Уменьшает ли энтропию группировка символов пароля для удобства чтения?

typo

04.01.2023, 18:28

Например, для случайно сгенерированного пароля из 28 строчных букв, что составляет около 128 бит энтропии, как повлияет на него добавление пробела после каждых четырех символов?

jaxjnddkcswzovcrpbnqqiwaqyb
ijax jndd kcsw zovc rpbn qqiw aqyb

1 + 4

пароли

энтропия

случайность

Paul Uszak

04.01.2023, 23:21

Хороший вопрос, но просто учтите, что пароль _"ijax jndd kcsw zovc rpbn qqiw aqyb"_ имеет гораздо меньшую энтропию, чем вы думаете, потому что пользователю придется записать его на стикере и приклеить к дисплею. См. ключевые функции деривации.

Ответить

Mark

04.01.2023, 23:52

@PaulUszak, неясно, какое понятие энтропии вы обсуждаете, но, похоже, это не энтропия Шеннона.

Ответить

Paul Uszak

04.01.2023, 23:59

@ Марк Ты прав. Думаю, это энтропия здравого смысла. И GCHQ, и NIST теперь предлагают избегать сложных паролей в пользу таких вещей, как «бегущие крысы по радуге»_. Он также был удален с 800-90b. Таким образом, вам не нужно прикреплять его к терминалу.

Ответить

Mark

05.01.2023, 00:02

@PaulUszak Я согласен, что такие системы (явно такие инструменты, как [diceware] (https://diceware.dmuth.org/)) лучше запоминать (мастер) пароль, и вы должны использовать менеджер паролей для других ваших паролей. Но на этот вопрос также есть формальный математический ответ --- $H(X) = H(f(X))$ для любого дискретного распределения $X$ и любой (инъективной) функции $f$. Обсуждаемое кодирование является инъективным, поэтому не может уменьшать энтропию.

Ответить

Рейтинг:7

Crypto

Marc

04.01.2023, 18:56

Добавление символов к существующему паролю таким фиксированным и известным способом не изменяет его энтропию, пока все остальное остается прежним.

В вашем конкретном случае добавление пробела через каждые четыре символа можно рассматривать как чистое форматирование, чтобы сделать пароли более читабельными.

Если злоумышленник не знал о форматировании, пароль просто стал длиннее на шесть символов (и его труднее подобрать). Если злоумышленник знает о форматировании, он возвращается к грубому подбору пароля в ~ 128-битном пространстве поиска.

Небольшое примечание: вы можете сделать интервал только свойством отображения (это может быть выполнимо с веб-интерфейсом, сложно с терминалом).

0 + 0

Admin

Этот вопрос на других языках:

EN: Does grouping password characters for readability decrease entropy?

TH: การจัดกลุ่มอักขระรหัสผ่านเพื่อให้อ่านได้จะลดค่าเอนโทรปีหรือไม่

RO: Gruparea caracterelor parolei pentru lizibilitate scade entropia?

RU: Уменьшает ли энтропию группировка символов пароля для удобства чтения?

VI: Việc nhóm các ký tự mật khẩu để dễ đọc có làm giảm entropy không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.