Рейтинг:2

Уменьшает ли энтропию группировка символов пароля для удобства чтения?

флаг mk

Например, для случайно сгенерированного пароля из 28 строчных букв, что составляет около 128 бит энтропии, как повлияет на него добавление пробела после каждых четырех символов?

jaxjnddkcswzovcrpbnqqiwaqyb
ijax jndd kcsw zovc rpbn qqiw aqyb
Paul Uszak avatar
флаг cn
Хороший вопрос, но просто учтите, что пароль _"ijax jndd kcsw zovc rpbn qqiw aqyb"_ имеет гораздо меньшую энтропию, чем вы думаете, потому что пользователю придется записать его на стикере и приклеить к дисплею. См. ключевые функции деривации.
Mark avatar
флаг ng
@PaulUszak, неясно, какое понятие энтропии вы обсуждаете, но, похоже, это не энтропия Шеннона.
Paul Uszak avatar
флаг cn
@ Марк Ты прав. Думаю, это энтропия здравого смысла. И GCHQ, и NIST теперь предлагают избегать сложных паролей в пользу таких вещей, как «бегущие крысы по радуге»_. Он также был удален с 800-90b. Таким образом, вам не нужно прикреплять его к терминалу.
Mark avatar
флаг ng
@PaulUszak Я согласен, что такие системы (явно такие инструменты, как [diceware] (https://diceware.dmuth.org/)) лучше запоминать (мастер) пароль, и вы должны использовать менеджер паролей для других ваших паролей. Но на этот вопрос также есть формальный математический ответ --- $H(X) = H(f(X))$ для любого дискретного распределения $X$ и любой (инъективной) функции $f$. Обсуждаемое кодирование является инъективным, поэтому не может уменьшать энтропию.
Рейтинг:7
флаг in

Добавление символов к существующему паролю таким фиксированным и известным способом не изменяет его энтропию, пока все остальное остается прежним.

В вашем конкретном случае добавление пробела через каждые четыре символа можно рассматривать как чистое форматирование, чтобы сделать пароли более читабельными.

Если злоумышленник не знал о форматировании, пароль просто стал длиннее на шесть символов (и его труднее подобрать). Если злоумышленник знает о форматировании, он возвращается к грубому подбору пароля в ~ 128-битном пространстве поиска.

Небольшое примечание: вы можете сделать интервал только свойством отображения (это может быть выполнимо с веб-интерфейсом, сложно с терминалом).

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.