal dengan cepat selepas satu pelanggaran yang tidak berkaitan, manakala kata laluan rawak yang unik mengehadkan kerosakan kepada akaun tunggal di mana ia digunakan.

Untuk topik ini, pratetap praktikal ialah panjang didarab dengan log2 saiz abjad rawak untuk kata laluan rawak seragam. Anda boleh menggunakan pratetap itu dengan pemeriksa kekuatan kata laluan dan kemudian simpan nilai akhir dalam pengurus kata laluan yang dipercayai. PwdGen menjana nilai secara setempat dalam pelayar dengan Web Crypto; kata laluan yang dijana tidak dihantar ke pelayan PwdGen. Reka bentuk setempat itu mengurangkan pendedahan di sisi pelayan, tetapi ia tidak melindungi daripada setiap ancaman. Sambungan pelayar berniat jahat, peranti yang terjejas, halaman pancingan data, atau pengendalian papan klip yang tidak selamat masih boleh mendedahkan rahsia selepas ia dijana.

Masalah paling biasa yang perlu dielakkan ialah menggunakan formula mudah kepada kata laluan yang dipilih manusia, mengabaikan penggunaan semula, dan menganggap anggaran sebagai jaminan. Masalah ini penting kerana penyerang jarang perlu memaksa semua kemungkinan kata laluan apabila tabiat manusia memberi mereka jalan pintas. Serangan isian bukti kelayakan, pancingan data, senarai kata laluan bocor, dan penyalahgunaan pemulihan akaun selalunya lebih realistik daripada carian matematik tulen. Itulah sebabnya nasihat terbaik menggabungkan kualiti kata laluan dengan kawalan peringkat akaun seperti MFA, kunci laluan, storan kod pemulihan, dan semakan tetap e-mel pemulihan atau tetapan telefon.

Gunakan senarai semak ini semasa menggunakan cadangan:

• Gunakan entropi hanya untuk penjanaan rawak.
• Gunakan semakan gaya zxcvbn untuk input manusia.
• Tambah panjang apabila sekatan abjad dikenakan.
• Ingat bahawa hash storan mempengaruhi kelajuan serangan.

Jika laman web menolak tetapan ideal, jangan paksa kata laluan ke dalam corak yang lebih lemah secara manual. Laraskan satu pembolehubah pada satu masa. Jika simbol ditolak, pastikan huruf besar, huruf kecil, dan nombor diaktifkan dan tambah panjang. Jika panjang maksimum rendah, gunakan panjang terbesar yang diterima dan pastikan nilai itu unik. Jika kata laluan perlu dibaca dengan kuat, dicetak, atau ditaip pada skrin televisyen atau penghala, pertimbangkan untuk mengecualikan aksara yang mengelirukan dan menambah panjang untuk mengimbangi abjad yang lebih kecil.

Akhir sekali, ingat sempadan nasihat kata laluan. Kata laluan yang kuat adalah satu lapisan pertahanan, bukan jaminan. Ia tidak dapat menjadikan halaman pancingan data selamat, membetulkan perisian hasad, atau mengimbangi perkhidmatan yang menyimpan bukti kelayakan dengan buruk. Tabiat yang berguna adalah membosankan tetapi tahan lama: jana nilai unik, simpan dengan selamat, lindungi laluan pemulihan, dan gantikannya dengan cepat jika anda mengesyaki pendedahan.

Langkah seterusnya yang selamat

Selepas membaca panduan ini, lakukan satu audit akaun kecil dan bukannya cuba membetulkan semuanya sekaligus. Pilih akaun yang akan menyebabkan paling banyak masalah jika diambil alih, sahkan bahawa kata laluannya unik, dan periksa e-mel pemulihan, telefon pemulihan, kaedah MFA, dan storan kod sandaran. Jika mana-mana bahagian rantai itu lemah, perbaiki bahagian itu sebelum beralih ke akaun berisiko rendah. Urutan ini memastikan kerja dapat diurus dan melindungi akaun yang paling mungkin digunakan oleh penyerang sebagai batu loncatan. Untuk entropi kata laluan yang diterangkan, hasil terbaik adalah tabiat yang boleh diulang: jana secara setempat, simpan dengan teliti, dan elakkan penggunaan semula.

Soalan lazim

Apakah formula entropi mudah?

Untuk aksara rawak seragam, formula anggaran atas biasa ialah panjang didarab dengan log2 saiz abjad.

Mengapa entropi hanya anggaran?

Ia menganggap pemilihan rawak seragam dan tidak mengambil kira penggunaan semula, kebocoran, suntingan manusia, peranti terjejas, atau storan destinasi.

Adakah simbol sentiasa menambah lebih entropi?

Simbol meningkatkan saiz abjad apabila dipilih secara rawak, tetapi menambah panjang selalunya memberikan manfaat yang lebih besar dan lebih mudah digunakan.