Parola - Passphrase

Bir parola bir bilgisayar sistemine, programa veya verilere erişimi kontrol etmek için kullanılan bir dizi kelime veya diğer metindir. Parola, kullanımdaki bir parolaya benzer, ancak ek güvenlik için genellikle daha uzundur. Parola cümleleri genellikle, özellikle bir paroladan bir şifreleme anahtarı türetenler olmak üzere, kriptografik programlara ve sistemlere hem erişimi hem de bunların çalışmasını kontrol etmek için kullanılır. Terimin kökeni analoji ile parola. Modern parola kavramının Sigmund N. Porter tarafından icat edildiğine inanılıyor.^[1] 1982'de.

Güvenlik

Dikkate alındığında entropi Yazılı İngilizce'nin yüzdesi karakter başına 1,1 bitten azdır,^[2] parolalar nispeten zayıf olabilir. NIST 23 karakterlik "IamtheCapitanof thePina4" parolasının 45-bitlik bir güç içerdiğini tahmin etmiştir. Burada kullanılan denklem:^[3]

4 bit (1. karakter) + 14 bit (2–8 arası karakterler) + 18 bit (9–20 arası karakterler) + 3 bit (21–23 arası karakterler) + 6 bit (büyük harf, küçük harf ve alfanümerik için bonus) = 45 bitler

(Bu hesaplama, bunun operetten iyi bilinen bir alıntı olduğunu hesaba katmaz. H.M.S. Önlük. Bu parolanın bir MD5 karması, crackstation.net kullanılarak 4 saniyede kırılabilir ve bu, sözcüğün parola kırma veritabanlarında bulunduğunu gösterir.)

Bu yönergeyi kullanarak, NIST tarafından yüksek güvenlik (askeri olmayan) için önerilen 80 bitlik gücü elde etmek için, bir parolanın büyük harf ve alfanümerik içeren bir bileşim olduğu varsayılarak 58 karakter uzunluğunda olması gerekir.

Atanan entropi bitlerinin sayısına bağlı olarak, bu denklemin uygulanabilirliği ile ilgili tartışmaya yer vardır. Örneğin, beş harfli sözcüklerdeki karakterlerin her biri 2.3 bit entropi içerir, bu da 80 bitlik güç elde etmek için yalnızca 35 karakterlik bir parola gerekli olduğu anlamına gelir.^[4]

Bir parolanın sözcükleri veya bileşenleri bir dil sözlüğünde bulunabiliyorsa - özellikle bir yazılım programına elektronik girdi olarak mevcutsa - parola, parola için daha savunmasız hale gelir. sözlük saldırısı. Bu, tüm cümlenin bir alıntılar veya kelime öbeği derlemeleri kitabında bulunabiliyorsa, özel bir konudur. Bununla birlikte, gerekli çaba (zaman ve maliyet açısından), parolada yeterince kelime varsa ve nasıl rastgele parola içinde seçilir ve sıralanırlar. Yeterli koşullar altında test edilmesi gereken kombinasyonların sayısı, bir sözlük saldırısını gerçekleştirilemeyecek kadar zor hale getirir. Bunlar, karşılanması zor koşullardır ve içinde bulunamayan en az bir kelimeyi seçmek hiç sözlük, parola gücünü önemli ölçüde artırır.

Parolalar insanlar tarafından seçilirse, genellikle doğal dildeki belirli kelimelerin sıklığına göre önyargılıdırlar. Dört kelime öbeği durumunda, gerçek entropi nadiren 30 biti aşar. Öte yandan, kullanıcı tarafından seçilen şifreler bundan çok daha zayıf olma eğilimindedir ve kullanıcıları 2 kelimelik şifreleri kullanmaya teşvik etmek bile entropiyi 10 bitin altından 20 bitin üzerine çıkarabilir.^[5]

Örneğin, yaygın olarak kullanılan kriptografi standardı OpenPGP bir kullanıcının mesajların şifresini çözerken veya imzalarken girilmesi gereken bir parola oluşturmasını gerektirir. İnternet hizmetleri gibi Hushmail ücretsiz şifrelenmiş e-posta veya dosya paylaşım hizmetleri sağlar, ancak mevcut güvenlik neredeyse tamamen seçilen parolanın kalitesine bağlıdır.

Şifrelerle karşılaştırıldığında

Parolalar parolalardan farklıdır. Bir parola genellikle kısadır - altı ila on karakter. Bu tür şifreler çeşitli uygulamalar için uygun olabilir (eğer sık sık değiştirilirse, uygun bir ilke kullanılarak seçilirse, sözlüklerde bulunmuyorsa, yeterince rasgele ise ve / veya sistem çevrimiçi tahmin yapmayı engelliyorsa vb.):

Bilgisayar sistemlerinde oturum açma
Anahtarları etkileşimli bir ortamda görüşmek (ör. şifre ile doğrulanmış anahtar sözleşmesi )
Bir akıllı kartın veya PIN'in ATM kartı (örneğin, şifre verilerinin (umarız) çıkarılamadığı yerlerde)

Ancak parolaların, bir saldırgan tarafından çevrimdışı parola tahminini etkinleştirmek için verileri açığa çıkaran bağımsız güvenlik sistemleri (ör. Şifreleme sistemleri) için anahtar olarak kullanılması genellikle güvenli değildir. Parolalar teorik olarak daha güçlüdür ve bu nedenle bu durumlarda daha iyi bir seçim yapmalıdır. Birincisi, genellikle çok daha uzundurlar (ve her zaman olmalıdırlar) - 20 ila 30 karakter veya daha fazlası tipiktir - bazı tür kaba kuvvet saldırılarını tamamen kullanışsız hale getirir. İkincisi, eğer iyi seçilirlerse, herhangi bir cümle veya alıntı sözlüğünde bulunmazlar, bu nedenle bu tür sözlük saldırıları neredeyse imkansız olacaktır. Üçüncüsü, yazılmadan parolalardan daha kolay hatırlanabilir olacak şekilde yapılandırılabilirler ve bu da basılı kopya hırsızlığı riskini azaltır. Bununla birlikte, bir parola kimlik doğrulayıcı tarafından uygun şekilde korunmazsa ve açık metin parolası ortaya çıkarsa, kullanımının diğer parolalardan daha iyi olmadığı ortaya çıkar. Bu nedenle, parolaların farklı veya benzersiz site ve hizmetlerde tekrar kullanılmaması önerilir.

2012 yılında, iki Cambridge Üniversitesi araştırmacısı, Amazon PayPhrase sistem ve film isimleri ve spor takımları gibi ortak kültürel referanslar nedeniyle önemli bir yüzdesinin tahmin edilmesinin kolay olduğunu ve uzun şifreleri kullanma potansiyelinin çoğunu kaybettiğini tespit etti.^[6]

Kriptografide kullanıldığında, genellikle parola uzun bir süreyi korur (makine tarafından üretilen) anahtar ve anahtar verileri korur. Anahtar o kadar uzun ki bir kaba kuvvet saldırısı (doğrudan veriler üzerinde) imkansız. Bir anahtar türetme işlevi yavaşlamak için binlerce yinelemeyi (tuzlanmış ve karma hale getirilmiş) içeren şifre kırma saldırılar.

Parola seçimi

Bir parola seçmeyle ilgili tipik tavsiyeler, aşağıdaki gibi olması gereken önerileri içerir:^[7]

Tahmin etmesi zor olacak kadar uzun
Edebiyattan, kutsal kitaplardan vb. Ünlü bir alıntı değil
Kullanıcıyı iyi tanıyan biri tarafından bile sezgiyle tahmin edilmesi zor
Hatırlaması ve doğru yazması kolay
Daha iyi güvenlik için, kullanıcının kendi düzeyinde kolayca akılda kalan herhangi bir kodlama uygulanabilir.
Siteler, uygulamalar ve diğer farklı kaynaklar arasında tekrar kullanılmaz.

Örnek yöntemler

Güçlü bir parola oluşturmanın yöntemlerinden biri, zar uzun bir listeden rastgele sözcükler seçmek için, genellikle dikkat. Böyle bir kelime koleksiyonu "herhangi bir sözlükten değil" kuralını ihlal ediyormuş gibi görünse de, güvenlik tamamen kelimelerin kendileriyle ilgili herhangi bir gizliliğe değil, kelime listesinden seçim yapmanın çok sayıda olası yoluna dayanmaktadır. Örneğin, listede 7776 kelime varsa ve altı kelime rastgele seçilmişse, o zaman vardır 7776⁶ = 221073919720733357899776 yaklaşık 78 bit sağlayan entropi. (Numara 7776 kelimelerin beş zar atılarak seçilmesine izin vermek için seçildi. 7776 = 6⁵) Rastgele kelime dizileri daha sonra aşağıdaki gibi teknikler kullanılarak ezberlenebilir: hafıza sarayı.

Diğeri, iki kelime öbeği seçmek, birini bir kısaltma ve son parolayı oluşturarak ikinciye ekleyin. Örneğin, iki İngilizce yazma alıştırması kullanarak aşağıdakilere sahibiz. Hızlı kahverengi tilki tembel köpeğin üzerinden atlar, olur tqbfjotld. Dahil olmak üzere, Şimdi tüm iyi adamların ülkelerinin yardımına gelme zamanı, üretebilir, Şimdi tüm iyi tqbfjotld'lerin ülkelerinin yardımına gelme zamanı parola olarak.

Burada dikkat edilmesi gereken birkaç nokta var, tümü bu örnek parolanın neden iyi bir parola olmadığıyla ilgili.

Halka açık bir şekilde ortaya çıktı ve bu nedenle herkes tarafından kaçınılmalıdır.
Uzun (teoride önemli bir erdemdir) ve uzun cümlelerde yazım hataları çok daha olası olduğundan iyi bir daktilo gerektirir.
Bilgisayar güvenliğini kırma konusunda ciddi olan kişiler ve kuruluşlar, en yaygın alıntılardan, şarkı sözlerinden ve benzerlerinden bu şekilde türetilen şifre listelerini derlemiştir.

PGP Parolası SSS^[8] teorik güvenlik ve pratiklik arasında bu örnekten daha iyi bir denge sağlamaya çalışan bir prosedür önerir. Bir parola seçmeye yönelik tüm prosedürler, güvenlik ve kullanım kolaylığı arasında bir değiş tokuş içerir; güvenlik en azından "yeterli" olmalı ve kullanıcılar "çok ciddi" can sıkıcı olmamalıdır. Her iki kriter de belirli durumlarla eşleşecek şekilde değerlendirilmelidir.

Sinir bozucu kaba kuvvet saldırılarına bir başka tamamlayıcı yaklaşım, anahtarı bir parola kullanarak paroladan türetmektir. kasıtlı olarak yavaş hash işlevi, gibi PBKDF2 tarif edildiği gibi RFC 2898.

Windows desteği

İle geriye dönük uyumluluk varsa Microsoft LAN Yöneticisi sürümlerinde gerekli değildir Windows NT (dahil olmak üzere Windows 2000, Windows XP ve sonrası), Windows parolasının yerine bir parola kullanılabilir. Parola 14 karakterden uzunsa, bu aynı zamanda bir çok güçsüz LM karması.

Unix desteği

Son sürümlerinde Unix benzeri gibi işletim sistemleri Linux, OpenBSD, NetBSD, Solaris ve FreeBSD 255 karaktere kadar parola kullanılabilir.

Ayrıca bakınız

Referanslar

^ Sigmund N. Porter. "Gelişmiş insan faktörleri için bir şifre uzantısı". Bilgisayarlar ve Güvenlik, 1 (1): 54-56, Ocak 1982.
^ Matt Mahoney. "İngilizcenin Tahmini Entropisini Shannon Oyun Simülasyonu ile İyileştirme". Florida Teknoloji Enstitüsü. Alındı 27 Mart, 2008.
^ "Elektronik Kimlik Doğrulama Rehberi" (PDF ). NIST. Alındı 26 Eylül 2016.
^ Jesper M. Johansson. "Büyük Tartışmalar: Parolalara Karşı İfadeler. Bölüm 2/3". Microsoft şirketi. Alındı 27 Mart, 2008.
^ Joseph Bonneau, Ekaterina Shutova, Çok kelimeli parolaların dilsel özellikleri, Cambridge Üniversitesi
^ Godwin, Dan (14 Mart 2012). "Parolalar, zayıf seçimler nedeniyle parolalardan yalnızca marjinal olarak daha güvenlidir". Alındı 9 Aralık 2014.
^ Lundin Leigh (11 Ağustos 2013). "PIN'ler ve Şifreler, Bölüm 2". Şifreler. Orlando: SleuthSayers.
^ Randall T. Williams (13 Ocak 1997). "Parola SSS". Alındı 11 Aralık 2006.

Dış bağlantılar

Diceware sayfası
xkcd Şifre Gücü ortak görüşlü kavram açıklaması

[1] Sigmund N. Porter. "Gelişmiş insan faktörleri için bir şifre uzantısı". Bilgisayarlar ve Güvenlik, 1 (1): 54-56, Ocak 1982.

[entropy-2] Matt Mahoney. "İngilizcenin Tahmini Entropisini Shannon Oyun Simülasyonu ile İyileştirme". Florida Teknoloji Enstitüsü. Alındı 27 Mart, 2008.

[NIST-3] "Elektronik Kimlik Doğrulama Rehberi" (PDF ). NIST. Alındı 26 Eylül 2016.

[entropy2-4] Jesper M. Johansson. "Büyük Tartışmalar: Parolalara Karşı İfadeler. Bölüm 2/3". Microsoft şirketi. Alındı 27 Mart, 2008.

[5] Joseph Bonneau, Ekaterina Shutova, Çok kelimeli parolaların dilsel özellikleri, Cambridge Üniversitesi

[6] Godwin, Dan (14 Mart 2012). "Parolalar, zayıf seçimler nedeniyle parolalardan yalnızca marjinal olarak daha güvenlidir". Alındı 9 Aralık 2014.

[SS2-7] Lundin Leigh (11 Ağustos 2013). "PIN'ler ve Şifreler, Bölüm 2". Şifreler. Orlando: SleuthSayers.

[passphrasefaq-8] Randall T. Williams (13 Ocak 1997). "Parola SSS". Alındı 11 Aralık 2006.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]