Expresie de acces - Passphrase

O expresie de acces este o secvență de cuvinte sau alt text utilizat pentru a controla accesul la un sistem de calcul , program sau date . Este similar cu o parolă de utilizare, dar o expresie de acces este în general mai lungă pentru o securitate suplimentară. Expresiile de acces sunt adesea folosite pentru a controla atât accesul, cât și funcționarea, programelor și sistemelor criptografice , în special a celor care derivă o cheie de criptare dintr-o expresie de acces. Originea termenului este prin analogie cu parola . Se crede că conceptul modern de expresii de acces a fost inventat de Sigmund N. Porter în 1982.

Securitate

Vezi și: Intensitatea parolei

Având în vedere că entropia englezei scrise este mai mică de 1,1 biți pe caracter, frazele de acces pot fi relativ slabe. NIST a estimat că fraza de acces cu 23 de caractere „IamtheCapitanofthePina4” conține o intensitate de 45 de biți. Ecuația folosită aici este:

4 biți (primul caracter) + 14 biți (caractere 2-8) + 18 biți (caractere 9-20) + 3 biți (caractere 21-23) + 6 biți (bonus pentru majuscule, minuscule și alfanumerice) = 45 biți

(Acest calcul nu ia în considerare faptul că acesta este un citat bine cunoscut din opereta HMS Pinafore . Un hash MD5 al acestei expresii de acces poate fi spart în 4 secunde folosind crackstation.net, indicând faptul că fraza se găsește în bazele de date de cracare a parolelor. )

Folosind acest ghid, pentru a atinge puterea de 80 de biți recomandată de NIST pentru securitate ridicată (non-militară), o expresie de acces ar trebui să aibă o lungime de 58 de caractere, presupunând o compoziție care include majuscule și alfanumerice.

Există loc pentru dezbateri cu privire la aplicabilitatea acestei ecuații, în funcție de numărul de biți de entropie atribuiți. De exemplu, caracterele din cuvintele de cinci litere conțin fiecare 2,3 biți de entropie, ceea ce ar însemna că este necesară doar o expresie de trecere de 35 de caractere pentru a atinge intensitatea de 80 de biți.

Dacă cuvintele sau componentele unei expresii de acces pot fi găsite într-un dicționar de limbă - în special unul disponibil ca intrare electronică la un program software -, expresia de acces este mai vulnerabilă la atacul dicționarului . Aceasta este o problemă specială dacă întreaga frază poate fi găsită într-o carte de citate sau compilații de expresii. Cu toate acestea, efortul necesar (în timp și cost) poate fi realizat în mod practic ridicat dacă există suficiente cuvinte în fraza de acces și dacă acestea sunt alese aleatoriu și ordonate în fraza de acces. Numărul de combinații care ar trebui testate în condiții suficiente fac un atac de dicționar atât de dificil încât să fie imposibil de realizat. Acestea sunt condiții dificile de îndeplinit și selectarea a cel puțin unui cuvânt care nu poate fi găsit în niciun dicționar crește semnificativ puterea expresiei de trecere.

Dacă expresiile de acces sunt alese de oameni, ele sunt de obicei părtinitoare de frecvența anumitor cuvinte în limbajul natural. În cazul frazelor cu patru cuvinte, entropia reală depășește rareori 30 de biți. Pe de altă parte, cuvintele de trecere selectate de utilizator tind să fie mult mai slabe decât acestea, iar încurajarea utilizatorilor să folosească chiar și expresii de trecere de 2 cuvinte poate crește entropia de sub 10 biți la peste 20 de biți.

De exemplu, standardul de criptografie larg utilizat OpenPGP necesită ca un utilizator să alcătuiască o expresie de acces care trebuie introdusă ori de câte ori decriptează sau semnează mesaje. Serviciile de internet precum Hushmail oferă servicii de e-mail criptate gratuite sau servicii de partajare a fișierelor, dar securitatea prezentă depinde aproape în totalitate de calitatea expresiei de acces alese.

Comparativ cu parolele

Expresiile de acces diferă de parole. O parolă este de obicei scurtă - șase până la zece caractere. Astfel de parole pot fi adecvate pentru diferite aplicații (dacă sunt schimbate frecvent, dacă sunt alese folosind o politică adecvată, dacă nu sunt găsite în dicționare, dacă sunt suficient de aleatorii și / sau dacă sistemul împiedică ghicirea online etc.), cum ar fi:

  • Conectarea la sistemele informatice
  • Negocierea cheilor într-un cadru interactiv (de exemplu, utilizarea unui acord de cheie autentificat prin parolă )
  • Activarea unui card inteligent sau a unui PIN pentru un card ATM (de exemplu, în cazul în care datele despre parolă (sperăm) nu pot fi extrase)

Dar parolele nu sunt de obicei utilizate în siguranță ca chei pentru sistemele de securitate independente (de exemplu, sistemele de criptare) care expun date pentru a permite ghicirea parolelor offline de către un atacator. Expresiile de acces sunt teoretic mai puternice și, prin urmare, ar trebui să facă o alegere mai bună în aceste cazuri. În primul rând, ele sunt de obicei (și ar trebui să fie întotdeauna) mult mai lungi - de la 20 la 30 de caractere sau mai mult este tipic - făcând unele tipuri de atacuri de forță brută complet nepracticabile. În al doilea rând, dacă sunt bine alese, acestea nu vor fi găsite în nici o frază sau dicționar de citate, astfel încât astfel de atacuri de dicționar vor fi aproape imposibile. În al treilea rând, ele pot fi structurate astfel încât să fie mai ușor de memorat decât parolele fără a fi scrise, reducând riscul furtului pe copie. Cu toate acestea, dacă o expresie de acces nu este protejată în mod corespunzător de către autentificator și se afișează expresia de acces cu text clar, utilizarea acesteia nu este mai bună decât alte parole. Din acest motiv, se recomandă ca frazele de acces să nu fie reutilizate pe site-uri și servicii diferite sau unice.

În 2012, doi cercetători de la Universitatea Cambridge au analizat expresiile de acces din sistemul Amazon PayPhrase și au constatat că un procent semnificativ este ușor de ghicit datorită referințelor culturale comune, cum ar fi numele filmelor și echipele sportive, pierzând mult din potențialul de utilizare a parolelor lungi.

Când este utilizată în criptografie, în mod obișnuit parola protejează o cheie lungă (generată de mașină) , iar cheia protejează datele. Cheia este atât de lungă încât un atac de forță brută (direct pe date) este imposibil. Se utilizează o funcție de derivare cheie , care implică multe mii de iterații ( sărate și hash), pentru a încetini atacurile de cracare a parolelor .

Selectarea expresiei de acces

Sfaturile tipice despre alegerea unei expresii de acces includ sugestii care ar trebui să fie:

  • Suficient de lung pentru a fi greu de ghicit
  • Nu este un citat celebru din literatură, cărți sfinte, etc.
  • Greu de ghicit prin intuiție - chiar și de către cineva care îl cunoaște bine pe utilizator
  • Ușor de reținut și de tastat cu precizie
  • Pentru o securitate mai bună, se poate aplica orice codificare ușor de memorat la nivelul propriului utilizator.
  • Nu se reutilizează între site-uri, aplicații și alte surse diferite

Exemple de metode

O metodă de a crea o expresie de acces puternică este folosirea zarurilor pentru a selecta cuvintele la întâmplare dintr-o listă lungă, o tehnică denumită adesea zaruri . În timp ce o astfel de colecție de cuvinte ar putea părea că încalcă regula „nu din orice dicționar”, securitatea se bazează în întregime pe numărul mare de modalități posibile de a alege din lista de cuvinte și nu din orice secret cu privire la cuvintele în sine. De exemplu, dacă există 7776 de cuvinte în listă și șase cuvinte sunt alese aleatoriu, atunci există 7776 6  = 221073919720733357899776 combinații, oferind aproximativ 78 de biți de entropie . (Numărul 7776 a fost ales pentru a permite selectarea cuvintelor aruncând cinci zaruri. 7776 = 6 5 ) Secvențele de cuvinte aleatorii pot fi apoi memorate folosind tehnici precum palatul memoriei .

Un alt lucru este să alegeți două fraze, să le transformați într-un acronim și să le includeți în a doua, făcând fraza finală. De exemplu, folosind două exerciții de tastare în limba engleză, avem următoarele. Vulpea brună și rapidă sare peste câinele leneș , devine tqbfjotld . Inclusiv în, Acum este momentul ca toți oamenii buni să vină în ajutorul țării lor , ar putea produce, Acum este momentul ca toți cei buni tqbfjotld să vină în ajutorul țării lor ca expresie de trecere .

Există mai multe puncte de remarcat aici, toate legate de motivul pentru care această expresie de acces nu este una bună.

  • A apărut în public și așa ar trebui să fie evitat de toată lumea.
  • Este lung (ceea ce este o virtute considerabilă în teorie) și necesită un dactilograf bun, deoarece erorile de tastare sunt mult mai probabile pentru frazele extinse.
  • Persoanele și organizațiile serioase cu privire la securitatea computerului au întocmit liste de parole derivate în acest mod din cele mai frecvente citate, versuri de melodii și așa mai departe.

Întrebările frecvente PGP Passphrase sugerează o procedură care încearcă un echilibru mai bun între securitate teoretică și practic decât acest exemplu. Toate procedurile pentru alegerea unei expresii de acces implică un compromis între securitate și ușurință în utilizare; securitatea ar trebui să fie cel puțin „adecvată”, în timp ce utilizatorii nu sunt „prea serioși”. Ambele criterii ar trebui evaluate pentru a se potrivi unor situații particulare.

O altă abordare suplimentară a frustrantelor atacuri cu forță brută este derivarea cheii din fraza de acces folosind o funcție hash deliberat lentă , cum ar fi PBKDF2, așa cum este descris în RFC 2898.

Articol principal: Întinderea cheii

Suport pentru Windows

Dacă nu este necesară compatibilitatea cu Microsoft LAN Manager , în versiunile de Windows NT (inclusiv Windows 2000 , Windows XP și versiuni ulterioare), o expresie de acces poate fi utilizată ca înlocuitor pentru o parolă Windows. Dacă fraza de acces are mai mult de 14 caractere, acest lucru va evita generarea unui hash LM foarte slab .

Suport Unix

În versiunile recente ale sistemelor de operare de tip Unix, cum ar fi Linux , OpenBSD , NetBSD , Solaris și FreeBSD , pot fi utilizate expresii de acces de până la 255 de caractere.

Vezi si

Referințe

  1. ^ Sigmund N. Porter. "O extensie de parolă pentru factorii umani îmbunătățiți". Calculatoare și securitate, 1 (1): 54-56, ianuarie 1982.
  2. ^ Matt Mahoney. „Rafinarea estimării entropiei englezei de către simularea jocului Shannon” . Institutul de Tehnologie din Florida . Adus pe 27 martie 2008 .
  3. ^ "Ghid de autentificare electronică" (PDF) . NIST . Adus la 26 septembrie 2016 .
  4. ^ Jesper M. Johansson. "Marile dezbateri: Treceți fraze vs. parole. Partea 2 din 3" . Microsoft Corporation . Adus la 27 martie 2008 .
  5. ^ Joseph Bonneau, Ekaterina Shutova, Proprietăți lingvistice ale frazelor de trecere cu mai multe cuvinte , Universitatea din Cambridge
  6. ^ Urbina, Ian (19 noiembrie 2014). „Viața secretă a parolelor” . Revista New York Times .
  7. ^ Godwin, Dan (14 martie 2012). "Expresiile de acces sunt doar marginal mai sigure decât parolele din cauza alegerilor slabe" . Adus pe 9 decembrie 2014 .
  8. ^ Lundin, Leigh (11 august 2013). „Coduri PIN și parole, partea 2” . Parole . Orlando: SleuthSayers.
  9. ^ Randall T. Williams (13 ianuarie 1997). „Întrebări frecvente despre expresia de acces” . Adus la 11 decembrie 2006 .

linkuri externe