¿Cómo determinar cómo cambia la entropía cuando se usa mayúsculas, números y caracteres especiales en una frase de contraseña basada en un diccionario?

Navega tus respuestas
2

Sé las matemáticas generales detrás del uso de contraseñas / frases de contraseña basadas en caracteres y basadas en diccionarios y cómo determinar la entropía del resultado. Pero no tengo claro cómo agregar letras entrantes, números y otros caracteres o palabras a una frase de contraseña basada en un diccionario cambia la entropía.

Por ejemplo, al usar Diceware, una frase de contraseña de seis palabras me da 77.4 bits de entropía. Pero si ahora tuviera que hacer cambios simples en la frase, como usar letras mayúsculas, agregar números u otros símbolos, ¿cómo afecta eso a la entropía? (Ni siquiera sé si las letras mayúsculas son importantes porque son el mismo diccionario de palabras). ¿Puedo lograr 77 bits de entropía usando solo una frase de contraseña de cinco palabras y agregando algunos números y símbolos?

Del mismo modo, ¿qué sucede si agrego una palabra desde fuera del diccionario? ¿Eso simplemente hace que el diccionario sea una palabra más grande y, por lo tanto, realmente no cambia la entropía?

Gracias

    
pregunta William Kelley 16.09.2017 - 03:58
fuente

1 respuesta

3

Mientras tú:

  • realice dichos cambios de forma aleatoria o global (por ejemplo, poniendo en mayúscula cada palabra);
  • agrega todas de las palabras resultantes a su diccionario; y
  • continúa seleccionando palabras al azar para sus frases de contraseña

... entonces tu entropía simplemente aumenta con el número de palabras.

Pero si está haciendo algo no aleatorio y no global para transformar el texto, entonces está agregando complejidad para lo que su estricta entropía de Shannon es muy menos relevante que su entropía del "mundo real" (lo difícil que es romperla). Esto se debe a que su resistencia al agrietamiento dependería únicamente de la oscuridad de su método, que violaría El principio de Kerckhoffs y, por lo tanto, no se recomienda.

En mi opinión, es mucho mejor que agregue una palabra a la frase de contraseña o aumente el tamaño del diccionario (lo que ciertamente podría hacer al ajustar las palabras como sugirió, siempre que sea aleatorio o global).

Personalmente solo uso mayúsculas, sumo números, agrego puntuación, etc. a mis frases de contraseña para cumplir con los requisitos de complejidad ingenuos, y no cuento esto para la entropía efectiva de ninguna manera. Tratar de hacerlo aleatoriamente los hace demasiado difíciles de recordar (que es el punto entero de una frase de contraseña), así que realmente tengo un método (marque la primera letra y luego agregue "2" y "!" Al final).

Y como no confío en esos ajustes para aumentar la entropía, no soy tímido a la hora de revelar el método públicamente. Kerkhoffs estaría orgulloso. ;)

    
respondido por el Royce Williams 16.09.2017 - 08:13
fuente

Lea otras preguntas en las etiquetas

¿El secuestro JSON es diferente a la inyección JSONP? ¿Se reenvía OpenVPN a través de TLS?