web-dev-qa-db-ja.com

解読不可能なパスワードのエントロピーに関する専門家の引用

誰もが公開された作品の引用を指すことができますか-または引用を提供するかもしれない認められた専門家を提案-次の質問に答えます

攻撃者が世界で最も強力なハードウェアを使用している場合でも、パスワードのエントロピーはどれだけあり、オフライン推測攻撃に対して安全であることを保証しますか?

私は真のランダム性に基づいて安全なパスワードを作成することについて記事を書いており、保証されたセキュリティの数値を含めたいのですが、自分の意見や議論を提供したくありません。

上記のこれらの用語の意味するところは、次のとおりです。

パスワードに十分なエントロピーがある場合、おそらく現在の脅威モデルでは解読できません。これは、攻撃者がパスワードの暗号ハッシュを持ち、パスワードの推測を繰り返し行って、推測をハッシュし、ハッシュを比較しているものです。

エントロピーとは、パスワードの作成者がランダムに選択したものであり、各選択に対して等しい確率で、N個の可能なパスワードから1つのパスワードを選択したことを意味します。ビット単位のエントロピーは、log₂(N)です。

そのため、攻撃者が世界で最も強力なハードウェアを使用している場合でも、この種の攻撃に対してパスワードが安全であることを保証するために、引用はビット単位のエントロピー(またはNの大きさ)をカバーする必要があります。

passwordsrandomentropy
60
Stephen Hewitt

物理学の観点からではなく、通貨の観点から別の亀裂を見てみましょう。ピーリオのスカイラー・ナガオ それを述べた

2014 研究論文 パスワードの覚えやすさについて、セキュリティ研究者のJoseph Bonneau(Stanford)とStuart Schechter(Microsoft)は、2013年のビットコインマイナーへの年間支払い総額に基づいて攻撃のコストを推定しました。

"2013年、ビットコインマイナーは共同で実施しました≈275 SHA-256ハッシュは≈US $ 257M相当のビットコイン報酬と引き換えに…これは2を超えて実行される唯一の既知の操作です64 暗号操作のため、利用可能な最良の見積もりを提供します。集中化された作業の方が桁違いに効率的であると仮定しても、これにより、2百万ドルを実行するために100万ドルの見積もりが残ります。70 SHA-256評価および2で約10億米ドル80 評価。」

ここでは、10億ドルのパスワード見積もりがあります—中央集中型の攻撃者にとっても、2を計算するのに約10億ドルのコストがかかります。80 1年間のSHA-256ハッシュ関数。これは、2回試すのに10億ドルかかると言っているようなものです。80 1年間ロックの組み合わせ。攻撃者は途中で1回の推測で正しく推測する可能性が高いため、Peerioは81ビット(280 2倍)コンピューターで生成されたパスフレーズの最小標準。この基準を選択した理由は、州レベルの攻撃者でさえ、コインがトスになってPeerioパスフレーズを解読する可能性がある場合でも、10億ドルを落とす必要があるためです。

81ビットのパスワードは、クラッキングされる可能性が高いと推定されて10億ドルかかるため、Peerioは「クラッキングできない」と見なしています。素人の言葉で言えば、81ビットは17のランダムな小文字、USキーボードからの13のランダムな文字、または辞書からランダムに選択された7〜8の単語になります。

確かに、価格、リスクレベル、ハッシュアルゴリズムなどの技術的な詳細はたくさんあります。おそらく、パスワードはbcryptを使用してはるかに強力にハッシュされます。おそらくこれらの数値は古く、より現代的です マイニングコスト または最新の マイニング収益データ はハッシュ/ドルを10に設定します16 ハッシュ/ドル。市場の違いやハードウェアの違いにより、ビットコインは最良の比較ではないかもしれません。結局のところ、大規模なハッシュのコストを最低限に抑えるために、1桁の余裕があります。

一部の国民国家や億万長者が BitmainのOrdos鉱山 のサイズのハッシュ破壊ファームをまとめたとしても、80ビットのパスワードパスワードを安全でないハッシュは、数百万または数十億ドルのコストを捨て、潜在的な収益を失います。政府が毎秒10億テラハッシュをヒットする可能性がある場合、彼らはその金儲けマシンをより良いものにしたほうがいいと思いますあなたの81ビットパスワード。

信じられないほど強力な敵に対する保証と防御について話している場合、解読できないパスワードを回避する方法はたくさんあることに注意することが重要です。方法には、セッションハイジャック、MITM攻撃、パスワードリセットエクスプロイト、キーロガー、Webサイト/管理者へのアクセスの要求、フィッシングなどがあります。コンピュータを物理的に改ざんするようないくつかの脅威はばかげているように見えるかもしれませんが、10億ドルのパスワードクラッキング作業( 関連するxkcd )よりも合理的です。

27
Cody P

this crypto.SE answer に引用があります(Bruce SchneierによるApplied Cryptography(1996)、pp。157–8)。

オンラインでの引用が必要な場合は、Bruce Schneier 自分のブログで引用 (2009)を見つけることもできます。

リンクが切れた場合の完全な引用は次のとおりです。

熱力学の第2法則の結果の1つは、情報を表現するために一定量のエネルギーが必要になることです。システムの状態を変更して1ビットを記録するには、kT以上のエネルギーが必要です。Tはシステムの絶対温度、kはボルツマン定数です。 (私と付き合ってください。物理学のレッスンはもう終わりです。)

K = 1.38×10の場合-16erg /°ケルビン、および宇宙の周囲温度が3.2°ケルビンであること、3.2°Kで実行される理想的なコンピューターは4.4×10を消費する-16 ビットを設定またはクリアするたびにエラーが発生します。宇宙背景放射よりも低温のコンピュータを実行するには、ヒートポンプを実行するために追加のエネルギーが必要になります。

今、私たちの太陽の年間エネルギー出力は約1.21×10です41 エルグ。これは約2.7×10の電力を供給するのに十分です56 理想的なコンピューターでのシングルビットの変更。 187ビットのカウンタをすべての値に通すのに十分な状態変化。 もし太陽の周りにダイソン球体を構築し、そのエネルギーのすべてを32年間キャプチャした場合、損失なく、最大2つのコンピュータに電力を供給できます。192もちろん、このカウンターで有用な計算を実行するためのエネルギーは残っていません。

しかし、それは1つだけの星であり、そこにはわずかな星があります。典型的な超新星は10のようなものを放出します51 エルグ。 (約100倍のエネルギーがニュートリノの形で放出されますが、今のところは放っておいてください。)このエネルギーのすべてを単一の計算の乱交に流すことができれば、219ビットのカウンターがすべてを循環することができます。その状態の。

これらの数値は、デバイスのテクノロジーとは関係ありません。それらは熱力学が許容する最大値です。 また、コンピュータが物質以外のものから構築され、空間以外のものを占有するまで、256ビットキーに対するブルートフォース攻撃は実行不可能であることを強く示唆しています

更新:ランダムに生成されたパスワードの強度を評価するための引用が必要な場合は、 このWebサイト を使用できます別の機関によって行われた推奨事項で更新されました。ランダムパスワードは対称キーに相当するため、これが探している値です。 (これは ウェイバックマシンリンク です(このWebサイトが閉じた場合))。

120
A. Hersean

更新:

このトピックを探る本当に良いYouTubeビデオは次のとおりです。

256ビットセキュリティはどの程度安全ですか?by 3Blue1Brown

見積もりや元の情報源はありませんが、このような質問にはエネルギー削減でよく答えます。議論は次のようになります。人類はいつの日か、物理的な効率の限界でプロセッサを作成できると仮定します。次に、それらのプロセッサがパスワードを解読するのに必要な電力量を計算し、次に、その電力を生成するために消費する必要がある太陽のサイズの星の数を計算します。短いバージョン:パスワードマネージャーから32文字のランダムなパスワードの1つをクラックするために、2x10のように消費している15 電気代だけの星。たとえば、ここで私の最近の回答を参照してください:

最高のセキュリティのために、完全にランダムなパスワードの長さを変える必要がありますか?

そしてここ

キーではなくパスワードを直接総当たりにする理由

実際にどこからアイデアを得たのかは実際にはわかりませんが、見積もり可能なソースを見つけるためのグーグルの開始点になるかもしれません。

また、一般の人が「パスワード」について話すときよりも、「パスワードマネージャからの適切にランダムなパスワード」としてフレーミングするように細心の注意が必要です。ユーザーが自分のパスワードを選択できるようにした場合、人間が愚かに予測可能なパスワードを選択するため、長さは多かれ少なかれ重要ではありません。たとえば、次の記事:

パスワードの30パーセントを秒単位で破る方法

8
Mike Ounsworth

他の人が書いたものに同意します。追加情報として、 Argon2 に関する最近の(相対)講演を参照してください。 1ページ(スライド#8)は、ブルートフォース攻撃下でのパスワードの実用的な強度に対するハードウェアの進歩の影響について、比較的最近の引用を示しています。つまり

ブルートフォース攻撃(キー推測など)は、カスタムハードウェア(大規模なASIC上の複数のコンピューティングコア)で最も効率的です。 SHA-2ハッシュの実用的な例(ビットコイン):

  • ASICで232ハッシュ/ジュール。
  • ラップトップで217ハッシュ/ジュール。

結果:

  • キーが失われる15ビット
  • パスワードは3つの小文字に短くなります
  • PINが失われる5桁

ASICを装備した攻撃者は、近い将来の脅威です。 ASICはエントリーコストが高いですが、FPGAとGPUも採用されています。

うまくいけば、これにより、最新のハードウェアを使用したブルートフォース攻撃の下でのキーサイズの「有効な」長さに関する実用的で最新の視点が得られます。

2
Kaiyi Li