نوشته‌شده در

چگونه تکرار شخصیت آنتروپی رمز عبور را تحت تاثیر قرار می دهد؟

آنتروپی رمز عبور براساس تعداد ترکیبات احتمالی است.
برای الگوی کاهش آنتروپی، الگوی باید به مهاجم شناخته شود. [1965،9002] اگر الگوی ثابت و شناخته شده نباشد، کاهش پیچیدگی به الگوریتم مهاجم اختصاص خواهد یافت. برای مهاجمان مختلف متفاوت خواهد بود. به عنوان مثال، با یک حمله فرهنگ لغت، پیچیدگی موثر برای واژه های فرهنگ لغت، اندازه فرهنگ لغت است، برای لغات از واژه لغت کامل پیچیدگی نیروی شدید.

من نمی دانم که آیا الگوریتم بهینه ریاضی برای تکرار نامه ها وجود دارد یا می تواند باشد. ساده ترین راه حل که می توانم بکنم این است که تکرار نمادین، تا یک تکرار N، به عنوان گرافهای اضافی، درمان شود. در این حالت، قدرت رمز عبور تعداد عباراتی که در آن وجود دارد، خواهد بود.

در برابر چنین الگوریتمی، قدرت افزوده هر نماد پی در پی از علامت های دوم تا نهم 0 است و معادل آن با گرافیتی دیگر تا 2N است. اما چنین الگوریتمی به دلیل مجموعه ای از کاراکترهای مؤثرتر، در برابر کلمات عبور تصادفی کندتر خواهد بود. به عنوان مثال، بررسی تکرارهای دوگانه برای هر نماد، سرعت آن را با ضریب 2 ^ (طول -1) کاهش می دهد. اما در برابر یک رمز عبور که تمام علامت های دوگانه است، سرعت آن فقط به یک ردیف مربع از پیچیدگی بالا بهبود خواهد یافت.

اگر لازم است که راندمان نیروی بی رحمانه آسیب نبیند، نیشگون گرفتن آزاد همیشه شروع به انتخاب آخرین گرافیت را به عنوان برابر با قبلی قبول می کند. در این حالت، قدرت افزوده از اول (برای طول متغیر) یا تمام نمادهای تکرار در انتهای (برای طول ثابت) 0 است.
انجام این کار در وسط یک نیشخند آزاد است.

به طور خلاصه، در برابر یک الگوریتم به منظور انتخاب رمزهای عبور با کاراکترهای مکرر بهینه شده است، قدرت رمز عبور می تواند باشد تخمین زده می شود که همه رقم های متوالی را از اول به دست می آورند تا طول موثر L را بدست آورند. آنتروپی تئوری تقریبا (charset * N) ^ L 'است، جایی که N حداکثر تعداد تکرارهایی است که مهاجم برای آن آزمایش می کند.

در برابر یک الگوریتم بهینه شده برای کارایی نیروی بی رحم، تنها رقم های متوالی در انتها باید کاهش یافته است. آنتروپی تئوری با یک الگوریتم ساده و ساده می تواند charset ^ (L'-1) * (charset + N) باشد. هر الگوریتم عملی برای بسیاری از پسوندها در حال آزمایش است، هر چند (گذرواژه ها اغلب به "1" یا "1!" برای دور زدن قوانین پیچیدگی پایان می دهند).

این همه مربوط به الگوریتمی است که مهاجم از آن استفاده می کند. واژه نامه ها، از جمله لیست های رمز عبور نشت شده، به طور کلی برای اولین بار مورد آزمایش قرار می گیرند.

نوشته‌شده در

هشدار رمز عبور: حافظه کلمه عبور ذخیره نشده است که برای رمزگشایی رمز عبور طراحی نشده است

من در مورد راه هایی که ممکن است در وبلاگ من اتفاق بیافتد، حدس زدم، اما موضوع مهم این است که رمز عبور شما توسط سرور به عنوان متن ساده دریافت می شود. (بله، آن را در یک جریان TLS است، اما قبل از اینکه به لایه کاربرد منتقل شود، رمزگشایی شده است.) بسیار احتمال دارد که نوعی کد اشکال زدایی به طور تصادفی فعال شود و در نتیجه درخواست HTTP، RPC بین سرویس های میکروسافت یا برخی دیگر فرم محصول متوسط ​​

این (به احتمال زیاد) «ورود به سیستم رمز عبور» را نمی دهد، بلکه بیشتر شبیه «اجازه می دهد که این درخواست های serialized JSON را به سرویس های backend وارد کنیم» و یکی از این سرویس ها به عنوان پشتیبان احراز هویت بود.

نوشته‌شده در

آیا داشتن یک هش رمز عبور صلح باعث خراب شدن هش یکسان از رمز عبور مشابه شده است؟

اگر شما هش پارس چندگانه را با همان نمک ذخیره می کنید، هدف از استفاده از نمک را شکست می دهید. نمک باید برای هر یک از رمز عبور منحصر به فرد باشد، در غیر این صورت حمله کننده میتواند فقط یک بار برای هر نامزد رمز عبور H (password || salt) را محاسبه کند و هضم حاصل را در مقایسه با هر هش در پایگاه داده خود، زیرا همه آنها از همان نمک استفاده می کنند. .

همچنین، همانطور که در نظرات اشاره شده است، شما به نظر می رسد که پارامتر هزینه برای چیز دیگری گیج کننده است. "10" مشخص می کند که چه مقدار عملیات bcrypt را محاسبه می کند. مقدار بزرگتر هزینه را برای مهاجمان افزایش می دهد، زیرا این عملیات را به میزان قابل توجهی در محاسبات انجام می دهد.

اگر بخواهید رمزهای عبور تکراری را بررسی کنید، نیازی نیست که یک برنامه homebrew مانند این را داشته باشید. اگر واقعا میخواهید، می توانید رمز عبور ارائه شده را با هم تلفیق کنید و با استفاده از نمک کاربر اول، آن را هش کنید و آن را با هش ذخیره شده مقایسه کنید. اگر آن را مطابقت ندهد، همین کار را برای کاربر دوم انجام دهید و غیره. این بدان معنی است که هر گذرواژه جدید تنظیم شده، نیاز به راه رفتن را از طریق کل پایگاه داده دارد، اما رمزهای عبور را که دقیقا تکثیر هستند شناسایی میکند.

نوشته‌شده در

آیا امکان ارسال یک کاربر به یک رمز عبور به طور تصادفی ایجاد شده در حالی که هنوز هم آن را امن ذخیره می کنید؟

توجه: من می دانم که بسیاری از سوالات مشابه در مورد ذخیره کلمات عبور وجود دارد، با این حال، من این را ارسال، زیرا معتقدم که آن را از سوابق ذخیره سازی رمز عبور موجود به اندازه کافی متفاوت است، زیرا این سرویس خاص به جای کاربر (عذرخواهی برای متن عجیب و غریب، پس از خواندن سوال بعد از خواندن سوال بعد از نوشتن این یادداشت پس از آن، بعد از خواندن آن توجه بیشتری خواهد شد)

متوجه شدم که سرویس VPN من استفاده می کنم (PIA) در لیست متخلفان متن ساده است، شکی نیست که آنها چنین کاری را انجام می دهند با توجه به این که در غیر این صورت به طور کامل به حریم خصوصی و امنیت متعهد می شوند.

آنچه که می دانم این است که: الف) وقتی که من ثبت نام کردم، رمز عبور خود را در ایمیل فرستادم؛ ب تولید شده (به صورت تصادفی) و از نظر چشم انداز قدرت رمز عبور امن است. (هنگام ثبت نام یک رمز عبور را وارد نکردم، آنها به من یک رمز عبور دادند که من می توانستم آن را تغییر دهم).

در اینجا چیزی است که فرض می کنم:

  1. ثبت نام کاربر
  2. ایجاد یک رمز عبور
  3. پست الکترونیک رمز عبور
  4. رمز عبور را هش کنید و آن را ذخیره کنید

با توجه به امنیت روش انتقال (ایمیل)، من می خواهم بدانم که آیا چیزی شبیه آنچه که در بالا ذکر شد، امکان معقولی برای امنیت راهی برای اداره گذرواژهها

ویرایش: در پاسخ به یک نظر، من میخواهم روشن کنم که منظورم این است که آیا راهی وجود دارد که سرویس بتواند یک جریان مانند بالا را اجرا کند این بدون راه حل های بسیار زیاد امن است

نوشته‌شده در

رمزگذاری دیسک – توصیه برای تغییر رمز عبور رمزگذاری شده درایو

توصیه های فراوانی برای تغییر فرکانس های کاربران وجود دارد، و من فکر می کنم اخیرا توصیه NIST "هیچ حداقل زمان برای تغییر رمز عبور" (من ممکن است اشتباه نقل قول). آیا توصیه ها و منطق پشت آن برای passphrases درایو رمزگذاری شده است؟

به عنوان مثال، LUKS cryptsetup دارای چند سطر برای عبارات عبور شخصی است که هر کدام می توانند کلیدی اصلی برای درایو را رمزگشایی کنند. اسناد زیادی در وجود دارد که برای تغییر عبارت عبور: یک عبارت عبور جدید را به یک ظرف بدون استفاده اضافه کنید، تأیید کنید که آن کار می کند، و سپس حذف / رونویسی کد قبل از کلمه عبور قبلی. اما من نمیتوانم اسنادی را پیدا کنم که نشان دهد که چطور این باید انجام شود.