Es gibt keine einzelne, allgemein vereinbarte "Mindest" -Delopie für ein sicheres Passwort. Sicherheit ist immer ein Kompromiss zwischen Benutzerfreundlichkeit und Schutz, und die "richtige" Antwort hängt stark vom Kontext und dem Bedrohungsmodell ab.
Hier finden Sie jedoch eine Aufschlüsselung gemeinsamer Empfehlungen und Überlegungen:
Allgemeine Richtlinien:
* 80 Bit Entropie ist eine weithin empfohlene Basis für eine starke Sicherheitskennwortsicherheit. Dies ist ein guter Ausgangspunkt für die meisten Anwendungen und Dienste. Warum? Weil es Brute-Forcing das Passwort für die meisten Angreifer unerschwinglich teuer macht.
* mindestens 11 Zeichen mit starker Zufälligkeit: Dies führt häufig zu ungefähr 50 Bit Entropie mit einem starken Passwortgenerator mit einem großen Zeichen (Großbuchstaben, Kleinbuchstaben, Ziffern, Symbole). Obwohl es besser als nichts ist, wird es von vielen Sicherheitsexperten angesehen und könnte für ausgefeiltere Angriffe anfällig sein, insbesondere wenn der Prozess der Kennworterstellung fehlerhaft ist oder Benutzer vorhersehbare Entscheidungen treffen.
Faktoren, die die Entropieanforderungen beeinflussen:
* Der Wert der geschützten Daten: Wenn Sie hochempfindliche Informationen (z. B. Bankkonten, staatliche Geheimnisse) schützen, möchten Sie eine deutlich höhere Entropie. Denken Sie im Bereich von 100 Bit oder mehr nach.
* Die Ressourcen des Angreifers: Akteure oder große kriminelle Organisationen haben die Ressourcen, um Passwörter zu knacken, die für durchschnittliche Benutzer als "stark" angesehen werden.
* Der Hashing -Algorithmus verwendet: Ein moderner, starker Hashing -Algorithmus (wie Argon2, Bcrypt oder Scrypt) ist entscheidend. Wenn Sie einen älteren, schwächeren Algorithmus (wie MD5 oder SHA1) verwenden, können selbst hohe Entropiekennwörter anfällig sein. Der Hashing -Algorithmus trägt zu den Kosten eines Angriffs bei, was ihn zu einer wichtigen Verteidigungsschicht macht.
* Salz: Ein einzigartiges, zufällig erzeugtes Salz sollte * immer * verwendet werden, wenn Hashing -Passwörter. Salze verhindern Angreifer, vorbereitete Tabellen mit Passwort-Hashes (Regenbogentabellen) zu verwenden.
* Anforderungen an die Passwortkomplexität: Während die Komplexitätsanforderungen (z. B. "einen Großbuchstaben, eine Nummer und ein Symbol" enthalten müssen) häufig implementiert werden, können sie nach hinten losgehen. Benutzer neigen dazu, vorhersehbare Kennwörter zu erstellen, die den Anforderungen entsprechen, die die Entropie tatsächlich reduzieren. Es ist besser, *Länge *und *Zufälligkeit *zu fördern.
* Passwort Wiederverwendung: Die Wiederverwendung von Passwörtern auf mehreren Websites ist ein * Haupt- * Sicherheitsrisiko. Wenn ein Dienst kompromittiert ist, werden alle Konten, die das gleiche Passwort verwenden, anfällig.
* Passwortmanager: Die Verwendung eines seriösen Passwort -Managers zum Generieren und Speichern von starken, eindeutigen Passwörtern für jede Website wird dringend empfohlen. Kennwortmanager können Kennwörter mit 128 Entropiebits oder höher erstellen und verwalten.
* Multi-Faktor-Authentifizierung (MFA): Das Aktivieren von MFA fügt eine zweite Sicherheitsebene hinzu, auch wenn das Kennwort schwach oder beeinträchtigt ist. Dies erhöht die Schwierigkeit für einen Angreifer erheblich.
Entropie schätzen:
Die Entropie wird normalerweise in *Bits *gemessen. Jedes Bit ist eine Verringerung der Unsicherheit um 50%. Je höher die Entropie, desto schwieriger ist es, das Passwort zu erraten oder zu knacken.
* Zeichensatzgröße: Die Anzahl der möglichen Zeichen, die Sie in Ihrem Passwort verwenden können (Großbuchstaben, Kleinbuchstaben, Ziffern, Symbole).
* Passwortlänge: Die Anzahl der Zeichen in Ihrem Passwort.
Die Formel zur Annäherung der Entropie lautet:
`Entropie (Bits) ≈ Länge * log2 (Zeichensatzgröße)`
`log2 (x)` ist der Basis-2-Logarithmus von `x`. Sie können es mit `log10 (x) / log10 (2) ≈ log10 (x) / 0,301` annähern.
Beispiel:
Angenommen, Sie haben ein Passwort, das 12 Zeichen lang ist und Großbuchstaben, Kleinbuchstaben, Ziffern und gemeinsame Symbole verwendet (insgesamt etwa 95 Zeichen).
* Länge =12
* Zeichensatzgröße =95
Entropie ≈ 12 * log2 (95) ≈ 12 * (log10 (95) / 0,301) ≈ 12 * (1,978 / 0,301) ≈ 12 * 6,57 ≈ 78,84 Bits
Empfehlungen:
* Ziel mindestens 80 Bit Entropie. Dies ist ein gutes Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit für viele Anwendungen.
* Priorisieren Sie die Kennwortlänge gegenüber den Komplexitätsanforderungen. Ein langes, zufälliges Passwort ist viel schwerer zu knacken als ein kurzer, komplexer.
* Verwenden Sie einen starken Passworthashing -Algorithmus mit einem einzigartigen Salz.
* Multifaktorauthentifizierung nach Möglichkeit aktivieren.
* Ermutigen (oder sogar durchsetzen) die Verwendung von Kennwortmanagern.
* regelmäßig überprüfe und aktualisieren Kennwortrichtlinien.
* Benutzer über die Best Practices für Passwortsicherheit informieren.
Zusammenfassend ist 80 Bit ein guter Ausgangspunkt, aber die ideale minimale Entropie hängt vom spezifischen Kontext ab. Betrachten Sie immer den Wert der geschützten Daten, der potenziellen Angreifer und der verfügbaren Sicherheitsmaßnahmen.