Посібник з безпеки

Пояснення ентропії пароля

Зрозумійте ентропію пароля, простір пошуку, розмір алфавіту, довжину та чому теоретичні біти є лише верхньою межею оцінки.

Підсумок

Ентропія пароля — це спосіб описати розмір простору пошуку, який атакуючий повинен дослідити. Для рівномірно випадкового пароля корисною формулою верхньої межі є:

bits = length × log2(alphabet size)

Використовуйте калькулятор часу зламу пароля для порівняння припущень.

Розмір алфавіту

Розмір алфавіту — це кількість можливих символів. Малі літери дають 26 варіантів. Великі та малі літери разом — 52. Додавання цифр дає 62. Символи можуть збільшити пул далі, але лише якщо сервіс їх приймає, а генератор вибирає їх випадково.

Довжина

Довжина множить простір пошуку. Довший випадковий пароль зазвичай забезпечує більше практичне покращення, ніж короткий пароль, прикрашений передбачуваними символами.

Попередження про верхню межу

Формула передбачає, що кожна позиція вибирається рівномірно з алфавіту. Вона не застосовується до людських фраз, повторно використаних паролів, словникових слів, дат, клавіатурних шляхів, витікших облікових даних або відредагованого виводу. Вона також не моделює хешування на стороні сервісу або обмеження швидкості онлайн.

Практичні рекомендації

• Ставтеся до ентропії як до інструменту порівняння, а не гарантії.
• Віддавайте перевагу випадково згенерованим значенням.
• Використовуйте більшу довжину для обмежених алфавітів.
• Тримайте кожен пароль унікальним.
• Зберігайте результати безпечно.

Детальні вказівки

Цей посібник зосереджується на інтерпретації ентропії пароля без перебільшень. Він написаний для читачів, які порівнюють довжину, розмір алфавіту та списки слів для парольних фраз, тому практична мета — не створити драматичне твердження про безпеку. Мета — вибрати звичку використання пароля, яка витримає щоденне використання: форми входу, менеджери паролів, мобільні клавіатури, відновлення облікового запису, спільні пристрої та іноді сервіси з дивними правилами валідації. Безпечна рекомендація корисна лише тоді, коли реальна людина може її послідовно дотримуватися.

Найбезпечніша відправна точка — випадковість плюс унікальність. Випадковість означає, що значення вибирається з великого простору криптографічно придатним випадковим джерелом, а не вигадується з дня народження, імені домашнього улюбленця, клавіатурного шаблону або улюбленої цитати. Унікальність означає, що той самий пароль не використовується більше ніде. Пароль, який є довгим, але повторно використовується, може швидко вийти з ладу після одного не пов’язаного витоку, тоді як унікальний випадковий пароль обмежує шкоду одним обліковим записом, де він використовувався.

Для цієї теми практичним попереднім налаштуванням є довжина, помножена на log2 розміру випадкового алфавіту для рівномірно випадкових паролів. Ви можете застосувати це попереднє налаштування за допомогою перевірки надійності пароля, а потім зберегти кінцеве значення в довіреному менеджері паролів. PwdGen генерує значення локально в браузері за допомогою Web Crypto; згенерований пароль не надсилається на сервер PwdGen. Такий локальний дизайн зменшує вплив на стороні сервера, але не захищає від усіх загроз. Зловмисне розширення браузера, скомпрометований пристрій, фішингова сторінка або небезпечна обробка буфера обміну все ще можуть викрити секрет після його генерації.

Найпоширеніші проблеми, яких слід уникати, — це застосування простої формули до паролів, вибраних людиною, ігнорування повторного використання та трактування оцінок як гарантій. Ці проблеми важливі, оскільки атакуючі рідко потребують повного перебору всіх можливих паролів, коли людські звички дають їм короткий шлях. Зловживання обліковими даними, фішинг, списки витікших паролів та зловживання відновленням облікового запису часто є більш реалістичними, ніж чистий математичний пошук. Ось чому найкраща порада поєднує якість пароля з контролем на рівні облікового запису, таким як MFA, ключі доступу, зберігання кодів відновлення та регулярний перегляд налаштувань електронної пошти або телефону для відновлення.

Використовуйте цей контрольний список при застосуванні рекомендації:

• Використовуйте ентропію лише для випадкової генерації.
• Використовуйте перевірки типу zxcvbn для введення людиною.
• Збільшуйте довжину, коли застосовуються обмеження алфавіту.
• Пам’ятайте, що хеші зберігання впливають на швидкість атаки.

Якщо веб-сайт відхиляє ідеальне налаштування, не примушуйте пароль до слабкішого шаблону вручну. Регулюйте одну змінну за раз. Якщо символи відхилено, залиште великі літери, малі літери та цифри увімкненими та збільште довжину. Якщо максимальна довжина мала, використовуйте найбільшу прийнятну довжину та переконайтеся, що значення унікальне. Якщо пароль потрібно читати вголос, друкувати або вводити на екрані телевізора чи маршрутизатора, розгляньте можливість виключення заплутаних символів і збільшення довжини для компенсації меншого алфавіту.

Нарешті, пам’ятайте про межі порад щодо паролів. Сильний пароль — це один рівень захисту, а не гарантія. Він не може зробити фішингову сторінку безпечною, виправити шкідливе програмне забезпечення або компенсувати сервіс, який погано зберігає облікові дані. Корисна звичка нудна, але довговічна: генеруйте унікальне значення, зберігайте його безпечно, захищайте шлях відновлення та замінюйте його швидко, якщо підозрюєте витік.

Безпечний наступний крок

Після прочитання цього посібника виконайте один невеликий аудит облікового запису замість спроби виправити все одразу. Виберіть обліковий запис, який спричинив би найбільше проблем, якби його захопили, підтвердьте, що його пароль унікальний, і перевірте електронну пошту для відновлення, телефон для відновлення, метод MFA та зберігання резервних кодів. Якщо будь-яка частина цього ланцюжка слабка, покращіть цю частину, перш ніж переходити до облікових записів з нижчим ризиком. Такий порядок робить роботу керованою та захищає облікові записи, які атакуючі найімовірніше використовують як трамплін. Для пояснення ентропії пароля найкращий результат — це повторювана звичка: генеруйте локально, зберігайте обережно та уникайте повторного використання.

Часті запитання

Яка проста формула ентропії?

Для рівномірно випадкових символів поширеною формулою верхньої межі є довжина, помножена на log2 розміру алфавіту.

Чому ентропія є лише оцінкою?

Вона передбачає рівномірний випадковий вибір і не враховує повторне використання, витоки, редагування людиною, скомпрометовані пристрої або зберігання на стороні отримувача.

Чи завжди символи додають більше ентропії?

Символи збільшують розмір алфавіту при випадковому виборі, але додавання довжини часто дає більшу та легшу у використанні перевагу.