Comment pouvons-nous mesurer avec précision une plage d'entropie de mot de passe?
Je me suis donné la tâche de rédaction de code qui détermine la force d'un mot de passe et je veux vraiment sortir de beaucoup de moyens déjà établis que nous faisons cela, car ils manquent souvent, pas conçus de la bonne façon, ni rapidement. devenir sans importance.
Généralement, nous verrons des modèles dans lesquels vous entrez un mot de passe et un booléen "Vous avez besoin de 7 caractères avec des lettres et des chiffres" est présenté. Plus tard, nous avons eu un graphique raisonnable qui montre un classement "fort au faible à faible" (et les variations où il s'agit d'un pourcentage). Nous nous améliorons à ce modèle, beaucoup mieux réellement, où nous pensons montrant le temps de l'utilisateur à la force brute , explicitement Quatre des raisons de la raison pour laquelle ce score a été attribué ,
Maintenant, j'aime beaucoup la présentation de ces deux dernières idées, mais ce n'est pas ma principale préoccupation ici, et ma question n'a rien à voir avec la présentation de cet outil.
Ma question est que ce devrait être un programme qui génère une gamme estimée de la sécurité de mot de passe prend en compte?
Après avoir regardé à travers la source de Howsecurismypassword.net, nous voyons que quelques objets soignés, comme Garder une liste des 500 mots de passe communs, des mots de passe de groupes par des classes de caractères impliqués et relie une méta-score à un temps estimé à la fissure. un tas de valeurs de hasch dans cette gamme. Il y a des problèmes avec cela, tels que les 500 meilleurs mots de passe ne sont pas réfléchis au présent "Top 500", mais plutôt ceux au moment de la rédaction du code, les mêmes vues pour les vitesses de fissuration du mot de passe et les attaques qui peuvent ne pas finir par l'utilisation de brute Obliger.
Je vois des problèmes similaires avec PasswordMeter.com, mais plus dans le sens où il fonctionne au mieux plutôt que les pires scénarios.
Donc, ma question est
Que dois-je penser de mesurer le score de sécurité d'un mot de passe à l'heure "maintenant"?
Le meilleur travail dans cette zone que j'ai vue est par le Weir Matt en matière de sécurité réutilisable: Nouveau papier sur les métriques de sécurité du mot de passe (2010) . Il décrit la différence entre "Shannon Entropy" et "Deviness Entropy". Il a également une méthode intéressante de prendre un mot de passe pour un utilisateur, de l'analyser et d'offrir des suggestions pour le rendre meilleur:
.... Autres méthodes de stratégie de création de mots de passe, y compris notre méthode proposée pour évaluer la probabilité d'un mot de passe généré par l'homme en l'analysant avec une grammaire formée aux listes de mots de passe précédemment décrites. Cela nous permet de construire une fonction de rejet plus robuste par rapport à une simple liste noire, tout en essayant de fournir la liberté de sécurité la plus utilisée possible, compte tenu des contraintes de sécurité du système, lors de la sélection de leurs mots de passe.
Mise à jour: Comme User185 Notes, l'annexe A de la ligne directrice d'authentification électronique NIST à partir de 2006, révisée en 2013, est également très utile. Il va en détail sur le calcul de ces deux termes:
"Tel qu'appliqué à une distribution de mots de passe, le devineuse entropie est, d'environ parler, une estimation de la quantité moyenne de travail requis pour deviner le mot de passe d'un utilisateur sélectionné et le min-entropy est une mesure de la difficulté de Devinez le mot de passe unique le plus simple à deviner dans la population.
Notez que cette question est étroitement liée:
Annexe A of the Ligne directrice de l'authentification électronique NIST Détails La méthode utilisée pour construire l'entropie par rapport au tableau de longueur de mot de passe A.1, y compris quelques références pour la lecture ultérieure.