128 bit (di entropia)

Lo scopo principale di una password più lunga è prevenire attacchi di forza bruta. È generalmente accettato che 128 bit sia al di là della capacità di chiunque di esercitare la forza bruta e rimarrà tale per il prossimo futuro. Vedi questa figura in alcuni punti, ad es. Le crittografie SSL con una lunghezza della chiave di 128 bit o superiore sono considerate "ad alta sicurezza" e OWASP consiglia che i token di sessione siano almeno 128 bit. Il ragionamento è lo stesso per tutti questi: 128 bit prevengono attacchi di forza bruta.

In pratica, se una password è composta da lettere maiuscole e minuscole, numeri e un po 'di punteggiatura, ci sono circa 6 bit di entropia in ogni carattere, quindi una password a 128 bit è composta da 22 caratteri.

Una password può essere compromessa in modi diversi dalla forza bruta. Forse è presente un keylogger sul sistema client o l'utente viene sottoposto a phishing. La lunghezza della password non fa quasi alcuna differenza per questi attacchi: anche una password a 1000 bit verrebbe acquisita allo stesso modo. E questi attacchi sono comuni nella pratica, quindi non vale davvero la pena usare password troppo lunghe.

In effetti, puoi cavartela con un po 'meno di 128 bit. Se la password è sottoposta ad hashing con una funzione hash lenta come bcrypt, ciò rende più difficile un attacco di forza bruta, quindi 100 bit (o giù di lì) prevengono completamente gli attacchi di forza bruta. Se sei interessato solo agli attacchi online e il sito ha una politica di blocco, puoi farla franca con meno ancora: i 64 bit impedirebbero completamente un attacco di forza bruta online con velocità limitata.

Una password può essere così lunga da non essere sicura? Sì.

Quando guardi al quadro generale della sicurezza nella tua organizzazione, sicurezza non significa solo "proteggere gli account con password difficili da indovinare". La sicurezza deve proteggere l'intera organizzazione con la "triade CIA" di riservatezza, integrità e disponibilità. Oltre una certa soglia di lunghezza della password, la riservatezza e l'integrità non migliorano statisticamente, mentre la disponibilità scende a causa della scarsa usabilità. Un sistema a cui non è possibile accedere è altrettanto non disponibile di uno inattivo.

Se costringi il tuo utente a digitare una password di 22 caratteri composta da lettere, numeri e simboli casuali e misti i tuoi utenti saranno più inclini agli errori. Considera che un utente potrebbe essere sotto stress per rispondere immediatamente a una situazione critica. Armeggiare con una password lunga può causare un blocco di 3 tentativi e richiedere all'utente così tanto tempo per il ripristino da non poter affrontare la situazione in modo tempestivo e il risultato è un disastro. Quella lunga password ha impedito la disponibilità; invece di proteggere l'organizzazione, ha causato danni.

Quanto tempo sprecano i tuoi utenti a inserire le password? Più lunga è la password, più lenta sarà l'inserimento. Sottrai quella spesa dalla linea di fondo. Fa parte del costo della sicurezza, denaro che avrebbe potuto essere speso altrove. Una password di 100 caratteri ti costerebbe più di una password di 20 caratteri, pur non fornendo una riduzione misurabile del rischio. Il tempo e il denaro sono risorse e una password troppo lunga li spende senza produrre vantaggi aggiuntivi.

Con tutto questo, sto sostenendo una scarsa sicurezza dei PIN a 4 cifre, in modo che gli utenti siano più veloci, più felici e meno errori? Ovviamente no. Quello che devi fare è bilanciare l'entropia fornita dalla password con la psicologia del suo utilizzo.

Sebbene la maggior parte degli utenti non sia in grado di ricordare una password di 12 caratteri composta da 70 lettere, numeri e simboli, potrebbe probabilmente ricordare una passphrase di cinque parole; quindi considera un approccio diceware per ottenere un'entropia simile. Cinque parole casuali ma familiari sono probabilmente più facili da ricordare e digitare rispetto a 12 simboli casuali, fornendo quintilioni di possibili combinazioni; sei parole diceware forniscono una sicurezza ancora maggiore rispetto alle password di 12 caratteri.

Se per qualche motivo devono essere caratteri, assicurati di sceglierli dal set di caratteri non ambigui. Non forzare l'utente a ballare sul tasto Maiusc o digitare simboli casuali. Se hai bisogno dell'entropia da una password di 12 caratteri casuali che attinge da [az] [AZ] [0-9] [! - *], puoi ottenere un livello simile di entropia usando solo [az] ed espandendolo a 15 caratteri .

Oppure prendi in considerazione altri strumenti, come l'autenticazione di token, biometria o smart card, e fai in modo che integrino un PIN più breve.

I sistemi di sicurezza devono essere utilizzabili o interferiscono con l'organizzazione a suo danno.

Le password sempre più lunghe non diventano insicure, ma a un certo punto smettono di diventarlo più sicure.

Sulla base dei presupposti che hai menzionato, sembra probabile che la password sia veramente casuale e memorizzata utilizzando bcrypt (memorizzazione delle password all'avanguardia). Bcrypt ha un limite di lunghezza compreso tra 50 e 72 caratteri, a seconda dell'implementazione. Quindi una password più lunga di quella non sarà consentita, hash utilizzando solo i primi N caratteri o qualcosa di simile. Fondamentalmente, più a lungo non sarà meglio (anche se non sarà peggio).

Si potrebbe anche sostenere che, una volta che la password è protetta da un attacco di forza bruta all'hash della password da ora fino alla fine del l'universo, rendere la password più lunga non la rende più sicura. Anche se fai ipotesi folli sull'hardware di un utente malintenzionato, una password veramente casuale con 20-30 caratteri sarà sicura fino alla fine dell'universo. Quindi, una password più lunga non sarà più sicura.

Un caso in cui una password più lunga può essere effettivamente più debole del previsto è con sistemi che troncano la stringa inserita come password. Considera

  passwordsogoodtahtittakestrillionyearstobreakitgoaheadtryme  

Questa password è estremamente valida ¹ tranne quando hai un sistema che la vede effettivamente come

  password  

perché accetta solo 8 caratteri. Il resto viene silenziosamente scartato, quindi digiti sempre passwordsogoodtahtittakestrillionyearstobreakitgoaheadtryme , il sistema accetta password e tutti sono contenti.
Compreso l'hacker che prova prima questa combinazione.

¹ _{sì, anche perché ha parole del dizionario che la rendono più facile da ricordare rispetto ad alcune inutili cifre maiuscole -specialchars triade promossa da consulenti di sicurezza con problemi matematici}

Vedo un paio di commenti che alludono a questo, ma nessuna risposta che lo indichi chiaramente, quindi lo aggiungerò qui.

Sì, c'è un limite alla lunghezza che puoi aggiungere a un password prima che non si ottenga più sicurezza se la password è sottoposta ad hashing (e speriamo che lo sia). Questo perché un utente malintenzionato non ha bisogno di conoscere la tua password, ha solo bisogno di conoscere una stringa che ha lo stesso output. Pertanto, se hai una password con più entropia dell'output dell'algoritmo hash, ci sarà quasi sicuramente una stringa più breve che produce lo stesso output a causa delle collisioni hash. A quel punto, non importa per quanto tempo impieghi la password, otterrai comunque solo la stessa entropia di output.

Questo ovviamente significa che l'attaccante dovrebbe forzare l'hash fino a quando non viene trovata una collisione, il che sarà praticamente impossibile per gli hash crittografici sicuri, ma hai chiesto un limite teorico, non pratico.

Il limite di Landauer specifica il numero massimo teorico possibile di modifiche a bit singolo che è possibile eseguire con una data quantità di energia. Supponiamo che tu abbia accesso alle 20 centrali elettriche più potenti del mondo, tutte funzionanti a piena capacità per 100 anni. Questo ti darebbe 5 * 10 ^ 20 Joule di energia con cui fare i tuoi calcoli. Supponiamo che tu abbia un computer moderno che richiede solo un milione di volte l'energia necessaria in teoria. Con così tanta energia, quel buon computer raffreddato a -270 gradi Celsius, le leggi della fisica dicono che potresti lavorare solo attraverso 2 ^ 124 combinazioni di input.

Se sei disposto a distruggere completamente l'intero pianeta , convertendosi con perfetta efficienza in energia, e avere un computer che funziona al limite di Landauer nuovamente raffreddato a -270 Celsius, quindi si potrebbero enumerare 2 ^ 213 possibili combinazioni di input.

Se in qualche modo riesci a distruggere tutta la materia nell'intero universo e raccogliere tutta l'energia oscura, il tuo computer teoricamente perfetto può ancora funzionare solo attraverso 2 ^ 233 combinazioni.

Quindi, 2 ^ 233 combinazioni è il punto in cui un attacco di forza bruta non è più garantito per il successo dato un investimento sufficiente di tempo ed energia. Non è possibile un investimento abbastanza grande.

C'è sempre fortuna. Non importa quanti bit hai, è possibile che un'ipotesi sia corretta. Si sceglie quindi un rischio accettabile. Non c'è modo di ottenere un rischio zero e non c'è modo di definire "accettabile" in termini universali.

Teoricamente, un computer delle dimensioni della terra e operante al limite di Bremermann per la velocità di calcolo creerebbe un Password a 256 bit in meno di due minuti. Tuttavia, come appena calcolato, non c'è potenza sufficiente nell'universo per fare quello sforzo. Il tempo necessario per craccare con attrezzature teoricamente ideali non ci offre un limite "accettabile".

Il presidente Obama ha ordinato la creazione di un computer exaflop entro il 2025, sperando che sarà il computer più veloce del mondo una volta costruito. Che possibilità ha un computer exaflop di decifrare una password a 2 ^ 233 bit nei 5 miliardi di anni rimanenti prima che il sole esploda? Bene, questo è 1,6 * 10 ^ 34 ipotesi o meno di 2 ^ 114 ipotesi. Questa è una possibilità su 2 ^ 119 (6 * 10 ^ 35) di decifrare la password prima che il sole esploda.

Accettabile? Chi lo dice? È molto difficile mettere in prospettiva tali probabilità in quanto sono così improbabili. Vincere il jackpot della lotteria questa settimana, la prossima settimana e anche la settimana successiva? Molto più probabile che decifrare la password prima che il sole esploda tra cinque miliardi di anni.

233 bit di entropia possono essere rappresentati con 36 caratteri tratti dai 95 caratteri stampabili di US-ASCII. Un utente malintenzionato non può garantire di decifrare una tale password con la forza bruta anche utilizzando tutte le risorse dell'intero universo per farlo, e le probabilità che lo violino utilizzando solo la tecnologia esistente oggi sono molto ridotte.

Questo è l'unico limite di cui sono consapevole che viene imposto non dalla scelta dell'algoritmo o della persona che deve ricordare la password, ma dalle effettive leggi fisiche dell'universo.

Per impostazione predefinita, la risposta a una domanda nella forma può [cosa negativa XYZ] accadere con le password è sì . C'è sempre spazio per commenti specifici, ma resta il fatto che le password sono uno dei compiti di sicurezza meno naturali assegnati a una persona e quella persona, quasi certamente, preferirà l'efficienza alla sicurezza.

Se tu scegli una password lunga che non sia in un dizionario, è probabile che la password sia una stringa casuale di caratteri difficili da ricordare. Di conseguenza, l'utente dovrà trovare scorciatoie per utilizzare effettivamente il suo sistema senza troppi problemi (per gli utenti, la sicurezza è normalmente un ostacolo per raggiungere i compiti che effettivamente hanno valore): annotalo, tienilo negli appunti, collega un dong USB che digita la password automaticamente ... lo chiami tu.

Il fumetto Battery Horse Staple XKCD è diventato famoso per la produzione di password più lunghe che sono più memorabili, ma, come un risultato, metti correcthorsebaterrystaple in ogni dizionario. Quindi, in generale, è difficile produrre password lunghe utilizzabili.

Questo è per la responsabilità pratica. Ora vediamo un po 'di numeri. Supponiamo che tu non memorizzi la tua password in testo normale, ma la usi come hash e salati. In generale, diciamo che non esiste un modo più semplice per violare l'archiviazione della password che ottenere una collisione per la password memorizzata. In tal caso, ogni hash della password avrà una lunghezza fissa: diciamo 256 bit per SHA-256. Quindi, hai al massimo 2 ²⁵⁶ valori da memorizzare. Certo, è molto, ma è anche il tuo "limite". Se memorizzi password con più di 256 bit di entropia, non manterrai quell'entropia aggiuntiva da nessuna parte. Non è meno sicuro, ma, come ha indicato la risposta di Neil in relazione a bcrypt , non ci sarà alcun vantaggio da password più lunghe.

nessun limite, in realtà. Il limite sarebbe possibile per un hash noto-debole in cui un attacco di sostituzione è ben documentato e misurabile.

Quando si parla di password è importante tenere conto di tutti i vettori.

Ad esempio, la password "password" impiegherà 2,17 secondi per la forza bruta. "p455w0rd" richiede 29,02 secondi e "p455w0Rd!" richiede 2,4 mesi. Importante: se si parla di forzatura bruta di una password, questi tre esempi richiederebbero meno di un secondo in un attacco basato sul dizionario.

Al contrario "thisisalongpassword" richiede 2,5 milioni di secoli, mentre "th1sIs4l0ngPa55w0rd" impiega 36,72 secoli. Tuttavia, utilizzando la password più complessa si aumenta la probabilità che qualcuno la scriva su una nota adesiva e la incolli sul proprio monitor.

Quindi, sebbene una maggiore entropia sia migliore dal punto di vista della forza bruta, riduce la sicurezza complessiva di un sistema aumentando la probabilità che le persone siano persone e facciano cose insicure, aumentando così la vulnerabilità in altri vettori di attacco.

Per vedere un altro esempio, supponiamo che tu costringa gli utenti a utilizzare una password della lunghezza di una passphrase. Quindi l'utente sceglie "tobeornottobe". Se un hacker usasse solo la forza bruta, ci vorrebbero 9,85 mesi. Ma poiché un hacker utilizzerà gli attacchi del dizionario e altre euristiche, è probabile che questo richieda dei minuetti. Se lo stesso utente usasse "2b0n2b", la sola forza bruta impiegherebbe 0,02 secondi, ma gli attacchi al dizionario sarebbero inutili. L'obiettivo è trovare un punto debole tra facile da ricordare, forza bruta difficile e dizionario difficile. Se la tua politica sulla password si allontana da uno di questi obiettivi, hai reso la password complessiva più debole.

La risposta

Non esiste un limite superiore in cui una maggiore entropia farà indebolire una password. Esiste un limite massimo quando si parla di utilizzo di una password nel mondo reale. Il limite superiore è il punto in cui gli utenti del sistema non possono più utilizzare la password senza ricorrere a mezzi insicuri per ricordarla, aprendoti così ad altri vettori di attacco.

Il tempo per le password di forza bruta si basa su https://www.grc.com/haystack.htm in "Offline Fast Attack Scenario"

Sì, c'è un caso in cui una password più lunga è meno sicura, ma nessuno dovrebbe comunque usare le password DES in questi giorni perché sono comunque banali da decifrare. Alcune implementazioni di DES in realtà erano meno sicure e utilizzavano meno entropia quando la password era più lunga di otto caratteri! La soluzione alternativa era troncare la password a otto caratteri prima dell'hashing. Se trovi qualcuno che usa ancora gli hash delle password basati su DES, hanno anche altri problemi. È anche teoricamente possibile che un difetto simile possa influenzare altri algoritmi di hashing delle password (penso che alcune versioni di lanman abbiano avuto un problema simile), ma la maggior parte delle persone che progettano gli hash delle password imparano dalle lezioni della storia e non sono a conoscenza di un moderno pubblicato funzione hash della password con questo problema.