Cita de experto en entropía para una contraseña que no se puede rastrear

Tomemos un crack diferente desde una perspectiva monetaria en lugar de una perspectiva física. Skylar Nagao en Peerio declaró que :

  

En un 2014    documento de investigación sobre la memorización de contraseñas, investigadores de seguridad Joseph   Bonneau (Stanford) y Stuart Schechter (Microsoft) estimaron el costo   de un ataque basado en el pago anual total a los mineros de bitcoin en   2013.

     

"En 2013, los mineros de Bitcoin realizaron colectivamente ≈ 2 ⁷⁵ hash SHA-256 a cambio de recompensas de bitcoin por un valor de US $ 257M ... este es el   solo operación públicamente conocida que realiza más de 2 ⁶⁴   Operaciones criptográficas y por lo tanto proporciona la mejor estimación.   disponible. Incluso suponiendo que un esfuerzo centralizado podría ser un orden de   Magnitud más eficiente, esto todavía nos deja con una estimación de   US $ 1M para realizar un 2 ⁷⁰ evaluaciones SHA-256 y alrededor de US $ 1B para 2 ⁸⁰   evaluaciones. "

     

Aquí tenemos la contraseña de mil millones de dólares.   estimación - incluso para un atacante estatal centralizado, costaría aproximadamente   $ 1 mil millones de dólares estadounidenses para calcular 2 funciones hash SHA-256 ⁸⁰ sobre el   curso de un año. Esto es como decir que costaría $ 1 mil millones de dólares a   intente 2 ⁸⁰ combinaciones de bloqueo durante un año. Dado que un atacante sería   "Probable" para adivinar correctamente con solo una suposición después de la mitad del camino   punto, Peerio usa un estándar mínimo de 81 bits (2 ⁸⁰ dos veces) para nuestro   frases generadas por computadora. Elegimos este estándar porque   quería asegurarse de que incluso un atacante a nivel estatal necesitaría perder $ 1   mil millones de dólares estadounidenses para tener incluso la posibilidad de lanzar una moneda de romper una   Frase de contraseña de Peerio.

Se estima que una contraseña de 81 bits tiene un costo de 1 billón y es probable que se descifre, por lo que Peerio considera que es "imposible de encontrar". En términos sencillos, 81 bits funcionaría con 17 letras minúsculas aleatorias, 13 caracteres aleatorios de un teclado de EE. UU. O 7-8 palabras elegidas al azar de un diccionario.

Se admite que hay muchos detalles técnicos como precios, niveles de riesgo y algoritmos de hash. Tal vez las contraseñas se hashed mucho, mucho más fuertemente con bcrypt. Quizás estas cifras estén desactualizadas y sean más modernas costos mineros o los últimos datos de ingresos mineros ponen los hashes / dollar tan altos como 10 < sup> 16 hashes / dollar. Tal vez Bitcoin no sea la mejor comparación debido a las diferencias de mercado o las diferencias de hardware. Al final del día, todavía tenemos un orden de magnitud para el costo más bajo de hash a escala.

Incluso si un estado-nación o un millonario armaron una granja para romper hachas del tamaño de Bitmain's Ordos mine , todavía tardan meses en tener una buena oportunidad de encontrar su contraseña de 80 bits de un hash inseguro, y tirar millones o incluso miles de millones de dólares en costos y pérdida de ingresos potenciales. Si cualquier gobierno pudiera alcanzar mil millones de disparos por segundo, apuesto a que tienen mejores cosas que hacer con esa máquina de hacer dinero que descifrar su contraseña de 81 bits su .

Si estamos hablando de garantías y defensa contra adversarios increíblemente poderosos, es importante tener en cuenta que hay muchas formas de sortear una contraseña que no se puede descifrar. Los métodos incluyen secuestro de sesión, ataques MITM, vulnerabilidades de restablecimiento de contraseñas, registradores de teclas, solicitud de acceso al sitio web / administrador y phishing. Aunque algunas amenazas como la manipulación física de su computadora pueden parecer absurdas, son más razonables que un esfuerzo de descifrado de contraseñas de mil millones de dólares ( xkcd relevante ) .

Hay una cita para usted en esta respuesta crypto.SE , por Bruce Schneier en Criptografía aplicada (1996), pp. 157-8.

También puede encontrar a Bruce Schneier citándose en su blog (2009), Si quieres una cita en línea.

Aquí está la cita completa, en caso de que se rompan los enlaces:

  

Una de las consecuencias de la segunda ley de la termodinámica es que una   Cierta cantidad de energía es necesaria para representar información. A   registrar un solo bit cambiando el estado de un sistema requiere una   cantidad de energía no inferior a kT, donde T es la temperatura absoluta   del sistema yk es la constante de Boltzman. (Quédate conmigo; el   La lección de física casi ha terminado.

     

Dado que k = 1.38 × 10 ^-16 erg / ° Kelvin,   y que la temperatura ambiente del universo es 3.2 ° Kelvin, un ideal   la computadora que funciona a 3.2 ° K consumiría 4,4 × 10 ^-16 ergs cada vez que   establecido o borrado un poco. Para ejecutar una computadora más fría que la cósmica.   La radiación de fondo requeriría energía extra para hacer funcionar una bomba de calor.

     

Ahora, la producción de energía anual de nuestro sol es de aproximadamente 1.21 × 10 ⁴¹ ergs. Esta   es suficiente para poder sobre   2.7 × 10 ⁵⁶ cambios de un solo bit en nuestra computadora ideal; suficientes cambios de estado para poner un contador de 187 bits a través de todos sus valores. Si construimos un   Dyson esfera alrededor del sol y capturó toda su energía para 32   años, sin ninguna pérdida, podríamos alimentar una computadora para contar hasta   2 ¹⁹² . Por supuesto, no le quedaría energía para realizar cálculos útiles con este contador.

     

Pero eso es solo una estrella, y una   miserable en eso. Una supernova típica libera algo así como 10 ⁵¹   ergios (Cerca de cien veces más energía sería liberada en el   forma de neutrinos, pero déjalos ir por ahora.) Si toda esta energía   Podría ser canalizado en una sola orgía de cómputo, un 219 bits   contador podría ser ciclado a través de todos sus estados.

     

Estos números tienen   nada que ver con la tecnología de los dispositivos; ellos son los   Máximos que permitirá la termodinámica. Y ellos implican fuertemente que   Los ataques de fuerza bruta contra claves de 256 bits no serán factibles hasta   Las computadoras están construidas a partir de algo más que materia y ocupan   algo distinto del espacio .

Actualización: Si desea una cita para evaluar la solidez de una contraseña generada aleatoriamente, puede usar este sitio web que se actualiza regularmente con recomendaciones hechas por diferentes institutos. Una contraseña aleatoria es equivalente a una clave simétrica, por lo que este es el valor que está buscando. (Aquí hay un enlace de la máquina wayback , si este sitio web se cerrara. )

ACTUALIZACIÓN:

Un video de YouTube realmente bueno que explora este tema es:

¿Qué tan segura es la seguridad de 256 bits? por 3Blue1Brown

No tengo una cita ni una fuente original, pero a menudo respondo preguntas como esta con una reducción de energía. El argumento es el siguiente: supongamos que un día la humanidad puede hacer que los procesadores alcancen algún límite de eficiencia física. Luego, calcule la cantidad de electricidad que necesitarían esos procesadores para descifrar la contraseña, luego calcule la cantidad de estrellas del tamaño del sol que necesitaría consumir para producir tanta electricidad. Versión corta: para descifrar una de las contraseñas aleatorias de 32 caracteres de un administrador de contraseñas, está considerando consumir como 2x10 ¹⁵ solo en costos de electricidad. Por ejemplo, vea mis respuestas recientes aquí:

¿Debo variar la longitud de mis contraseñas completamente aleatorias para la mejor seguridad?

y aquí

¿Por qué la fuerza bruta de la contraseña en lugar de la clave directamente?

Realmente no estoy seguro de dónde obtuve la idea originalmente, pero podría darte un punto de partida para buscar en Google una fuente que pueda citarse.

Recuerde también que cuando se habla de "contraseñas" en el público en general, debe tener mucho cuidado de enmarcarlas como "contraseñas al azar de un administrador de contraseñas". Si permite a los usuarios elegir sus propias contraseñas, entonces la longitud es más o menos irrelevante porque los humanos eligen contraseñas estúpidamente predecibles, por ejemplo, este artículo:

Cómo romper el 30 por ciento de contraseñas en segundos

Estoy de acuerdo con lo que otros han escrito. Como información adicional, vea esta charla (relativa) reciente en Argon2 . Una página (diapositiva n. ° 8) ofrece una cita relativamente reciente sobre los efectos de los avances en hardware en la fuerza práctica de las contraseñas bajo ataques de fuerza bruta. A saber

  

Los ataques de fuerza bruta (como las suposiciones clave) son más eficientes en   Hardware personalizado: múltiples núcleos informáticos en ASIC grandes. Práctico   Ejemplo de hash SHA-2 (Bitcoin):

     

• 232 hashes / joule en ASIC;
  
• 217 hashes / joule en la computadora portátil.
  

Consecuencias:

     

• Las claves pierden 15 bits
  
• Las contraseñas se vuelven 3 letras minúsculas más cortas
  
• Los PIN pierden 5 dígitos
  

Los atacantes equipados con ASIC son la amenaza del futuro cercano. ASICs   tienen altos costos de entrada, pero también se emplean FPGA y GPU.

Esperamos que esto le brinde una perspectiva práctica y actualizada sobre la longitud 'efectiva' de tamaños de clave bajo ataques de fuerza bruta utilizando hardware moderno.