Пароли. Составление надежной парольной фразы по методу Diceware

Общая информация о расчете уровня стойкости паролей


Многие программы используют стандарт PBKDF2, который обеспечивает замедление атак словарного перебора, за счёт многократного хэшированию с солью. Многократное хэширование даёт замедление проверки каждого пароля. Т.н. "соль" (случайно сгенерированная открытая строка) используется для предотвращения использования заранее просчитанных таблиц ключей из паролей.

Если даже не рассматривать эти меры противодействия словарным атакам, то для самых консервативных оценок нужно исходить из 128-битной стойкости пароля.

Т. е. pn должно быть примерно равно 2128, где p — количество символов во множестве для случайного выбора, из которого составлен пароль, n — длина пароля.
Например 2727 ? 2128 — если можно запомнить абсолютно случайный набор из двадцати шести букв с клавиатуры + пробел, длиной также из 27 символов.

Энтропию одного символа можно посчитать, решив уравнение 2x=N, где N это количество символов в алфавите:
x = log2(N) = ln(N)/ln(2)
Умножив эту величину на количество символов в пароле, легко рассчитать его общую энтропию.

На практике проще всего запомнить 10 случайно выбранных слов из специально подготовленных словарей коротких слов Diceware, что даст 128-битный уровень. Слова можно связать во фразу для лёгкого запоминания, главное не использовать известные фразы, не подгонять порядок слов под естественный или удобный.

Пароли - это всегда компромисс между безопасностью и удобством. Один из наиболее наиболее оптимальных способов составления парольной фразы с применением натуральной этропии - это метод Diceware:

1. Нам понадобится игральная кость, ручка и бумажка. Игральная кость - это кубик с точками на гранях, от 1 до 6, используется в азартных и других настольных играх.

2. Список слов используем доступный ниже по ссылки:
Список слов Diceware на русском

3. Замечаем, что каждому слову соответствует пятизначное число. Выбирается слово путем броска кости. Нетрудно догадаться, что для каждого слова необходимо бросить игральную кость пять раз (Результат каждого броска записываем, распределив его по пятизначным числам.

4. Минимальное количество слов в парольной фразе - 12 (155.04 бит натуральной энтропии). Идеально - 24 (310.08 бит натуральной энтропии). Также в идеале нужно распечатать список слов и составлять парольную фразу без участия компьютера вовсе.

5. Находим и последовательно записываем слова из списка. После выполнения этой процедуры (от 12 до 24 слов), вписываем в любое место парольной фразы двух-, трех- или четырехзначное число на выбор. Стойкая парольная фраза готова.

6. Сохраняем листок с парольной фразой в надежном, но легкодоступном месте - например, в бумажнике. Первое время он будет служить подсказкой. Поверьте, вы быстро запомните парольную фразу, и уже через неделю-другую вы должны будете избавиться от листка, выучив ее наизусть. Практика показывает, что быстрота и надежность запоминания парольной фразы прямо зависит от частоты ее использования.

7. С данным методом энтропия составляет 12.92 бит на слово при условии наличия природной энтропии, а не генераторов псевдослучайных чисел, использующизся а в компьютерных программах.

Общие рекомендации использования и хранения паролей
- Никому не сообщайте пароль.
- Не отправляйте пароль по электронной почте.
- Не используйте одинаковые пароли для разных целей
- Не набирайте пароль на компьютере, который вы не контролируете.
- Научитесь быстро набирать пароль, чтобы никто из посторонних не успел его подглядеть.
- Избегайте набирать пароль, когда кто-нибудь находится у вас за спиной. Следите, в том числе и боковым зрением, чтобы никто не подсматривал, как вы набираете пароль.
- Внимательно следите за тем, где вы вводите пароль. Иногда злоумышленники создают ложные входы в сервисы и с их помощью воруют пароли. Обращайте внимание на вероятность использования противником кейлоггеров и скрытых видеокамер. Разъяснение по тактике предотвращения подобных атак будет предоставлено позже).
- По возможности периодически (примерно раз в полгода) меняйте пароль. (применимо исключительно к онлайн сервисам и паролям 1 категории. Разъяснение будет предоставлено позже)
- Для хранения большого количества паролей используйте программу KeePassX

Получившиеся подобным образом парольные фразы целесообразно использовать следующим образом:
-Люди с плохой памятью учат две парольные фразы - для расшифровки компьютера и для программы генерации паролей (типа KeePass, KeePassX и т.п.) на зашифрованном компьютере
-Люди с хорошей памятью учат дополнительно парольные фразы для своих секретных GPG-ключей и контейнеров TrueCrypt/Veracrypt
-Люди с идеальной памятью используют парольные фразы везде