Ghid de securitate

Explicația entropiei parolelor

Înțelegeți entropia parolelor, spațiul de căutare, dimensiunea alfabetului, lungimea și de ce biții teoretici sunt doar o estimare superioară.

Rezumat

Entropia parolelor este o modalitate de a descrie dimensiunea spațiului de căutare pe care un atacator ar trebui să îl exploreze. Pentru o parolă uniform aleatoare, o formulă utilă de limită superioară este:

bits = length × log2(alphabet size)

Utilizați calculatorul de timp de spargere a parolelor pentru a compara ipotezele.

Dimensiunea alfabetului

Dimensiunea alfabetului este numărul de caractere posibile. Literele mici oferă 26 de opțiuni. Literele mari plus cele mici oferă 52. Adăugarea cifrelor oferă 62. Simbolurile pot mări și mai mult setul, dar numai dacă serviciul le acceptă și generatorul le selectează aleator.

Lungimea

Lungimea multiplică spațiul de căutare. O parolă mai lungă, generată aleator, oferă de obicei o îmbunătățire practică mai mare decât o parolă scurtă decorată cu simboluri previzibile.

Avertisment privind limita superioară

Formula presupune că fiecare poziție este selectată uniform din alfabet. Nu se aplică frazelor umane, parolelor reutilizate, cuvintelor din dicționar, datelor, traseelor de tastatură, credentialelor scurse sau rezultatelor editate. De asemenea, nu modelează hashingul din partea serviciului sau limitele de rată online.

Recomandări practice

• Tratați entropia ca pe un instrument de comparație, nu ca pe o garanție.
• Preferați valorile generate aleator.
• Folosiți mai multă lungime pentru alfabete restrânse.
• Păstrați fiecare parolă unică.
• Stocați rezultatele în siguranță.

Ghid detaliat

Acest ghid se concentrează pe interpretarea entropiei parolelor fără exagerare. Este scris pentru cititorii care compară lungimea, dimensiunea alfabetului și listele de cuvinte pentru fraze, astfel încât scopul practic nu este de a crea o afirmație dramatică de securitate. Scopul este de a alege un obicei de parolă care poate supraviețui utilizării de zi cu zi: formulare de autentificare, manageri de parole, tastaturi mobile, recuperare cont, dispozitive partajate și ocazionalul serviciu cu reguli de validare ciudate. O recomandare sigură este utilă doar dacă o persoană reală o poate urma în mod constant.

Cel mai sigur punct de plecare este aleatoritatea plus unicitatea. Aleatoritatea înseamnă că valoarea este selectată dintr-un spațiu mare de către o sursă aleatoare adecvată criptografic, nu inventată dintr-o zi de naștere, un nume de animal de companie, un model de tastatură sau un citat preferat. Unicitatea înseamnă că aceeași parolă nu este folosită nicăieri altundeva. O parolă lungă dar reutilizată poate eșua rapid după o încălcare a securității fără legătură, în timp ce o parolă unică aleatoare limitează daunele la singurul cont în care a fost folosită.

Pentru acest subiect, o presetare practică este lungimea înmulțită cu log2 din dimensiunea alfabetului aleator pentru parole uniform aleatoare. Puteți aplica această presetare cu verificatorul de putere a parolelor și apoi stocați valoarea finală într-un manager de parole de încredere. PwdGen generează valori local în browser cu Web Crypto; parola generată nu este trimisă către un server PwdGen. Acest design local reduce expunerea pe partea serverului, dar nu protejează împotriva oricărei amenințări. O extensie de browser malițioasă, un dispozitiv compromis, o pagină de phishing sau un clipboard nesigur pot expune în continuare un secret după ce acesta este generat.

Cele mai comune probleme de evitat sunt aplicarea formulei simple la parole alese de om, ignorarea reutilizării și tratarea estimărilor ca garanții. Aceste probleme contează deoarece atacatorii rareori trebuie să forțeze brut fiecare parolă posibilă atunci când obiceiurile umane le oferă o scurtătură. Credential stuffing, phishingul, listele de parole scurse și abuzul de recuperare a contului sunt adesea mai realiste decât o căutare matematică pură. De aceea, cel mai bun sfat combină calitatea parolei cu controale la nivel de cont, cum ar fi MFA, chei de acces, stocarea codurilor de recuperare și revizuirea regulată a setărilor de e-mail sau telefon de recuperare.

Utilizați această listă de verificare atunci când aplicați recomandarea:

• Folosiți entropia doar pentru generarea aleatoare.
• Folosiți verificări de tip zxcvbn pentru intrarea umană.
• Măriți lungimea atunci când se aplică restricții de alfabet.
• Amintiți-vă că hashurile de stocare afectează viteza de atac.

Dacă un site web respinge setarea ideală, nu forțați parola într-un model mai slab manual. Ajustați o variabilă odată. Dacă simbolurile sunt respinse, păstrați literele mari, mici și cifrele activate și măriți lungimea. Dacă lungimea maximă este mică, utilizați cea mai mare lungime acceptată și asigurați-vă că valoarea este unică. Dacă o parolă trebuie citită cu voce tare, tipărită sau tastată pe un ecran de televizor sau router, luați în considerare excluderea caracterelor confuze și mărirea lungimii pentru a compensa alfabetul mai mic.

În cele din urmă, amintiți-vă limita sfaturilor privind parolele. O parolă puternică este un strat de apărare, nu o garanție. Nu poate face o pagină de phishing sigură, nu poate repara malware-ul și nu poate compensa un serviciu care stochează credentialele prost. Obiceiul util este plictisitor dar durabil: generați o valoare unică, stocați-o în siguranță, protejați calea de recuperare și înlocuiți-o rapid dacă suspectați expunerea.

Un pas sigur următor

După ce citiți acest ghid, faceți un mic audit de cont în loc să încercați să reparați totul deodată. Alegeți contul care ar cauza cele mai multe probleme dacă ar fi preluat, confirmați că parola sa este unică și verificați e-mailul de recuperare, telefonul de recuperare, metoda MFA și stocarea codurilor de rezervă. Dacă orice parte a acestui lanț este slabă, îmbunătățiți acea parte înainte de a trece la conturi cu risc mai scăzut. Această ordine menține munca gestionabilă și protejează conturile pe care atacatorii sunt cel mai probabil să le folosească ca punct de sprijin. Pentru entropia parolelor explicată, cel mai bun rezultat este un obicei repetabil: generați local, stocați cu atenție și evitați reutilizarea.

Întrebări frecvente

Care este formula simplă a entropiei?

Pentru caractere uniform aleatoare, o formulă comună de limită superioară este lungimea înmulțită cu log2 din dimensiunea alfabetului.

De ce este entropia doar o estimare?

Presupune selecție aleatoare uniformă și nu ține cont de reutilizare, scurgeri, editări umane, dispozitive compromise sau stocarea destinației.

Simbolurile adaugă întotdeauna mai multă entropie?

Simbolurile măresc dimensiunea alfabetului atunci când sunt selectate aleator, dar adăugarea de lungime oferă adesea un beneficiu mai mare și mai ușor de utilizat.