Составление надежной парольной фразы!
BezLich
Существует 3 основных категории паролей:
1 категория - пароли не являющиеся критичными., используемые для сервисов к которым есть доступ у третьей стороны, либо через решение суда (вариант GMAIL) Либо путем прямого доступа к сервису/серверам (вариант Tor2Mail)
В этом случае мы защищаем информацию только от хакеров и пароля в 128/256 бит сгенерированного программой подобной KeePassX достаточно. В первом случае 16 случайных символов - пример
o(t2fmWz&~h$O{(7
Во втором случае 32 случайных символа - пример
KyMqsOJukvV5^tm8G]DytxBeG`+<[|<T
Необходимо отметить, что KeePassX использует генератор псевдослучайных чисел, таким образом реальная энтропия - ниже природной, но поскольку мы имеем дело с информацией которая в любом случае будет доступна противнику, оперирующему на уровне государственных структур, то мы изначально считаем скомпрометированной всю информацию защищенную подобными паролями на таких ресурсах. 1 категория защищает нас только от частных лиц. Эти пароли генерируются компьютерными программами подобными KeePassX и в них же хранятся. Потеря таких паролей - не критична.
2 категория - пароли, являющиеся относительно критичными. Такие пароли должны иметь 256-512 бит НАТУРАЛЬНОЙ ЭНТРОПИИ, генерация компьютерными программами абсолютно неприемлема по причине возможного наличия неизвестной слабости или уязвимости в модуле генератора псевдослучайных чисел, а также по той причине что сам пароль не должен сохраняться. Сохраняется НАМЕК на пароль, способ использования которого необходимо запомнить:
В качестве примера возьмем пароль DICEWARE из 12 слов:
абулия
пилка
гнейс
шасси
цуг
ёлка
мазут
грифон
табес
винтик
тоня
шпана
Берем только нам известный номер телефона, который мы используем в качестве ключа (916-8125905). За недостатком одного знака (10 вместо 12) - берем второй номер - квартира 325. Очевидно что в качестве ключа могут быть использованы комбинации любых известных нам чисел - номер паспрота плюс номер машины друга и так далее - чтоб получить 12-значное число. Если в пароле 24 слова - то 24-значное и так далее.
916-8125905 + квартира 325 = 791681259053 (обрубаем излишние цифры - в данном случае - 5)
916812590532
Если цифра превышает 6 - то производим трансмутацию по следующей схеме: делаем смещение на 4 (10/0-4=6)
0=6, 9=5, 8=4, 7=3
916812590532 >> 516412556532 (ЭТОТ КЛЮЧ НИКОГДА НЕЛЬЗЯ НИГДЕ СОХРАНЯТЬ!!!)
Теперь находим соответствующие буквы в словах:
абулия и
пилка п
гнейс с (всего 5 букв - вместо шестой берем пятую)
шасси с
цуг ц
ёлка л
мазут т
грифон о
табес с (всего 5 букв - вместо шестой берем пятую)
винтик и
тоня н
шпана п
ипссцлтосинп
В KeyPassX сохраняем "ипссцлтосинп" это намек на пароль, который мы можем реконструировать в обратном порядке используя известный только нам ключ (916812590532 >> 516412556532) Правила мы можем менять по своему усмотрению - допустим делать смещение не на 4 а на 5. или при отсутствии шестой буквы использовать первую или третью и так далее. Если необходимо восстановить пароль - то делаем поиск слов отвечающих критерию намека:
****и***** ********и*
п*********
*****с**** *********с
и так далее
Данная система схожа с шифрованием одноразовым блокнотом (one-time pad) и доказуемо не поддается взлому.
Ниже приведу пример сгенерированного с помощью KeePassX стойкостью 512 бит (64 случайных знака). Надежное запоминание такого пароля не представляется практичным:
vggfzpX/en;>UR7,42CUu33CbJ*X4Q]SOY6<qYl~:0'Z=?Gs5h(.j^j;2bg%R7]U
К паролям 2 категории относятся следующие пароли:
- Пароли Bitmessage
- Пароли I2P
- Пароли Blockchain Wallet
Очевидно что пароли 2 категории используются только в полуизолированных системах которые подключены к интернету через анонимизирующие сети такие как TOR/I2P.
3 категория - пароли, являющиеся абсолютно критичными. Такие пароли должны иметь 512-1024 бит НАТУРАЛЬНОЙ ЭНТРОПИИ, генерация компьютерными программами абсолютно неприемлема по причине возможного наличия неизвестной слабости или уязвимости в модуле генератора псевдослучайных чисел, а также по той причине, что ни сам пароль ни намеки ни в коем случае не должны сохраняться. Его необходимо запомнить. Ниже приведу пример сгенерированного с помощью KeePassX стойкостью 1024 бит (128 случайных знаков). Надежное запоминание такого пароля не представляется практичным:
5l9B.nq>bDs{}\^0%eBdNJB5[UdBS.q;UM%J".nO:op>GwbtR@x2x{o=X.:zxVz;Pp*yU8CPQ'ovM7^<6,8#E|Uo;u(xO!h$=(CE#?!!)GEcP'=5mcT84*V*"/YU\nM8
К паролям 3 категории относятся следующие пароли:
- Пароли PGP/GPG
- Пароли контейнеров (таких как Veracrypt/TrueCrypt)
- Пароли LUKS шифровки файловой системы
Очевидно что пароли 3 категории используются только в изолированных системах которые не подключены к интернету.
При создании паролей "читаемых человеком" (human-readbale passphrase) делается минимум 50% скидка по конечной энтропии по результатам оценки "читаемым машиной" алгоритмом (machine-readable algorithm):
M@ry H@$ Huge T!t$ Th@t I L0v3 And Ch3r!$h (Вариант Mary Has Huge Tits That I Love And Cherish)
*Оценка энтропии данная KeePassX - 336 бит. Реальное значение - делим на 2 = максимум 168 бит.
Такие пароли не должны применяться во 2 и 3 категориях.
*Оценка энтропии данная KeePassX любому паролю завышена на ~20% по сравнению с реальной величиной если мы используем другую методологию (Попробуйте Password assistant в Mac OS X)
*Оценка усиления паролей на уровне hardware проприетарными системами схожим с Mac OS, где пароль длиной всего 24 знака XI1JAM9JNU4LF9GC1G47LOF9 (192 бит) дает реальную стойкость 576 бит (FileVault 2) здесь не дается, поскольку использование проприетарных систем не рекомендуется.
Общая информация о расчете уровня стойкости паролей
Многие программы используют стандарт PBKDF2, который обеспечивает замедление атак словарного перебора, за счёт многократного хэшированию с солью. Многократное хэширование даёт замедление проверки каждого пароля. Т.н. "соль" (случайно сгенерированная открытая строка) используется для предотвращения использования заранее просчитанных таблиц ключей из паролей.
Если даже не рассматривать эти меры противодействия словарным атакам, то для самых консервативных оценок нужно исходить из 128-битной стойкости пароля.
Т. е. pn должно быть примерно равно 2128, где p — количество символов во множестве для случайного выбора, из которого составлен пароль, n — длина пароля.
Например 2727 ≈ 2128 — если можно запомнить абсолютно случайный набор из двадцати шести букв с клавиатуры + пробел, длиной также из 27 символов.
Энтропию одного символа можно посчитать, решив уравнение 2x=N, где N это количество символов в алфавите:
x = log2(N) = ln(N)/ln(2)
Умножив эту величину на количество символов в пароле, легко рассчитать его общую энтропию.
На практике проще всего запомнить 10 случайно выбранных слов из специально подготовленных словарей коротких слов Diceware, что даст 128-битный уровень. Слова можно связать во фразу для лёгкого запоминания, главное не использовать известные фразы, не подгонять порядок слов под естественный или удобный.
Пароли - это всегда компромисс между безопасностью и удобством. Один из наиболее наиболее оптимальных способов составления парольной фразы с применением натуральной этропии - это метод Diceware:
1. Нам понадобится игральная кость, ручка и бумажка. Игральная кость - это кубик с точками на гранях, от 1 до 6, используется в азартных и других настольных играх.
2. Используем список слов в доступный по данной ссылке:
3. Минимальное количество слов в парольной фразе - 12 (155.04 бит натуральной энтропии). Идеально - 24 (310.08 бит натуральной энтропии). Также в идеале нужно распечатать список слов и составлять парольную фразу без участия компьютера вовсе.
4. Замечаем, что каждому слову соответствует пятизначное число. Выбирается слово путем броска кости. Нетрудно догадаться, что для каждого слова необходимо бросить игральную кость пять раз (Результат каждого броска записываем, распределив его по пятизначным числам.
5. Находим и последовательно записываем слова из списка. После выполнения этой процедуры (от 12 до 24 слов), вписываем в любое место парольной фразы двух-, трех- или четырехзначное число на выбор. Стойкая парольная фраза готова.
6. Сохраняем листок с парольной фразой в надежном, но легкодоступном месте - например, в бумажнике. Первое время он будет служить подсказкой. Поверьте, вы быстро запомните парольную фразу, и уже через неделю-другую вы должны будете избавиться от листка, выучив ее наизусть. Практика показывает, что быстрота и надежность запоминания парольной фразы прямо зависит от частоты ее использования.
7. С данным методом энтропия составляет 12.92 бит на слово при условии наличия природной энтропии, а не генераторов псевдослучайных чисел, использующизся а в компьютерных программах.
Получившиеся подобным образом парольные фразы целесообразно использовать следующим образом:
-Люди с плохой памятью учат две парольные фразы - для расшифровки компьютера и для программы генерации паролей (типа KeePass, KeePassX и т.п.) на зашифрованном компьютере
-Люди с хорошей памятью учат дополнительно парольные фразы для своих секретных GPG-ключей и контейнеров TrueCrypt/Veracrypt
-Люди с идеальной памятью используют парольные фразы везде
Общие рекомендации использования и хранения паролей:
- Никому не сообщайте пароль.
- Не отправляйте пароль по электронной почте.
- Не используйте одинаковые пароли для разных целей
- Не набирайте пароль на компьютере, который вы не контролируете.
- Научитесь быстро набирать пароль, чтобы никто из посторонних не успел его подглядеть.
- Избегайте набирать пароль, когда кто-нибудь находится у вас за спиной. Следите, в том числе и боковым зрением, чтобы никто не подсматривал, как вы набираете пароль.
- Внимательно следите за тем, где вы вводите пароль. Иногда злоумышленники создают ложные входы в сервисы и с их помощью воруют пароли. Обращайте внимание на вероятность использования противником кейлоггеров и скрытых видеокамер. Разъяснение по тактике предотвращения подобных атак будет предоставлено позже).
- По возможности периодически (примерно раз в полгода) меняйте пароль. (применимо исключительно к онлайн сервисам и паролям 1 категории. Разъяснение будет предоставлено позже)
- Для хранения большого количества паролей используйте программу KeePassX
⚡️Читайте Самые интересные материалы про Безопасность на Канале Безопасность Личности⚡️