Công cụ mật khẩu Quay lại trình tạo

Hướng dẫn bảo mật

Giải thích về Entropy Mật khẩu

Hiểu về entropy mật khẩu, không gian tìm kiếm, kích thước bảng chữ cái, độ dài và tại sao bit lý thuyết chỉ là ước tính giới hạn trên.

Tóm tắt

Entropy mật khẩu là cách mô tả kích thước không gian tìm kiếm mà kẻ tấn công cần khám phá. Đối với mật khẩu ngẫu nhiên đồng đều, một công thức giới hạn trên hữu ích là:

bits = length × log2(alphabet size)

Sử dụng máy tính thời gian bẻ khóa mật khẩu để so sánh các giả định.

Kích thước bảng chữ cái

Kích thước bảng chữ cái là số lượng ký tự có thể. Chữ cái thường cho 26 lựa chọn. Chữ hoa cộng chữ thường cho 52. Thêm chữ số cho 62. Ký tự đặc biệt có thể tăng thêm, nhưng chỉ khi dịch vụ chấp nhận chúng và trình tạo chọn chúng ngẫu nhiên.

Độ dài

Độ dài nhân lên không gian tìm kiếm. Một mật khẩu ngẫu nhiên dài hơn thường mang lại cải thiện thực tế lớn hơn so với mật khẩu ngắn được trang trí bằng ký tự đặc biệt dễ đoán.

Cảnh báo giới hạn trên

Công thức giả định mỗi vị trí được chọn đồng đều từ bảng chữ cái. Nó không áp dụng cho cụm từ do con người tạo, mật khẩu tái sử dụng, từ điển, ngày tháng, đường đi bàn phím, thông tin đăng nhập bị rò rỉ hoặc đầu ra đã chỉnh sửa. Nó cũng không mô hình hóa quá trình băm phía dịch vụ hoặc giới hạn tốc độ trực tuyến.

Khuyến nghị thực tế

Hướng dẫn chi tiết

Hướng dẫn này tập trung vào việc giải thích entropy mật khẩu mà không phóng đại. Nó được viết cho độc giả so sánh độ dài, kích thước bảng chữ cái và danh sách từ cụm mật khẩu, vì vậy mục tiêu thực tế không phải là tạo ra một tuyên bố bảo mật ấn tượng. Mục tiêu là chọn một thói quen mật khẩu có thể tồn tại trong sử dụng hàng ngày: biểu mẫu đăng nhập, trình quản lý mật khẩu, bàn phím di động, khôi phục tài khoản, thiết bị dùng chung và đôi khi là dịch vụ có quy tắc xác thực kỳ lạ. Một khuyến nghị an toàn chỉ hữu ích nếu một người thực sự có thể tuân theo nó một cách nhất quán.

Điểm khởi đầu an toàn nhất là tính ngẫu nhiên cộng với tính duy nhất. Ngẫu nhiên có nghĩa là giá trị được chọn từ một không gian lớn bởi nguồn ngẫu nhiên phù hợp về mặt mật mã, không phải được phát minh từ ngày sinh, tên thú cưng, mẫu bàn phím hoặc câu trích dẫn yêu thích. Duy nhất có nghĩa là cùng một mật khẩu không được sử dụng ở bất kỳ nơi nào khác. Một mật khẩu dài nhưng bị tái sử dụng có thể thất bại nhanh chóng sau một vụ vi phạm không liên quan, trong khi mật khẩu ngẫu nhiên duy nhất giới hạn thiệt hại cho tài khoản duy nhất nơi nó được sử dụng.

Đối với chủ đề này, một thiết lập thực tế là độ dài nhân với log2 của kích thước bảng chữ cái ngẫu nhiên cho mật khẩu ngẫu nhiên đồng đều. Bạn có thể áp dụng thiết lập đó với trình kiểm tra độ mạnh mật khẩu và sau đó lưu trữ giá trị cuối cùng trong trình quản lý mật khẩu đáng tin cậy. PwdGen tạo giá trị cục bộ trong trình duyệt với Web Crypto; mật khẩu được tạo không được gửi đến máy chủ PwdGen. Thiết kế cục bộ đó giảm thiểu rủi ro phía máy chủ, nhưng nó không bảo vệ khỏi mọi mối đe dọa. Một tiện ích mở rộng trình duyệt độc hại, thiết bị bị xâm phạm, trang lừa đảo hoặc xử lý clipboard không an toàn vẫn có thể làm lộ bí mật sau khi nó được tạo.

Các vấn đề phổ biến nhất cần tránh là áp dụng công thức đơn giản cho mật khẩu do con người chọn, bỏ qua việc tái sử dụng và coi ước tính như sự đảm bảo. Những vấn đề này quan trọng vì kẻ tấn công hiếm khi cần brute-force mọi mật khẩu có thể khi thói quen con người cho chúng một lối tắt. Nhồi thông tin đăng nhập, lừa đảo, danh sách mật khẩu bị rò rỉ và lạm dụng khôi phục tài khoản thường thực tế hơn so với tìm kiếm toán học thuần túy. Đó là lý do tại sao lời khuyên tốt nhất kết hợp chất lượng mật khẩu với các biện pháp kiểm soát cấp tài khoản như MFA, passkey, lưu trữ mã khôi phục và xem xét định kỳ cài đặt email hoặc điện thoại khôi phục.

Sử dụng danh sách kiểm tra này khi áp dụng khuyến nghị:

Nếu một trang web từ chối thiết lập lý tưởng, đừng ép mật khẩu vào một mẫu yếu hơn bằng tay. Điều chỉnh một biến tại một thời điểm. Nếu ký tự đặc biệt bị từ chối, hãy bật chữ hoa, chữ thường và số và tăng độ dài. Nếu độ dài tối đa thấp, hãy sử dụng độ dài tối đa được chấp nhận và đảm bảo giá trị là duy nhất. Nếu mật khẩu phải được đọc to, in ra hoặc gõ trên màn hình TV hoặc bộ định tuyến, hãy cân nhắc loại trừ các ký tự dễ nhầm lẫn và tăng độ dài để bù đắp cho bảng chữ cái nhỏ hơn.

Cuối cùng, hãy nhớ ranh giới của lời khuyên về mật khẩu. Một mật khẩu mạnh là một lớp bảo vệ, không phải sự đảm bảo. Nó không thể làm cho trang lừa đảo an toàn, sửa phần mềm độc hại hoặc bù đắp cho dịch vụ lưu trữ thông tin đăng nhập kém. Thói quen hữu ích là nhàm chán nhưng bền bỉ: tạo một giá trị duy nhất, lưu trữ an toàn, bảo vệ đường dẫn khôi phục và thay thế nhanh chóng nếu bạn nghi ngờ bị lộ.

Một bước tiếp theo an toàn

Sau khi đọc hướng dẫn này, hãy thực hiện một cuộc kiểm tra tài khoản nhỏ thay vì cố gắng sửa mọi thứ cùng một lúc. Chọn tài khoản sẽ gây rắc rối nhất nếu bị chiếm đoạt, xác nhận mật khẩu của nó là duy nhất và kiểm tra email khôi phục, điện thoại khôi phục, phương thức MFA và lưu trữ mã dự phòng. Nếu bất kỳ phần nào của chuỗi đó yếu, hãy cải thiện phần đó trước khi chuyển sang các tài khoản rủi ro thấp hơn. Thứ tự này giữ cho công việc có thể quản lý được và bảo vệ các tài khoản mà kẻ tấn công có nhiều khả năng sử dụng làm bước đệm. Đối với entropy mật khẩu được giải thích, kết quả tốt nhất là một thói quen có thể lặp lại: tạo cục bộ, lưu trữ cẩn thận và tránh tái sử dụng.

Các câu hỏi thường gặp

Công thức entropy đơn giản là gì?

Đối với các ký tự ngẫu nhiên đồng đều, một công thức giới hạn trên phổ biến là độ dài nhân với log2 của kích thước bảng chữ cái.

Tại sao entropy chỉ là ước tính?

Nó giả định lựa chọn ngẫu nhiên đồng đều và không tính đến việc tái sử dụng, rò rỉ, chỉnh sửa của con người, thiết bị bị xâm phạm hoặc lưu trữ đích.

Ký tự đặc biệt có luôn thêm entropy không?

Ký tự đặc biệt tăng kích thước bảng chữ cái khi được chọn ngẫu nhiên, nhưng thêm độ dài thường mang lại lợi ích lớn hơn và dễ sử dụng hơn.

Nguồn