Güvenlik rehberi

Parola Entropisi Açıklaması

Parola entropisini, arama uzayını, alfabe boyutunu, uzunluğu ve teorik bitlerin neden yalnızca bir üst sınır tahmini olduğunu anlayın.

Özet

Parola entropisi, bir saldırganın keşfetmesi gereken arama uzayının boyutunu tanımlamanın bir yoludur. Düzgün rastgele bir parola için yararlı bir üst sınır formülü şöyledir:

bits = length × log2(alphabet size)

Varsayımları karşılaştırmak için parola kırma süresi hesaplayıcısını kullanın.

Alfabe boyutu

Alfabe boyutu, olası karakterlerin sayısıdır. Küçük harfler 26 seçenek sunar. Büyük harf artı küçük harf 52 verir. Rakamların eklenmesi 62 verir. Semboller havuzu daha da artırabilir, ancak yalnızca hizmet bunları kabul ediyorsa ve oluşturucu bunları rastgele seçiyorsa.

Uzunluk

Uzunluk, arama uzayını çarpar. Daha uzun bir rastgele parola, genellikle öngörülebilir sembollerle süslenmiş kısa bir paroladan daha büyük pratik bir iyileştirme sağlar.

Üst sınır uyarısı

Formül, her konumun alfabeden düzgün şekilde seçildiğini varsayar. İnsan ifadeleri, yeniden kullanılan parolalar, sözlük sözcükleri, tarihler, klavye yolları, sızdırılmış kimlik bilgileri veya düzenlenmiş çıktı için geçerli değildir. Ayrıca hizmet tarafı karma işlemini veya çevrimiçi hız sınırlarını modellemez.

Pratik öneriler

• Entropiyi bir garanti değil, bir karşılaştırma aracı olarak ele alın.
• Rastgele oluşturulmuş değerleri tercih edin.
• Kısıtlı alfabeler için daha fazla uzunluk kullanın.
• Her parolayı benzersiz tutun.
• Sonuçları güvenli bir şekilde saklayın.

Ayrıntılı rehberlik

Bu kılavuz, parola entropisini abartmadan yorumlamaya odaklanır. Uzunluk, alfabe boyutu ve parola ifadesi sözcük listelerini karşılaştıran okuyucular için yazılmıştır, bu nedenle pratik amaç dramatik bir güvenlik iddiası oluşturmak değildir. Amaç, günlük kullanımda hayatta kalabilecek bir parola alışkanlığı seçmektir: oturum açma formları, parola yöneticileri, mobil klavyeler, hesap kurtarma, paylaşılan cihazlar ve ara sıra garip doğrulama kuralları olan hizmetler. Güvenli bir öneri, yalnızca gerçek bir kişi onu tutarlı bir şekilde takip edebiliyorsa kullanışlıdır.

En güvenli başlangıç noktası, rastgelelik artı benzersizliktir. Rastgelelik, değerin bir doğum günü, evcil hayvan adı, klavye deseni veya favori bir alıntıdan icat edilmediği, kriptografik olarak uygun bir rastgele kaynak tarafından geniş bir uzaydan seçildiği anlamına gelir. Benzersizlik, aynı parolanın başka hiçbir yerde kullanılmadığı anlamına gelir. Uzun ancak yeniden kullanılan bir parola, ilgisiz bir ihlalden sonra hızla başarısız olabilirken, benzersiz bir rastgele parola hasarı yalnızca kullanıldığı tek hesapla sınırlar.

Bu konu için, düzgün rastgele parolalar için pratik bir ön ayar, uzunluğun rastgele alfabe boyutunun log2’si ile çarpılmasıdır. Bu ön ayarı parola gücü denetleyicisi ile uygulayabilir ve ardından nihai değeri güvenilir bir parola yöneticisinde saklayabilirsiniz. PwdGen, değerleri Web Crypto ile tarayıcıda yerel olarak oluşturur; oluşturulan parola bir PwdGen sunucusuna gönderilmez. Bu yerel tasarım, sunucu tarafı maruziyetini azaltır, ancak her tehdide karşı koruma sağlamaz. Kötü niyetli bir tarayıcı uzantısı, güvenliği ihlal edilmiş bir cihaz, bir kimlik avı sayfası veya güvenli olmayan pano işleme, bir sır oluşturulduktan sonra yine de ifşa edebilir.

Kaçınılması gereken en yaygın sorunlar, basit formülü insan tarafından seçilen parolalara uygulamak, yeniden kullanımı göz ardı etmek ve tahminleri garanti olarak ele almaktır. Bu sorunlar önemlidir çünkü saldırganlar, insan alışkanlıkları onlara bir kısayol verdiğinde olası her parolayı kaba kuvvetle denemeye nadiren ihtiyaç duyar. Kimlik bilgisi doldurma, kimlik avı, sızdırılmış parola listeleri ve hesap kurtarma kötüye kullanımı, genellikle saf matematiksel bir aramadan daha gerçekçidir. Bu nedenle en iyi tavsiye, parola kalitesini MFA, geçiş anahtarları, kurtarma kodu depolama ve kurtarma e-postası veya telefon ayarlarının düzenli olarak gözden geçirilmesi gibi hesap düzeyindeki kontrollerle birleştirir.

Öneriyi uygularken bu kontrol listesini kullanın:

• Entropiyi yalnızca rastgele oluşturma için kullanın.
• İnsan girişi için zxcvbn tarzı kontroller kullanın.
• Alfabe kısıtlamaları geçerliyse uzunluğu artırın.
• Depolama karmalarının saldırı hızını etkilediğini unutmayın.

Bir web sitesi ideal ayarı reddederse, parolayı elle daha zayıf bir kalıba zorlamayın. Her seferinde bir değişkeni ayarlayın. Semboller reddedilirse, büyük harf, küçük harf ve rakamları etkin tutun ve uzunluğu artırın. Maksimum uzunluk düşükse, kabul edilen en büyük uzunluğu kullanın ve değerin benzersiz olduğundan emin olun. Bir parola yüksek sesle okunacak, yazdırılacak veya bir televizyon veya yönlendirici ekranında yazılacaksa, kafa karıştırıcı karakterleri hariç tutmayı ve daha küçük alfabeyi telafi etmek için uzunluğu artırmayı düşünün.

Son olarak, parola tavsiyesinin sınırını hatırlayın. Güçlü bir parola bir savunma katmanıdır, bir garanti değildir. Bir kimlik avı sayfasını güvenli hale getiremez, kötü amaçlı yazılımı düzeltemez veya kimlik bilgilerini kötü depolayan bir hizmeti telafi edemez. Yararlı alışkanlık sıkıcı ama dayanıklıdır: benzersiz bir değer oluşturun, güvenli bir şekilde saklayın, kurtarma yolunu koruyun ve maruz kalmadan şüpheleniyorsanız hızla değiştirin.

Güvenli bir sonraki adım

Bu kılavuzu okuduktan sonra, her şeyi bir kerede düzeltmeye çalışmak yerine küçük bir hesap denetimi yapın. Ele geçirilmesi durumunda en çok soruna neden olacak hesabı seçin, parolasının benzersiz olduğunu onaylayın ve kurtarma e-postasını, kurtarma telefonunu, MFA yöntemini ve yedek kod depolamasını kontrol edin. Zincirin herhangi bir parçası zayıfsa, düşük riskli hesaplara geçmeden önce bu parçayı iyileştirin. Bu sıralama, işi yönetilebilir tutar ve saldırganların bir basamak olarak kullanma olasılığı en yüksek olan hesapları korur. Parola entropisinin açıklanması için en iyi sonuç, tekrarlanabilir bir alışkanlıktır: yerel olarak oluşturun, dikkatlice saklayın ve yeniden kullanımdan kaçının.

Sıkça sorulan sorular

Basit entropi formülü nedir?

Düzgün rastgele karakterler için yaygın bir üst sınır formülü, uzunluğun alfabe boyutunun log2’si ile çarpılmasıdır.

Entropi neden yalnızca bir tahmindir?

Düzgün rastgele seçim varsayar ve yeniden kullanımı, sızıntıları, insan düzenlemelerini, güvenliği ihlal edilmiş cihazları veya hedef depolamayı hesaba katmaz.

Semboller her zaman daha fazla entropi ekler mi?

Semboller rastgele seçildiğinde alfabe boyutunu artırır, ancak uzunluk eklemek genellikle daha büyük ve kullanımı daha kolay bir fayda sağlar.