Am 6. Juli 2009 Keine Anmerkung 6 July 2009 No Comment

so, jetzt wo wir alle einen Nutzen gehabt haben, denken darüber, ob Maskierung von Kennwörtern wirklich die richtige Weise ist zu gehen, wollen Frage ein anderes Bit des Verstands wir - wollen Frage wir, ob passphrases wirklich ebenso sicher sind, wie wir denken, dass sie sind.so now that we’ve all had a good think about whether masking passwords is really the right way to go, let’s question another bit of wisdom - let’s question whether passphrases are really as secure as we think they are.

Sie sehen mit dem ganzen Denken laut kürzlich über das Kennwort-Beglaubigungssystem eines der Themen, die in verschiedenen Sektoren besprochen wurden, war der passphrase., der die passphrase Idee darin besteht, dass, anstatt eine relativ kurze Schnur von Bytes zu verwenden (den wir alle wegen des Arguments hoffen werden, ist nicht ein Wörterbuch-Wort), als das geteilte Geheimnis Sie verwenden, um sich mit einem System zu beglaubigen, verwenden Sie einen wirklichen vollenden Satz, der, obwohl zusammengesetzt, aus Wörterbuch-Wörtern ganz ein bisschen länger und so theoretisch härter ist, zu erraten oder mit roher Gewalt anzugreifen.you see with all the thinking out loud recently about the password authentication system one of the topics that got discussed in various sectors was the passphrase. the passphrase idea is that instead of using a relatively short string of bytes (which we’ll all hope for the sake of argument isn’t a dictionary word) as the shared secret you use to authenticate yourself with some system, you use an actual complete sentence which, although made up of dictionary words is quite a bit longer and thus theoretically harder to guess or attack by brute force.

die Theorie geht, dass mehr Charaktere in Ihrem geteilten Geheimnis sind (sie ein Kennwort oder passphrase oder was auch immer sein), die möglicheren Kombinationen, die ein Programm würde durchgehen müssen, bevor es schließlich denjenigen fand, der zusammenpasste. zusätzlich, da ein passphrase ein richtiger Satz ist, der aus richtigen Wörtern gemacht ist, die die Einigkeit scheint zu sein, dass es leichter sein würde sich zu erinnern.the theory goes that the more characters are in your shared secret (be it a password or passphrase or whatever) the more possible combinations a program would have to go through before it eventually found the one that matched. additionally, since a passphrase is a proper sentence made out of proper words the consensus seems to be that it would be easier to remember.

aber sind jene Dinge wahr? wollen Blick auf das Länge-Problem wir. eines der Dinge, auf die Sie häufig stoßen werden, indem Sie ein Kennwort auswählen werden, ist das Bedürfnis, es Komplex zu machen. der Komplex in diesem Zusammenhang bedeutet, dass es Charaktere von einer ebenso breiten Reihe der druckfähigen ascii Codierung zieht wie möglich, und dass es Wörterbuch-Wörter - grundsätzlich das nähere nicht enthält, sieht es wie eine zufällige Schnur von Charakteren besser aus. der Grund dafür ist 2-fach: Die breite Reihe von Charakteren soll die Zahl von möglichen Werten für jeden Charakter im Kennwort maximieren, so dass die Gesamtzahl von möglichen Kennwörtern, die ein Angriff der rohen Gewalt würde durchgehen müssen, und zufälliges Eigentum "nicht maximiert würde, soll Wörterbuch-Wort" irgendwelche Einschränkungen darauf entfernen, was die verschiedenen Charaktere sein könnten, würde das die Gesamtzahl von möglichen Kennwörtern schließlich senken (Beispiel. auf Englisch wird dem Brief Q fast immer vom Brief U gefolgt). natürliche Sprache führt beträchtliche Einschränkungen ein - obwohl man 7 Bit pro Charakter braucht, um den kompletten Satz von druckfähigen Charakteren zu vertreten, ist die englische Sprache allgemein bekannt, um etwas mehr als 3 Bit der Information pro Charakter wegen aller jener Einschränkungen zu enthalten. das bedeutet, dass ein englischer passphrase von 20 Charakteren über ebenso stark ist wie ein zufälliges Kennwort ungefähr Hälfte dieser Länge. mindestens, wenn das das einzige beteiligte Problem war.but are those things true? let’s look at the length issue. one of the things you’ll often encounter when selecting a password is the need to make it complex. complex in this context means that it draws characters from as wide an array of the printable ascii character set as possible and that it doesn’t contain dictionary words - basically the closer it looks like a random string of characters the better. the reason for this is 2-fold: the wide array of characters is to maximize the number of possible values for each character in the password so that the total number of possible passwords a brute force attack would have to go through would be maximized, and random non-dictionary-word property is to remove any constraints on what the various characters might be that would ultimately lower the total number of possible passwords (example. in english the letter Q is almost always followed by the letter U). natural language introduces considerable constraints - although it takes 7 bits per character to represent the entire set of printable characters, the english language is generally known to contain a little over 3 bits of information per character because of all those constraints. that means that an english passphrase of 20 characters is about as strong as a random password about half that length. at least if that were the only issue involved.

jetzt wie ist Ihr Gedächtnis? eine Weile zurück, als ich die Möglichkeit besprach, gute Kennwörter zu wählen, dass Sie ein verschiedenes Kennwort auf jede Rechnung haben sollten, die Sie machen, so dass, wenn man in Verlegenheit gebracht wird, der Rest sicher bleiben. nichts über das Verwenden passphrases begegnet das Bedürfnis, einen verschiedenen und verschiedenen auf jede Rechnung zu haben, so können Sie sich 20, 50, 100 verschiedene Sätze erinnern? können Sie sich an sie alle vollkommen erinnern? können Sie sich erinnern welcher geht mit welche Seite? vielleicht nicht. now how is your memory? a while back when i discussed choosing good passwords that you should have a different password for each account you make so that if one gets compromised the rest remain secure. nothing about using passphrases obviates the need to have a distinct and different one for each account so can you remember 20, 50, 100 different sentences? can you remember them all perfectly? can you remember which one goes with which site? perhaps not.

wie konnte ein durchschnittlicher Benutzer das leichter (außer dem Wiederverwenden passphrases) machen? die offensichtlichste Taktik würde kulturell bedeutende Ausdrücke verwenden sollen. Dinge wie:how could an average user make that easier (besides reusing passphrases)? the most obvious tactic would be to use culturally significant phrases. things like:

"Der Regen in Spanien fällt hauptsächlich in der Prärie"“The rain in Spain falls mainly in the plains”
"Sind Sie klüger als ein Fünftklässler"“Are you smarter than a fifth grader”
"Rudolph die rot-nasigen Renntiere hatte eine sehr glänzende Nase"“Rudolph the red-nosed reindeer had a very shiny nose”
……

ich sage, dass das die offensichtlichste Taktik ist, weil wir es bereits in den Medien gesehen haben - wenn Sie Weg zurück zurückrufen werden, gab es genannten millenium eines Fernsehprogramms die Hauptrolle spielende Lanze hendriksen. der Charakter von hendriksen wurde von einer geheimen Organisation rekrutiert, die ihre Rekruten mit geschützten Computern von passphrase versorgte, und im Fall von hendriksen der passphrase "Grüner Soylent war, ist Leute" (ein Zitat aus dem Film soylent grün). i say this is the most obvious tactic because we’ve already seen it in the media - if you’ll recall way back there was a television program called millenium starring lance hendriksen. hendriksen’s character was recruited by a clandestine organization who supplied their recruits with passphrase protected computers, and in hendriksen’s case the passphrase was “Soylent Green is people” (a quote from the movie soylent green).

das fügt eine andere Schicht von Einschränkungen auf dem Satz von wahrscheinlichen Werten hinzu, und mein Eingeweide-Instinkt ist, dass diese Einschränkung so bedeutend ist, dass, anstatt einen vollen Angriff der rohen Gewalt zu organisieren, es ausführbar sein würde, einfach einen Wörterbuch-Angriff zu organisieren. ich werde zugeben, dass es eine Vielzahl von kulturell bedeutenden Ausdrücken gibt, von denen Leute wählen könnten, aber ich bezweifle, dass sich der cardinality dieses Satzes bedeutsam von diesem des Satzes von Wörtern in einem wirklichen Wörterbuch unterscheidet. außerdem würde es für einen Angreifer nicht zu schwierig sein, Leute auf freiem Fuß ins Erzeugen eines Wörterbuches von passphrases für ihn/ihren zu beschwindeln, einfach, eine freie Website aufstellend, die eine Rechnung logon verlangt, um auf Porno zuzugreifen.this adds another layer of constraints on the set of probable values and my gut instinct is that this constraint is so significant that rather than mounting a full brute force attack it would be feasible to simply mount a dictionary attack. i will concede that there are a very large number of culturally significant phrases that people might choose from, but i doubt the cardinality of that set differs significantly from that of the set of words in an actual dictionary. furthermore, it wouldn’t be too difficult for an attacker to trick people at large into generating a dictionary of passphrases for him/her simply by setting up a free website that requires an account logon in order to access porn.

als solcher stelle ich sowohl die Idee infrage, dass passphrases leichter sein wird, sich wenn verwendet, richtig zu erinnern, als auch dass ein passphrase mehr rechenbetont teuer ist, um anzugreifen. ich denke, dass die gewonnene Kraft, die Länge vergrößernd, eine Gespenst-Verbesserung ist, dass die zusätzliche Kraft wegen des verschiedenen zusätzlichen weggeworfen wird, beschränkt auf dem Satz von möglichen Werten. ich denke, dass es keine Bequemlichkeit des Gebrauch-Vorteils geben wird, weil die bloße Zahl von passphrases noch verlangen wird, dass sie irgendwie registriert werden (und da sie so viel länger sind, als normale Kennwörter, sie alle registrierend, mehr lästig sein werden). ich mag die Idee, Kennwort-Felder auszubreiten, um mehr Charaktere zu akzeptieren, aber ich sehe keinen Grund, diesen Extraraum für etwas anderes zu verwenden, als längere starke Kennwörter. as such, i question both the idea that passphrases will be easier to remember when used properly and that a passphrase is more computationally expensive to attack. i think the strength gained by increasing the length is a phantom improvement, that the added strength is thrown away due to the various additional constrains on the set of possible values. i think there will be no ease of use benefit as the sheer number of passphrases will still require them to be recorded somehow (and since they’re so much longer than normal passwords, recording them all will be more onerous). i like the idea of expanding password fields to accept more characters, but i see no reason to use that extra space for anything other than longer strong passwords.