¿Cómo tienen la contraseña Tr0ub4dor & 3 ~ 28 bits de entropía? [duplicar]

Navega tus respuestas
1

Recientemente he visto esto:

Nopuedoentendercómocalcula28bitsdeentropíaparaunacontraseñacomo"Tr0ub4dor & 3" parece muy poco ...

    
pregunta snoob dogg 10.08.2017 - 22:33
fuente

2 respuestas

2

Está modelando la contraseña como la salida de un algoritmo aleatorio similar a este:

  1. Elija una palabra de manera uniforme al azar de un diccionario con 65,536 (= 16 bits) palabras. (Asumimos que el atacante conoce el diccionario).
  2. lanzar una moneda (= 1 bit); Si sale cara, cambia la mayúscula de la primera letra de la palabra.
  3. Para cada vocal en la palabra, lanza una moneda; si aterriza cabezas, sustituye la vocal con su "sustitución común". Munroe está simplificando aquí al suponer que las palabras en el diccionario suelen tener tres vocales (por lo que obtenemos un total de ~ 3 bits).
  4. Elija un número (~ 3 bits) y un símbolo de puntuación (~ 4 bits) al azar. Lanzar una moneda (= 1 bit); si sale cara, agregue el número a la contraseña primero y luego al símbolo; Si son colas, agréguelas en el otro orden.

La entropía es una función de las elecciones aleatorias realizadas en el algoritmo; lo calcula identificando qué elecciones aleatorias realiza el algoritmo, cuántas alternativas hay disponibles para cada elección aleatoria y la probabilidad relativa de las alternativas. He anotado los números en los pasos anteriores, y si los sumas obtienes un total de aproximadamente 28 bits.

Puedes ver que el procedimiento de Munroe no es una ciencia dura de ninguna manera, pero tampoco es una estimación irrazonable. Está practicando el arte de la estimación rápida y sucia, que a menudo demuestra en su trabajo, no necesariamente obteniendo el número correcto, sino formando una idea rápida de su magnitud aproximada.

    
respondido por el Luis Casillas 11.08.2017 - 00:40
fuente
1

Cada cuadrado pequeño es un poco de entropía que se está contabilizando.

  • 16 bits para la palabra solo
  • 1 para la primera letra: ¿mayúsculas o no?
  • 1 por cada sustitución de O y 0, A y 4
  • 4 por usar un símbolo que no es tan común
  • 3 para usar un número
  • 1 para el orden desconocido de símbolo + número o número + símbolo.

Hay algún razonamiento al respecto. Por ejemplo, cuando la contraseña requiere mayúsculas, casi todos ponen las mayúsculas en la primera letra. Por lo tanto, no se obtiene mucho más que un poco de entropía.

    
respondido por el woliveirajr 10.08.2017 - 22:43
fuente

Lea otras preguntas en las etiquetas

¿Por qué funcionó ChangeChiperSpec Drop? mifare desfire ev1 security con wiegand y rs485