Domanda:
L'NHS ha torto sulle password?
Robin Winslow
2016-10-07 01:31:03 UTC
view on stackexchange narkive permalink

Un medico del NHS che conosco di recente ha dovuto compilare il questionario di formazione obbligatoria online, che pone una serie di domande sulla pratica clinica, la sicurezza e la protezione. Lo stesso questionario sarà stato inviato a tutti i medici di questa fiducia del NHS.

Il questionario includeva la seguente domanda:

Quale delle seguenti renderebbe la password più sicura ? Selezionane uno:

a. 6 lettere comprese minuscole e maiuscole.
b. 10 lettere un misto di maiuscole e minuscole.
c. 7 caratteri che includono una combinazione di numeri, lettere e caratteri speciali.
d. 10 lettere tutte maiuscole.
e. 5 lettere tutte in minuscolo.

Hanno risposto "b" e hanno perso un segno, poiché la "risposta corretta" era apparentemente "c".

Da quanto mi risulta, di regola, estendere la lunghezza della password aggiunge più entropia che espandere l'alfabeto. Suppongo che l'NHS potrebbe sostenere che le persone normalmente formano password lunghe con parole molto prevedibili, rendendole facili da indovinare. Ma se costringi le persone a introdurre "caratteri speciali", tendono anche a usarli in modi molto prevedibili con cui gli algoritmi di indovinazione delle password non hanno problemi.

Anche se divulgazione completa, non sono un esperto di password - io per lo più ho avuto questa impressione da Randall Munroe (clicca per la discussione):

password strength

Mi sbaglio?

Mi piace che testino le persone sui concetti di password, ma questo è un orribile insieme di possibili risposte.
In definitiva è una domanda formulata molto male senza una risposta chiara.Hai ragione sul fatto che generalmente la lunghezza è più importante del set di caratteri quando si tratta di impedire a un bruto di violare una password, ma senza definire quali caratteri sono inclusi in "caratteri speciali" è impossibile dire quale sia il migliore.Anche l'opzione c non specifica lettere maiuscole e minuscole, quindi è del tutto possibile che si tratti di un set di caratteri più piccolo e di una password più breve.26 lettere minuscole +10 numeri + mezza dozzina di caratteri speciali comuni sono meno caratteri rispetto alle sole lettere maiuscole e minuscole
Ti sei allenato o questo quiz è stato di punto in bianco?La risposta giusta sarà quella fornita dalla formazione, non la risposta "vera".Questo è uno stato di cose triste, ma mi aspetto che non si limiti a infosec e che tu abbia problemi simili con cose mediche.Props per essere un medico NHS;Io sono inglese e tu fai un lavoro straordinario.
Considerando quante / banche / si sbagliano sulla sicurezza delle password non posso dire di essere sorpreso ...
Sospetto che gli autori lo guardino dal punto di vista pratico piuttosto che teorico.Il fatto è che la maggior parte dei tentativi di cracking inizia con ricerche basate sul dizionario, possibilmente con alcune sostituzioni banali.Quindi, mentre più lettere possono essere meno indovinabili rispetto a un minor numero di caratteri inclusa la punteggiatura, è abbastanza probabile che i cracker provino tutte le lettere prima di ampliare molto il set di caratteri.Quindi il tempo di pausa _pratico_ può essere molto diverso da quello teorico.
Questa è una di quelle domande su Internet che mi fa innervosire e voler iniziare una campagna di scrittura di lettere arrabbiate a qualcuno.
@Michael abbiamo bisogno di un "ho scoperto su Internet che qualcuno si sbaglia nella vita reale" xkcd per queste occasioni.
Anche la risposta "c" è pessima perché menziona una password di 7 caratteri, che è * decisamente * troppo breve per tutti gli standard.
@keshlam Questa è un po 'la mia domanda.In realtà sono più interessato alle implicazioni pratiche rispetto al numero totale assoluto di possibilità casuali.Il problema con quella logica sui caratteri speciali è che chiunque * provi * a entrare da qualche parte con il requisito dei caratteri speciali saprà del requisito.Immagino che le persone tendano a usare caratteri speciali in modi molto prevedibili, e quindi il vantaggio di una maggiore lunghezza (ehm) è ancora molto superiore.Ma darei il benvenuto a chiunque conosca la ricerca su questo.
L'unico problema che ho con quel fumetto è che non sarò in grado di usare quella password quasi ovunque perché tutti hanno requisiti per numero, maiuscolo (e talvolta anche carattere speciale).
E al sicuro da quale minaccia?Se il server memorizza la password in testo normale, sono tutti ugualmente protetti da quello.Potresti sostenere che il più breve è il più sicuro allora, poiché è meno probabile che lo annoti e lo lasci sulla scrivania.
Questo è lo stesso NHS che finanzia ancora l'omeopatia, ricorda!Non fraintendetemi, penso che l'NHS sia una delle cose migliori che abbiamo in Gran Bretagna, ma ha problemi di gestione cronici e la sua esperienza con l'IT è riassunta al meglio dalla citazione di Despair.com: "A volte il tuo scopo inla vita deve servire da monito per gli altri ".Sei così sorpreso dal fatto che non riescono a ricevere una formazione IT di base, giusto?Non molto.
C'è il punto che la password C conterrà (se opportunamente vincolata) alcuni caratteri "speciali", impedendo l'uso di nomi semplici o parole / frasi comuni.Ciò non aumenta la forza statistica della password, ma la rende meno suscettibile a uno schema di cracking del dizionario.
No, non è così.Il punto che l'OP sta chiedendo / facendo sulle sostituzioni comuni è morto per i soldi e gli attuali algoritmi di cracking delle password utilizzano analisi euristiche, non semplici attacchi di dizionario di forza bruta.Indipendentemente dai caratteri in una password di 7 caratteri, verrà interrotta in un periodo di tempo relativamente più breve.Non ci sono abbastanza permutazioni e il computer può provare ogni singola possibilità indipendentemente dalla complessità in un breve lasso di tempo.8 caratteri è un ordine di grandezza migliore ma ancora troppo breve.9 è di gran lunga migliore di 8 e 10 di gran lunga migliore di 9, con margini * enormi *.
Cos'è l'NHS? ....
10 ^ 26 >> 26 ^ 10.Cioè, ventisei cifre hanno combinazioni molto più grandi di dieci lettere.La lunghezza è quasi sempre più importante della larghezza.
L'entropia dipende dall'alfabeto e dal numero di simboli utilizzati.In caso di parole inglesi (il cui numero è di circa un milione): una parola d'ordine di quattro parole scelte casualmente dà un'entropia di 79 ie (log2 (10 ^ [6 * 4]). Chiaramente quando scegliamo parole inglesi, il nostrol'alfabeto non è uno, di circa 52 elementi dispari ... come alcuni sembrano confondere qui.
Ovviamente anche un set di 26 simboli può descrivere una stringa di parole ... A questo proposito è sufficiente garantire una lunghezza adeguata in modo che l'entropia della password come "vista" con la vista alfabetica a 26 simboli sia comparabile;per un'entropia superiore a 72 qui richiediamo un totale di circa 17 caratteri.cioè 72 / Log2 (26)
@Celeritas [National Health Service] (https://en.wikipedia.org/wiki/National_Health_Service) nel Regno Unito.
Mi ricorda il quiz sulla conformità alla sicurezza IT condotto da un operatore sanitario in Texas, in cui una delle domande del quiz cercava di vedere se le persone proiettavano la loro conoscenza dei virus biologici sul malware del computer.Sfortunatamente per i presunti esperti che scrivono il quiz, è molto probabile che i virus informatici causino un aumento della temperatura del sistema e della lentezza, a causa del carico della CPU causato dal malware che cerca di diffondersi.
Nota che un ** fattore umano ** potrebbe essere coinvolto nella loro decisione.Allontanandoli dalle password di sole lettere (anche se ciò significa che non ne usano una lunga perché è difficile da ricordare) potrebbe, in media, creare password più sicure semplicemente perché ci sono meno persone che usano cose come `secretpass`(che è di 10 caratteri ... ma probabilmente sarebbe rotto abbastanza rapidamente) o altre password in stile parola estremamente semplicistiche.... comunque una domanda scadente.
Possibile duplicato di [XKCD # 936: password complessa breve o passphrase del dizionario lunga?] (Http://security.stackexchange.com/questions/6095/xkcd-936-short-complex-password-or-long-dictionary-passphrase)
Penso che la maggior parte delle risposte qui manchi il punto.La domanda non è chiedere a un gruppo di amministratori di rete "quali _requisiti_ di password è meglio applicare?", Ma chiedere a un gruppo di utenti "quale password (supponendo che soddisfino tutti i requisiti minimi) è meglio scegliere?".In altre parole, sta cercando di indurre l'utente a pensare a come sceglie una password, a pensare agli stessi fattori che molte risposte identificano come chiave (la casualità non è un presupposto valido nel mondo reale a meno che non imponiamo l'uso di gestori di password,la maggior parte dei quali utilizza una password non casuale per ottenere l'accesso).
Non per una password specifica generata in modo radicale, ma per una politica o, come cita Adam, requisiti, è corretto che i caratteri speciali rendono più probabile che vengano generate password più difficili da indovinare / motivare, poiché gli utenti generalmente non lo fannocrearne di completamente casuali.
questa domanda chiede "perché" http://security.stackexchange.com/questions/139594/why-do-the-large-majority-of-big-organizations-have-known-bad-password-policie
@StarWeaver c'è un XKCD per quello: https://xkcd.com/386/
@ Evan Steinbrenner, Sebbene tu abbia ragione in linea di principio, "Numeri e caratteri speciali" hanno un insieme semplice e intuitivo (esito a chiamarlo "definizione"): sono i simboli sui 21 pulsanti non alpahbetici della tastiera sinistra.Sono tutti i seguenti: `1234567890- = ~! @ # $% ^ & * () _ + []; '\,. / {}:" | <>?
(segue) è facile vedere che 52 ^ 10 ~ = 1e17 e 94 ^ 7 <= 1e10 ^ 14.Ciò che è più difficile da dimostrare è che "10 caratteri in maiuscolo e minuscolo" sono quasi sempre 1 o 2 parole (direi ~ 20 bit di entropia, poiché tutte le parole lunghe saranno singole), mentre "7 caratteri in altoe minuscole "è una parola, ma con una strana merda attaccata (28 bit secondo il grafico, ma siamo d'accordo su> 25, vero?)
Sai cosa?Sto bene dicendo che 2 parole sono <= 24 bit, come da grafico.
È interessante che nessuno lo abbia confrontato con le varie pubblicazioni che le organizzazioni del NHS pubblicano o indicano in materia di sicurezza delle password.Inoltre, [ecco un quiz simile, ma diverso, del Royal Wolverhampton Hospitals NHS Trust] (http://www.royalwolverhamptonhospitals.nhs.uk/jdoi/downloads/Intro_to_Information_Governance_Booklet_070411.pdf#page=33).E goditi [questa guida su come scrivere le password da un'altra parte del NHS] (http://www.northamptonshire.nhs.uk/resources/uploads/files/IM&T_14.pdf#page=16).
Peccato che la password [173467321476C32789777643T732V73117888732476789764376Lock] (https://www.youtube.com/watch?v=oNrWgjh9tnU) sia pubblicamente nota
Doggone medici.Hanno perso la giornata nella loro classe di medicina del primo anno in informatica, dove l'argomento era l'entropia dell'informazione.Oh, aspetta, prendono fisiologia e genetica alla facoltà di medicina, non informatica.
Nove risposte:
Mark
2016-10-07 02:01:57 UTC
view on stackexchange narkive permalink

In ogni caso, si sbagliano:

Sette ASCII stampabili casuali: 95 7 = 69 833 729 609 375 possibili password.

Dieci alfabetici casuali: 52 10 = 144 555 105 949 057 024 password possibili, o oltre 2000 volte di più.

La lunghezza conta. Se stai generando le tue password in modo casuale, conta molto più di qualsiasi altro metodo per renderle difficili da indovinare.

Non dicevano ASCII e molti (la maggior parte?) Sistemi consentono le password Unicode.Ci sono 128.172 caratteri Unicode, quindi "c" sarebbe corretto su quella base.
Infatti per "b" non hanno detto che erano lettere LATINE maiuscole e minuscole.Mi aspetto che Unicode abbia un carico di lavoro di lettere maiuscole e minuscole non latine.
@paj28, il concetto di maiuscolo è in realtà solo una caratteristica degli alfabeti latino e greco, e alcuni degli alfabeti da essi derivati.
Con un [quickscript] (http://dpaste.com/3HJGDJK) conto 1984 caratteri minuscoli e 1631 maiuscoli.3615 ** 10 = 381138671891365331133862350087890625 (per b) che è ancora inferiore a 128172 ** 7 = 568266595760666481405057656211161088 (per c).Forse potremmo ritagliare alcuni caratteri non stampabili da (c) per abbassare il numero, ma è abbastanza chiaro che le persone che hanno scritto la domanda non hanno fatto nulla di tutto questo!
@paj28 In generale questo è un buon punto, ma in pratica penso che non sia realistico aspettarsi che il sistema del medico medio in un paese di lingua inglese primaria abbia tutto tranne che input chiave ASCII prontamente disponibili (se devono capirecome configurare più layout di tastiera su possibilmente più macchine che potrebbero non essere "loro" da configurare, e il metodo di input di lavoro commuta i tasti di scelta rapida nel flusso di immissione della password ed eventualmente viene bloccato quando devono accedere a una workstation che non lo ègià così configurato, potrebbe anche non esistere).
@mtraceur Se stai prendendo la sicurezza abbastanza seriamente da fare questionari su di loro, probabilmente sei oltre il punto di digitarli manualmente, sono tenuti ad avere chiavi di accesso fisiche (come un chip RFID o una pen drive con la chiave).
@Kevin se solo ... Con molti sistemi reciprocamente incompatibili, l'NHS è il tipo di istituzione che funziona con password scritte.il meglio che puoi sperare è che non sia su un post-it sotto la tastiera.Alcuni * più sofisticati * personale ospedaliero che ho incontrato hanno avuto un documento in chiaro su un telefono protetto da password.Altri un libro.
@ChrisH Sul serio?Sono uno sviluppatore di app che realizza app per le istituzioni sanitarie olandesi, il NHS sarà il nostro primo cliente internazionale l'anno prossimo.Quasi tutte le organizzazioni sanitarie olandesi utilizzano chip RFID per l'autenticazione, l'ispezione sanitaria fondamentalmente le obbliga a farlo.Se NHS è davvero così insicuro, non vedo l'ora che arrivi il prossimo anno lol: P
@Kevin Ho solo i miei occhi per andare avanti e non passo molto tempo in luoghi sanitari, quindi le cose potrebbero essere cambiate.Ma ci sono ancora molti sistemi legacy in uso, ei classici problemi di più password con regole diverse, che possono essere cambiate molto a frequenze diverse.L'NHS è stato uno dei maggiori organismi a pagare per il supporto esteso di XP dopo la fine del ciclo di vita.Credo che ora si siano fermati, ma questo non significa che tutto sia andato avanti
Qualsiasi tastiera americana ha segni diacritici e può essere configurata in us-intl per stampare è, é, ò, ç, ë, õ .. 5 segni diacritici, di solito sulle 5 vocali, ovvero 50 caratteri in più, o `145 ^ 7 = 1.3 10^ 15` o solo 100 volte di meno.
[Questa risposta] (http://security.stackexchange.com/a/137322/112339) a una domanda diversa espone il caso contro l'utilizzo di caratteri non ASCII nelle password.Non ha nulla a che fare con la teoria (i set di caratteri più grandi sono migliori) e tutto a che fare con la pratica (non puoi fidarti degli implementatori di sistemi di terze parti per elaborare in modo affidabile il testo non ASCII).
Inoltre, nel caso di c, se il sistema richiede che tutte le password contengano una combinazione di simboli e numeri superiori / inferiori, il numero di password possibili diminuisce un po ', a seconda delle regole, ovviamente.
@JimmyJames, proprio come aumentare la dimensione dell'alfabeto non aiuta molto, diminuirlo non danneggia molto le cose - in teoria.In pratica, tutti mettono la lettera maiuscola all'inizio della password e la cifra e il simbolo alla fine.
@Mark Per favore aiutami a capire questo.Diciamo che le regole richiedono almeno un maiuscolo, un numerico e un simbolo.Il numero di password possibili è quindi 23 * 10 * 26 * 95 ^ 4 = 487.074.737.500 o 143 volte inferiore alla cifra 95 ^ 7.143 volte di meno è molto nel mio libro, ad es.143 mesi per forzare tutti gli hash sono molto più di 1 mese.O la mia matematica è sbagliata o abbiamo idee diverse su cosa significhi "molto".
@JimmyJames, Due errori nella tua matematica.In primo luogo, ci sono 33 simboli, non 23, e in secondo luogo, i caratteri limitati possono apparire ovunque nella password.La formula corretta è (33 * 10 * 26 * 95 ^ 4 * 7!) / (3! * 4!) = 24.459.622.687.500, o circa un terzo di 95 ^ 7.
@Mark Sì, ho capito il secondo errore mentre mi stavo godendo la mia birra a cena.Chiaramente ero carente di vitamina B12.Quindi OK non è una differenza così grande come avevo pensato, ma comunque 1/3 non è una differenza insignificante.
@njzk2: è semplicemente sciocco affermare che gli utenti tipici metteranno i segni diacritici nelle loro password.Semplicemente non succederà, fine della storia.La lunghezza della password è fondamentale.E la varietà dell'input ** in pratica ** è minore del set completo di caratteri ASCII.
@Craig giusto, perché gli utenti tipici sono ovviamente americani.Che sciocco da parte mia considerare il resto del mondo.
Accensione piacevole di @njzk2:.Usano molte dieresi in Gran Bretagna, vero?L'inglese è una lingua che non viene usata molto, diciamo, per gli affari nel resto del mondo?Sto solo parlando di praticità.In conclusione, la dimensione effettiva, in pratica, dell'alfabeto da cui vengono scelte le password è molto più piccola del set completo di caratteri Unicode.La teoria è bella, ma la realtà è quella che è.Inoltre, ** sei tu ** quello che parlava di tastiere americane e segni diacritici.
@Craig sì, perché è la tastiera su cui mi è capitato di scrivere quel commento.Ma questo dovrebbe solo enfatizzare il fatto che anche le persone che di solito non usano i segni diacritici possono ancora inserirne alcuni nella loro password.(ma come hai detto tu, questa è teoria. In pratica, sappiamo tutti che la password è sempre "123456") (Tengo a precisare, però, che il mio punto iniziale era che * anche * considerando vari segni diacritici comuni, saremmospostando l'ordine di grandezza, ma non il risultato del confronto)
Il problema con questa risposta è che le persone non scelgono le password in modo casuale * affatto *.Quindi è meglio esaminare un ampio database di password effettive e confrontare per ciascuno di questi vincoli quanto sia facile da decifrare la password media che soddisfa il vincolo.
Il rovescio della medaglia è che se hai solo lettere è probabile che la password contenga una parola del dizionario ... Probabilmente solo una parola / e del dizionario
@Kevin L'NHS ha effettivamente una soluzione di autenticazione basata su smartcard.Tuttavia, come con qualsiasi soluzione SSO, l'integrazione è un problema e molti fornitori non lo fanno e, naturalmente, non è integrata in soluzioni precedenti alla sua introduzione.
Non sei d'accordo con "con qualsiasi misura": chi crea una password completamente casuale?Quasi nessuno, perché è difficile da ricordare.Quindi, poiché stiamo già imponendo un qualche tipo di schema o ordine al processo di selezione, quale delle opzioni è più probabile che reintroduca un livello di casualità che sarebbe difficile da indovinare o da motivare per qualcuno che cerca di decifrare la password?Indipendentemente dal numero di caratteri, se scelgo qualcosa come MyNameIsAndy, potrebbe essere facilmente indovinato, dove richiedere di includere un carattere strano, da qualche parte, lo renderà più casuale - MyName # IsAndy
@AndrewMattson Qualsiasi strumento decente per crackare le password proverebbe le password probabili e permuterebbe attraverso numeri e aggiunte / sostituzioni di simboli.L'aggiunta di un simbolo del genere non rende una password facilmente indovinabile molto più forte.
@JimmyJames - e avendo solo una stringa di lettere leggermente più lunga, maiuscolo e minuscolo non offrirebbe NESSUNA protezione contro un hack "facilmente intuibile".Sto sottolineando che la premessa che la stringa più lunga sia più forte è applicabile solo se l'utente genera in modo casuale una combinazione di password, cosa che praticamente non accade mai.Esistono diversi modi per utilizzare caratteri non alfabetici, quindi può renderlo più forte, perché dovresti testare più versioni della stessa password indovinabile.MyN@meIsAndy, MyName! SAndy, MyNameIs@ndy, MyN@me! S@ndy, ecc.
@AndrewMattson Sì, ma nel caso in cui gli hash siano esposti, provare queste combinazioni richiede pochissimo tempo.
Downvoted perché è del tutto errato che "con qualsiasi misura" si sbagliano.Sono facilmente disponibili tabelle arcobaleno di caratteri superiori-inferiori fino a> 10 caratteri.Queste dovrebbero essere considerate * non password * in primo luogo.Solo perché in teoria potresti usare tutto il set di caratteri ASCII non significa che gli hacker siano abbastanza stupidi da presumere che tu l'abbia fatto.
@njzk2 Per quanto riguarda gli utenti internazionali che si preoccupano di usare i segni diacritici - la maggior parte di loro non lo farà, anche se sono abituati a farlo per la normale digitazione.Ad esempio, tutti i cinesi che conosco usano l'alfabeto latino più i numeri per le loro password;Non ho avuto la stessa esposizione agli utenti la cui lingua principale utilizza molti caratteri latini accentati, ma quello che ho suggerisce che anche loro semplicemente salteranno gli accenti nei campi della password.
@LoganPickup Essendo qualcuno che ha un paio di segni diacritici nella mia lingua madre, la mia esperienza mi dice che quasi nessuno li usa, specialmente con l'avvento dei dispositivi mobili dove digitarli è spesso fastidioso.Inoltre rende il tuo account inaccessibile da tutti i computer senza la tastiera polacca installata, e poi c'è il fattore di non sapere come il sito di destinazione gestirà quei caratteri.Una volta ho perso l'accesso al mio account perché il modulo di modifica della password li trattava in modo diverso rispetto al modulo di accesso.
Le tabelle arcobaleno di @WilliamKappler: sono davvero utili solo con hash non salati, che purtroppo descrivono ancora troppi database di credenziali.Ma pbkdf2, scrypt e bcrypt sono al sicuro dai tavoli arcobaleno, così come un hash SHA1 con sale.Il problema con SHA1 salato è che è troppo veloce, consentendo all'attaccante di provare molte più ipotesi.Gli attacchi più moderni utilizzano l'euristica e le ipotesi del dizionario.Anche l'inserimento di tre parole del dizionario non correlate in una password lunga aumenta notevolmente la forza della password.La lunghezza della password è fondamentale.
Anders
2016-10-07 02:04:53 UTC
view on stackexchange narkive permalink

La prospettiva teorica

Facciamo i conti qui. Ci sono 26 lettere, 10 cifre e diciamo circa 10 caratteri speciali. Per cominciare, assumiamo che la password sia completamente casuale (e che non sia più probabile che venga utilizzato un carattere in un gruppo rispetto a un carattere in un altro gruppo).

Il numero di password possibili può quindi essere scritto come C = s ^ n dove s è la dimensione dell'alfabeto e n il numero di caratteri. L'entropia della password è definita come: 

  log2 (C) = log2 (s ^ n) = log2 (s) * n

Let's plug i numeri dalla domanda in questa: 

  sn Entropia (bit) A 52 6 34.2B 52 10 57.0C 72 7 43.2D 26 10 47.0E 26 5 23.5

Quindi, in questo scenario, C è solo la terza migliore opzione, dopo B e D.

La prospettiva pratica

Ma tutto questo è basato sul presupposto della casualità. Questo non è un presupposto ragionevole per il modo in cui le persone generano le password. Gli umani semplicemente non lo fanno in questo modo. Quindi dovremmo scegliere alcune altre ipotesi su come vengono generate le password e in quale ordine l'attaccante le prova nel suo dizionario.

Un'ipotesi non irragionevole sarebbe che molti dizionari inizino con le parole e solo in seguito passare alle sostituzioni e all'aggiunta di caratteri speciali. In tal caso, un singolo carattere speciale in una password breve sarebbe meglio di una parola comune molto lunga. D'altra parte, se l'aggressore sa che viene sempre utilizzato un carattere speciale, proverà prima quelle password. E sulla terza mano forse il dizionario è incentrato su principi completamente diversi (come l'occorrenza in database trapelati).

Potrei continuare a speculare all'infinito.

Perché è la domanda, non le risposte, questo è sbagliato

Il problema è che ci sono molti principi su come viene generata la password tra cui scegliere, e potrei sceglierne uno arbitrariamente per rendere quasi tutte le risposte corrette. Quindi l'intera domanda è inutile e serve solo a nascondere un punto importante che nessuna politica delle password al mondo può imporre: Non sono i caratteri che una password contiene a renderla forte, è il modo in cui viene generata.

Ad esempio, Password1! contiene lettere maiuscole, minuscole, un numero e un carattere speciale. Ma non è molto casuale. ewdvjjbok invece contiene solo lettere minuscole ma è molto meglio poiché è generato casualmente.

Cosa avrebbero dovuto fare

Se smetti di fare affidamento sulla memoria umana molto fallibile e limitata, il set di caratteri e la lunghezza smettono di essere fattori limitanti che devi pesare l'uno contro l'altro. Puoi averne entrambi in abbondanza.

Un modo per farlo è usare un gestore di password. Come Dan Lowe ha sottolineato nei commenti, questa potrebbe non essere un'opzione praticabile in un ospedale. Una seconda alternativa è usare un qualche tipo di autenticazione a due fattori (ad esempio un token hardware o una chiave magnetica) che renda la sicurezza del primo fattore (la password) meno importante.

Questa è la responsabilità del sistema responsabili, e non gli utenti finali, da implementare. Devono fornire gli strumenti che consentano agli utenti finali di svolgere il proprio lavoro in modo pratico e sicuro. Nessun livello di formazione degli utenti può cambiarlo.

Guardando una tastiera in lingua inglese vicino a me (una che ha effettivamente delle incisioni!) Ho trovato poco più di trenta disponibili non alfanumerici (usando solo Shift come modificatore - non Compose / Super / etc);lo stesso sul touchscreen di un dispositivo medico.Quindi puoi probabilmente aumentare un po 'il punteggio per C (non vincerà mai!).
@TobySpeight Grazie per l'input - non mi aspettavo che ce ne fossero così tanti!Immagino sia una domanda su se sono "caratteri speciali disponibili" o "caratteri speciali che le persone in media usano effettivamente".E poi torniamo al fatto che la domanda originale del NHS è troppo vaga per ricevere una risposta.
Il gestore delle password non è realistico in ambito medico.Medici e altro personale accedono a terminali condivisi negli uffici, nei corridoi, nelle stanze dei pazienti, ecc. Non solo sul proprio computer o dispositivo.
Il tuo bit di "prospettiva pratica" presume che l'attacco al dizionario esaurisca prima tutte le varianti di sole lettere.Se l'aggressore conosce un numero di caratteri speciali e sono necessari numeri, è probabile che provi a modificare le parole mentre procede.Anche in caso contrario, è probabile che gli utenti utilizzino ancora parole e sostituiscano le lettere con caratteri visivamente simili (come E a 3 o T a 7).Ciò aggiungerebbe un insieme limitato di numeri o caratteri speciali contro il permesso di parole o frasi più lunghe, che non sono convinto lo spingerebbe in un territorio "più sicuro".
@DavidStarkey Il punto che metti nel commento è più o meno lo stesso che faccio nella risposta.Non dico che si possa dare per scontato che l'attaccante utilizzerà solo le lettere per primo - anzi, suggerisco l'opposto.
Anche il gestore di password potrebbe essere illegale (non lo so) poiché non credo che LastPass sia stato creato con i requisiti di archiviazione HIPA presenti nel Regno Unito.
@MaciejPiechotka Buon punto.Riscriverò l'ultimo passato della risposta per essere più sfumato in seguito, ma non c'è tempo in questo momento.Grazie per l'input.
Ottima risposta, ma sono sottilmente in disaccordo con la conclusione nella tua ultima sezione ("Cosa avrebbero dovuto chiedere").Non perché "Genera le tue password in modo casuale con un gestore di password" è un cattivo consiglio, ma piuttosto perché è un buon consiglio per gli ** utenti finali ** e meno per le ** istituzioni ** come NHS, che, se sono davvero seriper quanto riguarda la sicurezza delle password, dovrebbero invece esaminare attentamente l'autenticazione a due fattori.
@DanLowe Questo sarebbe un argomento per l'autenticazione a 2 fattori.Ma poi stiamo parlando di mitigare il rischio di una password debole utilizzando un meccanismo aggiuntivo invece della semplice "forza della password", che ancora una volta rende la domanda negativa.+1 a questa eccellente risposta.
@MaciejPiechotka - per quanto ne so, il Regno Unito non ha alcuna legislazione specifica simile all'HIPA.Ciò significherebbe che esiste solo un obbligo generale ai sensi della legge sulla protezione dei dati secondo cui i responsabili del trattamento delle informazioni riservate dovrebbero seguire le migliori pratiche al fine di garantire che le informazioni non siano divulgate in modo errato, ma che non ha requisiti legislativi specifici sulle tecnologie effettivamente utilizzate.
@TobySpeight Sei sicuro che tutte le tastiere siano uguali?Che tutti i tipi di tastiere desktop / giocatore / blocco note / OSD / & c hanno le stesse specialità?
Modificato con un numero maggiore di caratteri speciali, ovviamente questo non fa che rafforzare la conclusione.- Per chi fosse interessato, hai bisogno di più di 282 caratteri unici in una password casuale di lunghezza 7 per battere una password casuale di lunghezza 10 composta da 52 caratteri unici.
Scusa: ho anticipato erroneamente quello che volevi scrivere :).[ritorno] Non mi piacciono i gestori di password * perché ciò di cui ti fidi nel modello di password è la memoria del proprietario fisico della password (autenticazione basata su ciò che ** tu ** sai).Introducendo un software all'interno di questo percorso di fiducia, si aggiungono molti rischi.[ritorno] Ho commesso l'errore di pensare che la maggior parte degli specialisti della sicurezza condividesse questa analisi dei rischi.
Le password sono molto più sicure dei gestori di password o richiedono password stesse.Un medico può usare più di 1 computer e fornire a personale non autorizzato che trova un bastone o un accesso così completo è davvero pessimo.
Devo dire che è delizioso il numero di sistemi in cui ho effettuato l'accesso in cui "* light |" non è una password sicura, ma "Password1!" Lo è.
Vality
2016-10-07 04:20:19 UTC
view on stackexchange narkive permalink

Mi rendo conto che ci sono già un certo numero di buone risposte, ma voglio chiarire un punto.

La domanda è senza risposta in quanto non specifica un set di caratteri, né il metodo di selezione della password .

Prima di affrontare il secondo punto, faremo finta che le password siano generate in modo veramente casuale all'interno del dominio consentito, altrimenti non possiamo nemmeno iniziare a ragionare in merito.

Per il nostro altro punto, per fare esempi estremi, diciamo che b implica lettere solo dell'alfabeto inglese, quindi diciamo 52 simboli possibili. Ciò fornisce circa 5,7 bit di entropia per carattere e quindi circa 57 bit di entropia complessivi.

D'altra parte diciamo (forse in modo un po 'irragionevole) che la risposta c implica qualsiasi punto di codice Unicode completamente casuale considerato essere un personaggio (al contrario di una distinta materiali, ecc.). Ci sono attualmente circa 109.000 di questi a partire da Unicode 6. Ciò significa circa 16,7 bit di entropia per carattere e un totale di 117 bit di entropia.

D'altra parte se la risposta c fosse limitata al solo ASCII o forse ISO 8859-15 o qualche sottoinsieme di questi, si potrebbe facilmente trarre la conclusione opposta.

Questo è ovviamente del tutto irragionevole ma evidenzia la discontinuità della domanda e come si possa ragionevolmente giustificare una delle due risposte. Per essere una domanda di prova sensata, dovrebbe essere formulata in modo molto più rigoroso, il che renderebbe molto più difficile l'elaborazione per gli utenti con conoscenze tecniche o matematiche limitate.

Alla fine suggerirei che questo test sia probabilmente abbastanza inutile in quanto un'organizzazione idealmente non richiederebbe agli utenti di memorizzare i requisiti della password, ma invece li applicherebbe tecnologicamente (l'unico requisito che posso pensare che l'apprendimento a memoria sia utile è non riutilizzare la stessa password in più posti).

Da un punto di vista pratico, lo spazio delle chiavi deve essere limitato a ciò che l'utente può ragionevolmente digitare.Poiché questo è l'NHS, l'unica lingua che possono essere certi di avere a disposizione è l'inglese.Gli altoparlanti stranieri potrebbero avere altre cose configurate sui loro sistemi, ma ciò non significa che tutti i computer che potrebbero dover utilizzare verranno configurati.
@LorenPechtel Lo capisco e, come ho cercato di insinuare, non stavo dicendo che l'esempio è veramente realistico, ma semplicemente che ambiguità del genere sono sufficienti per rendere impossibile rispondere con certezza alla domanda.
Mi oppongo a questo punto di vista "senza risposta".Sì, ci sono alcune incognite, il che significa che non è possibile calcolare numeri assolutamente corretti assoluti sulle possibilità.Questo * non * significa che sia senza risposta, poiché tutto ciò che stiamo cercando qui sono generalità.Conosciamo le dimensioni approssimative degli alfabeti che le persone tendono a usare.Inoltre, non è forse vero che il numero di possibilità aggiunte estendendo la lunghezza da 7 a 10 supera di gran lunga la differenza, diciamo, del 40% circa nella dimensione dell'alfabeto?Indipendentemente dalle incognite, ci sono sicuramente regole pratiche migliori e peggiori.
Sono d'accordo con tutto tranne l'ultimo paragrafo.Penso che sia utile insegnare alle persone il * ragionamento * alla base dei requisiti di complessità delle password in generale (sebbene non, sarei d'accordo, i dettagli di un particolare insieme di regole), perché se capiscono quel ragionamento molti di loro (inteoria, si spera) potrebbero essere più inclini e in grado di scegliere password più forti di propria volontà.Rispetto a fare il minimo indispensabile per soddisfare i requisiti di qualunque meccanismo di applicazione tecnica sia in atto.
Jander
2016-10-08 12:40:19 UTC
view on stackexchange narkive permalink

L'NHS ha torto su quali siano le password più sicure nel caso ideale? Sì, assolutamente - e le altre risposte hanno coperto quel terreno abbastanza a fondo.

L'NHS ha torto su quali password sono più sicure in un ambiente NHS? Forse no.

Come potrebbe una password lunga essere peggiore di ...

Esistono sistemi legacy che limitano artificialmente la lunghezza di una password, ad esempio il vecchio Windows LANMAN / L'hash della password NTLMv1 limita la lunghezza a 14 simboli e il vecchio hash della password UNIX basato su DES la limita a 8. Peggio ancora, l'immissione della password su un sistema del genere ti consente spesso di inserire una password per tutto il tempo che desideri e di ignorare tutto dopo i primi n simboli.

In effetti, sembra probabile che NTLMv1 sia il particolare schema legacy che stanno eseguendo. Come sottolinea @MarchHo, NTLMv1 divide la tua password in due metà di massimo 7 caratteri ciascuna, e ciascuna metà può essere decifrata separatamente. Quindi, se stai usando NTLM con una password alfanumerica di 10 caratteri, quello che hai veramente è una password alfanumerica di 7 caratteri e una password alfanumerica di 3 caratteri. Il primo è chiaramente peggiore di 7 caratteri dell'intero set di simboli e il secondo può essere interrotto in millisecondi su un PC di 10 anni.

Perché qualcosa di così vecchio dovrebbe essere ancora di uso comune?

Fondamentalmente, perché funziona e sarebbe costoso aggiornarlo.

Ora, sto speculando, ma: propongo che gli ambienti sanitari in particolare potrebbero eseguire sistemi legacy, a causa della natura delicata dell'assistenza sanitaria. È probabile che i nuovi sistemi richiedano un'analisi molto approfondita prima di essere accettati come soluzione, il che significa che gli aggiornamenti dei sistemi sanitari tendono ad avvenire lentamente e con grandi costi.

Quindi, se sai che ci sono sistemi di uso comune che si comportano in questo modo e non puoi correggerli, quindi il meglio che puoi fare è dire ai tuoi utenti di scegliere una password di lunghezza n utilizzando il pool di simboli più ampio possibile.

In generale: sei sicuro che le tue password non siano troncate?

Sfortunatamente, questo ha implicazioni anche per il caso generale, specialmente per noi a cui piacciono le nostre password lunghe. Quanto siamo sicuri che non possiamo accedere al nostro account su https://example.com solo con la prima o due parole della nostra passphrase? Per quanto sia dannoso usare il ben noto "correttohorsebatterystaple", usare accidentalmente "corretto" sarebbe anche peggio. Per essere sicuri nelle tue password non è sufficiente assicurarti di generare abbastanza entropia. Devi anche essere sicuro che il sistema dall'altra parte non ne butti via la maggior parte.

NTLM divide anche la password di 14 caratteri in due hash di 7 caratteri, quindi la lunghezza effettiva della password è 7.
@MarchHo: Penso che potresti aver appena risolto il puzzle!Aggiornata la mia risposta.
Il processo di hashing NTLM ** non ** divide la password in due segmenti di 7 caratteri prima dell'hashing.Stai pensando al processo di hashing LM, che in effetti fa questo.LM converte anche tutti i caratteri alfabetici in maiuscolo prima dell'hashing.
La versione 1 di NTLM utilizza il processo di cui sto parlando, che ha ereditato da LANMAN.Vedi ad es.[Wikipedia] (https://en.wikipedia.org/wiki/NT_LAN_Manager) e [MSDN] (https://msdn.microsoft.com/en-us/library/cc236699.aspx).NTLMv2 è quello che risolve questo problema passando a uno schema basato su MD4.Buon punto sulla conversione in maiuscolo.
@Jander Penso che stiamo mescolando discussioni sui protocolli di autenticazione e sui metodi di hashing.
È molto interessante.Ma uno schifoso protocollo di sicurezza Microsoft che la maggior parte delle persone non utilizza non è sufficiente per giustificare i 7 caratteri come regola generale.
Modificato di nuovo.Penso di aver fatto in modo che la risposta si riferisca meglio alla domanda centrale.
È certamente vero che gli ambienti sanitari possono essere * molto * lenti da aggiornare.Nel 2014 vedevo ancora IE6 nei log del server web per un'app web relativa alla sanità.
Gli avvistamenti isolati di IE6, per quanto rari possano essere, non sorprendono in nessun contesto.
UTF-8
2016-10-07 02:06:19 UTC
view on stackexchange narkive permalink

Ci sono alcuni problemi con questa domanda. Uno di questi è che non indica come vengono scelte le password, ma penso che l'approccio più logico sia presumere che le password siano scelte casualmente ma soddisfacendo le rispettive condizioni, quindi userò quella convenzione per la mia risposta. Nota che il fumetto di Randall chiaramente non condivide questo presupposto, ma la domanda non specifica in che modo viene scelta una password, quindi penso che possiamo fare il meglio che è possibile e cioè scegliere una password a caso. Inoltre, il test probabilmente non è basato sul fumetto di Randall.

Il ritmo chiave dell'opzione b è abbastanza facile da calcolare se assumiamo che venga utilizzato l'alfabeto inglese. Sì, più supposizioni, lo so. Ma poiché il test sembra essere in inglese e non è molto complicato, penso che possiamo fare questo presupposto.

Ci sono 26 lettere minuscole nell'alfabeto inglese e altrettante lettere maiuscole, rendendo 52 in totale. Quindi ci sono 52 ^ 10 ≈ 1,45 * 10 ^ 17 elementi nello spazio chiave dell'opzione b.

L'opzione c è molto meno specifica dell'opzione b . Tuttavia, poiché abbiamo assunto che venga utilizzato l'alfabeto inglese, che è a favore dell'opzione c , possiamo anche supporre che solo ascii sia usato per i caratteri speciali, che è a favore dell'opzione b . In realtà, se assumessimo più caratteri speciali di ascii, dobbiamo presumere più lettere di quante ne siano in ascii poiché ä è probabilmente una lettera in tedesco. Ciò rende lo spazio chiave dell'opzione b ancora più grande rispetto a quello dell'opzione c.*

Il meglio che possiamo fare per l'opzione c se ci limitiamo all'alfabeto ASCII è quello di utilizzare ogni carattere stampabile (escluso lo spazio vuoto) nel nostro alfabeto (nota: uso diverso, più generale della parola "alfabeto"). Sono 94 caratteri, dando all'opzione c uno spazio chiave di 94 ^ 7 ≈ 6,48 * 10 ^ 13 elementi.

Poiché una delle nostre ipotesi per affrontare la questione è che la password sia scelta casualmente con le rispettive restrizioni e quella regola è uguale alla scelta di una password casualmente dal rispettivo spazio chiave, una password scelta usando l'opzione b è probabilmente più difficile da indovinare poiché ci sono diversi ordini di grandezza in più opzioni da provare durante il cracking della password.

In effetti, se assumiamo che i costi del cracking di una password tramite forza bruta siano approssimativamente lineari la dimensione dello spazio della chiave, crackare una password scelta tramite l'opzione b è 52 ^ 10 / (94 ^ 7) ≈ 2'229 volte più difficile che crackare una scelta tramite l'opzione c , mostrando chiaramente che la risposta presumibilmente corretta a questa domanda è sbagliata.

* Questo è abbastanza facile da dimostrare matematicamente ma questo StackExchange manca del supporto LaTeX e probabilmente tu lo capirà comunque meglio attraverso una descrizione testuale.

L'unico vantaggio dell'opzione c rispetto all'opzione b è il suo alfabeto più grande (di nuovo, uso più generale della parola "alfabeto"). L'opzione b , tuttavia, è più che valida scegliendo una password più lunga. Se aggiungiamo sempre più caratteri (come ü , à , Ø , Æ , ecc.) , stiamo rendendo gli alfabeti di dimensioni più uguali, facendo diminuire il vantaggio di c su b , mentre il vantaggio di b su c non viene modificato.

Affinché "c" sia la risposta corretta, sono necessari almeno 221 caratteri speciali tra cui scegliere, oltre ai caratteri alfanumerici.Buona fortuna a trovare una tastiera che ti permetta di digitare la tua password!
Questi sono questionari di formazione per medici, non un esame Comp Sec.Sebbene tu possa dimostrare matematicamente l'entropia a favore di un'altra risposta, il loro obiettivo è far sì che le persone pensino "Pa $$ w0rd" invece di "password"
@Mark Sì.E faresti meglio a sperare che la tastiera non offra più lettere.Oh, aspetta.Fondamentalmente qualsiasi tastiera offre già caratteri come "à", aumentando ulteriormente quel numero in modo drammatico.
@ShaneAndrie Diceva "lettere", non "parole".
@UTF-8, Ho tre tastiere sulla mia scrivania e nessuna di esse offre "à" come carattere tipografico.So come scriverlo sul sistema Linux (`compose`-`backtick`-`a`), e posso fare una buona ipotesi sul Mac (` opzione + backtick` come una chiave morta per creare il segno di accento,quindi "a" per combinarlo), ma non ricorderò in alcun modo il codice "alt + keypad" per digitarlo su Windows.
Non puoi fare il backtick su Windows?
@UTF-8 Lo capisco, ma essendo grossolanamente specifico funziona per la matematica di questo, tuttavia, l'amico di OP ha sbagliato perché l'obiettivo del test non era essere pedante, ma spingere un requisito politico.Quella politica non era intorno alla teoria della forza della password entropica, era convincere le persone a non scegliere "123456" e pensare che fosse una buona cosa.
@ShaneAndrie La domanda era "Quale delle seguenti opzioni renderebbe la password più sicura?", Non "Quale criterio per le password indurrà gli utenti a scegliere in media password più sicure?".Inoltre, puoi facilmente creare accidentalmente password secondo l'opzione `c` che non fanno parte dei milioni di password più popolari.Gli utenti sono molto meno inclini a creare accidentalmente una password che non fa parte del milione di password più popolari se devono rispettare solo l'opzione `b`.Dovrebbe sempre essere verificato se una password è una delle milioni più popolari dal servizio.
@UTF-8 E sono d'accordo.E se lo leggiamo in modo specifico, non possiamo rispondere a queste domande, perché non lo facciamo se A) il set di caratteri è limitato alla persona che crea la password, o anche il sistema, e B) le persone che creanoparola d'ordine.Sto solo sostenendo che le risorse umane non la pensano in questo modo, e nemmeno la persona che ha scritto la domanda.
@UTF-8 Non riesco a creare quel carattere sulla mia tastiera statunitense tranne che per Windows Alt + ... per i caratteri CP439 e Linux Ctrl + Maiusc + U + ... per i punti di codice Unicode.
@ShaneAndrie Il loro obiettivo è sbagliato, quindi.Non dovrebbero indurre la gente a pensare "Pa $$ w0rd" invece di "password";dovrebbero indurre le persone a pensare "questa è una passphrase e non puoi indovinarla" invece di "password", il che funzionerebbe in modo molto più efficace verso il loro obiettivo _real_.
Pensi davvero che quando le persone tentano di decifrare una password, eseguono ogni carattere in ASCII?Questo è davvero ciò di cui si preoccupa.Qualunque cosa diversa da <4 numeri o una parola facilmente indovinata è già più sicura del tuo conto bancario in termini di * password di input dell'utente *.In termini di cracking, divergere da alpha-num è un enorme vantaggio per la sicurezza.
Shane Andrie
2016-10-07 01:51:24 UTC
view on stackexchange narkive permalink

Adoro le domande sull'entropia:

La risposta breve:

Sì, sei "tecnicamente" corretto sull'avere più entropia (il miglior tipo di ).

La risposta lunga

L'entropia è fattorizzata principalmente da due cose. Numero di simboli che una password può utilizzare e lunghezza. Nello scenario del NHS, sarebbe logico che "caratteri speciali" siano simboli disponibili da utilizzare nella risposta a 10 caratteri e quindi, più lunga è una password, maggiore è l'entropia e teoricamente più sicura.

TUTTAVIA, abbiamo a che fare con le persone e siamo pigri. La domanda sta cercando di convincere le persone a includere caratteri speciali nella loro password perché forza l'entropia.

Senza di essa, il fumetto di Randall è matematicamente corretto, pur essendo sfacciato, ma qualsiasi amministratore di sistema che ritenga corretto il caricatore di batteria del cavallo è una buona password perché deve essere schiaffeggiato a lungo, perché è stato nelle mie tabelle arcobaleno per un mentre.

Per essere onesti, penso che prendere quattro parole del dizionario e metterle insieme sia un buon concetto (che è ciò che chiamiamo una passphrase), tuttavia le persone come ho detto sono pigre e probabilmente si innamoreranno di schemi comuni.

Grazie per questo.Esistono prove che le persone costrette a utilizzare caratteri speciali conducano effettivamente a password più imprevedibili?Perché direi che qualcuno che è costretto a inventare una password di 10 caratteri, senza altre regole, potrebbe benissimo produrne una più difficile da indovinare di qualcuno che è costretto a inventarne una di 7 caratteri che include caratteri speciali.Questa è la vera domanda qui.
E per la cronaca, nella mia squadra usiamo "la graffetta corretta della batteria del cavallo" in un paio di punti;).Luoghi in cui non pensiamo ci sia bisogno di una password in primo luogo ...
Al contrario, consentire alle persone di selezionare le password è orribile.Tendiamo a usare mnemonici e un elenco non molto ampio di modelli.Questo ci rende facili da profilare e quindi facili da indovinare.La fisiologia delle password è una cosa ed è uno dei motivi per cui i certificati sono pesantemente spinti.
@RobinWinslow Preferirei pensare che le parole inglesi di 10 lettere rappresenterebbero una grande proporzione delle password scelte mentre gli utenti si sforzano di renderle memorabili piuttosto che imprevedibili
Luis Casillas
2016-10-07 01:42:07 UTC
view on stackexchange narkive permalink

Sia il test citato che i tuoi argomenti contrari sono sbagliati, fondamentalmente perché l'entropia è una misura della casualità di una password, non la lunghezza, non la dimensione dell'alfabeto. Lo schema del fumetto XCKD che citi è sicuro al livello di sicurezza dichiarato di 44 bit se e solo se le 44 caselle grigie sotto "graffetta corretta della batteria del cavallo" rappresentano i risultati dei lanci di monete (o uniformi simili, eventi casuali indipendenti) utilizzati per selezionare le password. Se un umano ha scelto le parole, tutte le scommesse sono perse.

Dato che né l'NHS né tu parli di questo fattore critico, è impossibile dire qualcosa di concreto sulla sicurezza delle password, a parte il caso in cui non lo siano scelti in modo uniforme a caso, è probabile che siano deboli.

Mi sembra di capire che di regola, estendere la lunghezza della password aggiunge più entropia che espandere l'alfabeto.

Se d è la dimensione dell'alfabeto e n è la lunghezza della password, una password scelta in modo uniforme a caso ha log2 ( d) * n bit di entropia. Raddoppiando la dimensione dell'alfabeto quindi si aggiungono n bit di entropia; l'aggiunta di un simbolo in più alla password aggiunge i bit di log2 (d) . Quindi tutto si riduce ai valori concreti di d e n ; non ha davvero senso avere una regola empirica come quella che stai proponendo lì poiché possiamo semplicemente calcolare gli aumenti in modo semplice.

Questo sembra inutilmente pedante.Sono consapevole che l'entropia riguarda la casualità, ma mi chiedo quale sia una politica migliore.Stai davvero dicendo che non ha senso avere alcuna politica per le password a parte "usa un generatore casuale"?
Inoltre, se un'equazione include "x" * alla potenza di * "y", è abbastanza chiaro che gli aumenti di "y" avranno una maggiore influenza sulla grandezza.
@RobinWinslow: Il punto è che, a meno che non introduciamo la casualità nell'equazione, non abbiamo davvero alcun motivo di credere che nessuna di queste politiche sarà effettivamente sicura.Discutere tra queste alternative quando gli umani scelgono le password manca la foresta per gli alberi.
@RobinWinslow: se prendiamo 2 ^ 2 come punto di partenza, è banale osservare che 3 ^ 2> 2 ^ 3.E il punto più importante è che non c'è bisogno di generalizzare quando si hanno esempi concreti da cui si può semplicemente calcolare.
Sapevo che saresti tornato da me con un caso estremamente selezionato in cui la potenza faceva meno differenza.Grazie per aver espresso la tua pedante osservazione.Non è utile e non risponde alla domanda.
Non c'è niente di pedante con questa risposta, e risponde alla tua domanda.Se c'è qualcos'altro che vuoi sapere, penso che devi essere più chiaro al riguardo nella tua domanda.
@RobinWinslow: Ma gli esempi di NHS che hai citato mostrano un'apparente * lineare * crescita delle lunghezze delle password (5, 6, 7, 10) rispetto a un * esponenziale * aumento delle dimensioni dell'alfabeto (26, 52, 95).Quindi la regola pratica secondo cui "x ^ y" cresce più velocemente su "y" che su "x" rischia di fuorviarti in questo esempio.E ancora, fare i conti è abbastanza semplice da non dover ricorrere a regole pratiche.
Questo è così ovviamente sbagliato!Per prendere anche il caso peggiore degli esempi forniti - "95 ^ 7 = 6.983373e + 13", mentre "26 ^ 10 = 1.411671e + 14".Anche con un set di caratteri * notevolmente * più grande (che è improbabile che sia effettivamente il caso in termini pratici), la lunghezza maggiore vince.
@RobinWinslow Una password mista di sei lettere è "migliore" di una password di sette lettere minuscole.Solo un esempio.
@RobinWinslow È pedante, ma in realtà dovrebbe esserlo.Il punto che il fumetto che hai incorporato stava facendo non è solo quella lunghezza è il re (che di solito è), ma anche che l'intuizione può essere fuorviante.Le password che sembrano buone potrebbero non esserlo e le password che sembrano facili da indovinare potrebbero in effetti essere abbastanza sicure.Tutte le regole pratiche a un certo punto vengono meno.(In effetti, in xkcd, "la graffetta corretta della batteria del cavallo" è in realtà una password di lunghezza 4 da un vocabolario molto ampio.) L'unico modo infallibile per determinare la qualità della password (o più precisamente, la qualità del metodo di generazione della password) è * farela matematica*.
@Ray: La tua osservazione che "la graffetta corretta della batteria del cavallo" è una password di lunghezza 4 da un grande set di simboli è azzeccata.Ma mina la tua precedente affermazione che il punto del fumetto è (parzialmente) che "la lunghezza è il re" (o di solito così).
@LuisCasillas Da qui il bit "o di solito così".Un vocabolario di 2048 elementi è (a malapena) sufficiente per rendere rilevante la dimensione del vocabolario.Ma semplicemente passare da un vocabolario di dimensione 52 (nell'opzione B) a uno di ~ 80 (nell'opzione C) non è nemmeno vicino all'importo necessario prima che la lunghezza cessi di essere il fattore dominante.Il mio punto chiave è "Fai sempre i conti quando possibile".A sostegno di ciò, ho sottolineato il fatto che anche il consiglio (complessivamente abbastanza buono) di xkcd ha aspetti non intuitivi.
coteyr
2016-10-10 23:11:20 UTC
view on stackexchange narkive permalink

Ecco il punto, piaccia o no, questa domanda non riguarda il laboratorio o le password matematicamente più sicure. Si tratta di indurre le persone a "pensare" alle proprie password quando le scelgono.

a. Non è corretto perché contiene solo lettere.
b. è sbagliato perché contiene solo lettere
c. è corretto perché è abbastanza lungo e include "caratteri speciali"
d. è sbagliato perché contiene solo lettere.

O, in altre parole, le password che utilizzano solo lettere sono cattive.

Ora, è vero che puoi creare una password più sicura utilizzando solo lettere se è abbastanza lunga o abbastanza casuale . Burbero "asefhesesnh" è meglio di "p4ssw0rd!", Ma ad essere onesti questa è una comprensione al di là della maggior parte delle persone nel pubblico di destinazione di questo test.

Invece è "meglio" far capire agli utenti di scegliere una password "più lunga" e composta da lettere, numeri e caratteri speciali.

In altre parole C è corretto quando parli di una vasta gamma di utenti con diversi livelli di abilità tecniche, creando le proprie password. Certo, la matematica potrebbe essere sbagliata, ma non importa. Nessun provider si siederà lì e scoprirà l'entropia della password, ma può contare il numero di $ in una password.

"In 20 anni di impegno, abbiamo addestrato con successo tutti a utilizzare password difficili da ricordare per gli esseri umani, ma facili da indovinare per i computer"
"C è corretto quando (Sic.) Parli di un'ampia gamma di utenti con diversi livelli di abilità tecniche, creando le proprie password" - la maggior parte degli esperti qui sembra non essere d'accordo.Hai delle prove?
@RobinWinslow Devo ancora vedere un esperto in disaccordo.L'argomento proposto è l'entropia, qualcosa di cui un normale utente non è nemmeno consapevole o può persino definire.Non puoi creare una regola per la password come "La tua password deve contenere almeno 40 bit di entropia" e aspettarti che la maggior parte degli utenti finali la "ottenga".Tuttavia, puoi impostare alcune linee guida di base e questo test è conforme alle linee guida.
praticamente tutti gli altri hanno detto che C è una cattiva risposta (oltre a dire che la domanda in generale è cattiva, e la casualità è la soluzione migliore ecc.).Credo che anche quando hai a che fare con persone reali nel mondo reale, se dici loro di inventare una password di 10 caratteri con solo lettere, ne produrrà una che è più difficile da indovinare per una macchina che se gli dici di inventare7 caratteri inclusi caratteri speciali."lazypsycho" è meglio di "Daphne!".
Come ho detto, se hai qualche prova per contraddire (o, anzi, confermare) la mia convinzione qui, sono estremamente interessato a vederla.
Il punto è che non si tratta di una singola password complessa.Si tratta di convincere un gruppo di persone disinteressate a scegliere password migliori.Come spiegheresti a un gruppo di 20 persone non tecniche come scegliere una password?Ora come lo faresti in meno di 15 secondi?
Non ci sono malintesi qui: abbiamo lo stesso identico obiettivo, siamo solo in disaccordo.Il punto è che ognuno del tuo gruppo di 20 persone non tecniche avrebbe trovato una password più forte di 10 caratteri di sole lettere rispetto a una password di 7 caratteri che include caratteri speciali.Principalmente perché metterebbero tutti esattamente 1 carattere speciale, alla fine, che è probabilmente un punto esclamativo, un punto interrogativo o un punto.Come ho detto, se hai prove per confutare questa ipotesi, sono tutt'orecchi.
lazypsycho!è meglio quindi lazypsycho (notare che le 3 risposte sbagliate non includono punteggiatura) anche se non di molto.
https://www.betterbuys.com/estimating-password-cracking-times/ prova entrambe le opzioni.Penso che il loro estimatore sia decisamente sbagliato, a causa del fatto che ignora dizionari e schemi ma ... Di nuovo, persone disinteressate,
È una buona risorsa.Grazie.E abbastanza sicuro, "Daphne!"= 1 mese 3 settimane, mentre "lazypsycho" = 4 mesi, 3 settimane.Ovviamente "lazypsycho!"è meglio di "lazypsycho", è un gioco da ragazzi.
Nel mondo reale, il requisito "c" produrrà una password composta, nell'ordine, da una lettera maiuscola, quattro lettere minuscole, una cifra e un simbolo di punteggiatura.Inoltre, la cifra sarà generalmente un "1" e la punteggiatura sarà un punto, un punto esclamativo o un punto interrogativo.Il risultato complessivo sarà una complessità dell'ordine di 26 ^ 5, ovvero circa dodici milioni di possibili password.
@Mark Chiaramente la soluzione a questo problema è che dobbiamo stabilire una regola che il numero non deve essere un 1, e non deve essere all'inizio o alla fine della password. Questo risolverà il problema, ci puoi scommettere.
RocketNuts
2016-10-11 14:07:37 UTC
view on stackexchange narkive permalink

L'opzione b ti offre 52 possibilità per carattere.

Perché c sia migliore, ognuno dei 7 caratteri deve avere più di 52 10/7 = almeno 283 possibilità.

Ciò significa che i set di caratteri ASCII o ANSI occidentali non saranno sufficienti. Dovrebbero consentire il set di caratteri Unicode (o alcune pagine codici ANSI asiatiche molto arcane) affinché l'opzione c sia migliore.

È ovviamente una domanda mal formulata. Ci sono 62 numeri e lettere (maiuscole + minuscole) quindi la risposta corretta sarebbe:

c se "caratteri speciali" significa che posso usare caratteri Unicode o qualsiasi altro set di caratteri che contenga almeno 221 caratteri non alfanumerici (ovvero "speciali"), altrimenti b.

Tranne per il fatto che chiunque cerchi di decifrare una password la eseguirà attraverso un alpha-num abbastanza esteso prima di preoccuparsi di caratteri speciali.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...