Сколькибитный пароль считается достаточно сложным, чтобы его не сломало брутфорсом ЦРУ/ФСБ?

Question

[Роми]

Начну с цитаты из ответа:

Когда говорят о длине ключа в N бит обычно имеют в виду что у ключа может быть 2**N различных значений. Соответственно в вашем случае для фразы из 100 различных слов длиной 10 слов имеем 100**10 вариантов. Что бы выразить это в битах нужно взять от него двоичный логарифм.
Получится log2 100**10 ≈ 67 бит.

А 67 бит это много или мало? :)

Сколько бит должно быть в пароле, чтобы его гарантированно не сломали через API (или даже через сокетное соединение) любые спецслужбы мира? ))

И чтобы с запасом на 5 лет вперед))

Просьба не писать ответы типа "100500 миллионов бит" )) имеется в виду - минимально достаточный - оба слова ключевые))

Спасибо!

Comments

[VitalyChaikin]

вопрос не корректный т.к. не указан алгоритм шифрования;
Так для простого алгоритма XOR не поможет и 100500 млн бит

[Dmitry Roo]

Брутфорс, который используют спецслужбы - это не про пароли и не про ключи.

[Дмитрий]

Dmitry Roo, сложно придумать пароль стойкий к брутфору паяльником

Answer 1

[cicatrix]

67 бит это мало.
100-128 бит вполне достаточно для текущих вычислительных мощностей.
256 бит, которые используются в большинстве современных криптосистем - overkill с огромным запасом.
Но надо понимать, что это всё теория, где имеется идеальная безошибочная реализация криптоалгоритма и используется действительно уникальный, никому не известный ключ.
Так же надо учитывать, что сам алгоритм может быть уязвимым для квантовых алгоритмов. Пока ещё у людей нет квантовых компьютеров, способных взломать, например RSA, но они могут появиться в будущем. Более уязвимы ассимитричные алгоритмы, симметричные будут вполне устойчивы даже после квантовой революции.
Единожды взломанная база данных какого-нибудь интернет-магазина делает ВСЕ пароли, которые были использованы его пользователями, уязвимыми, даже если это хорошие пароли, потому что сначала будут использовать не брутфорс, а атаку по словарю, в котором уже будут эти пароли.
Пользователь-идиот - классический вектор атаки. Соц. инженерия, кейлоггеры, зловреды - вполне рабочие инструменты.
Ну и главное - универсальный метод взлома - терморектальный криптоанализ, имеющий практически 100%-ю эффективность.
ФСБ будет действовать именно так, как показано на картинке от XKCD:

Comments

[res2001]

И еще дополню - никто не гарантирует, что в общеизвестных алгоритмах нет backdoor у тех же спец.служб.
Хотя, конечно, открытость алгоритма способствует тому, что бы его анализировали толпы криптоаналитиков, но и backdoorы в этом случае не лежат на поверхности и их совсем не просто найти.

[cicatrix]

res2001, Чтобы добавить к паранойе - никто не гарантирует, что нормальный на первый взгляд компилятор, при компиляции криптоалгоритма, не вставит туда бэкдор. Только скрипты, только хардкор! :)

Answer 2

[Владимир Дубровин]

Сформулируйте от какой атаки вы защищаетесь этим паролем. Если от подбора пароля по сети, то в предположении что сервис может обработать миллион запросов на авторизациюв секунду и не имеет никакой защиты от брутфорса (что странно для сервиса обрабатывающего много авторизаций), потребуется 10^14 секунд для полного перебора или что-то порядка миллиарда лет, но скорей всего если к сервису полетит миллион запросов на авторизацию в секунду - он ляжет. Если от подбора пароля в офлайне по слитой с этого сервиса базы хешей - то видимо вам будет все равно, раз сервис уже поломали и хеши слили, при условии что этот пароль вы больше нигде не используете, т.к. если взлом обнаружен, порядочный сервис форсирует смену паролей пользователями, если не обнаружен или сервис непорядочный - то в общем-то без разницы, какой у вас там пароль. Поэтому для пароля важна не столько длина, сколько уникальность и неугадываемость (энтропийность).

Основная проблема паролей не в длине, а в том что пользователи пароли генерируют не случайно (т.к. не умеют использовать парольные менеджеры), переиспользуют, плохо хранят и ведутся на фишинг. При таких проблемах их длина практического значения не имеет, и по факту практически никогда не встречается брутов на которткие пароли, встречаются бруты на словарные, пароли с пользовательскими данными и стаффинг паролей с других сервисов, просто среди коротких гораздо больше словарных, пароль длиной 7 символов и меньше с высокой вероятностью будет словарным, даже если он случайно сгенерирован, случайный уникальный пароль 10+ символов практически никогда не будет взломан по сети, даже если в нем только маленькие буквы, т.е. в нем менее 50 бит энтропии.

Если вы хотите защищаться от офлайнового брута (например речь идет про сид коршелька) - то вот тут уже надо учитывать и вычислительные мощности тех, кто может ваш кошелек атаковать и запас на будущее и потенциально квантовую криптографию. Допустимая битность в таком случае будет зависеть от используемых алгоритмов, мощностей атакующего и допустимого уровня риска (например вы можете взять достимый уровень как вероятность взломать за год на вычислителе с 1 Петафлопсом 0.001% и исходя из алгоритма посчитать необходимое количество бит энтропии)

Comments

[Роми]

случайный уникальный пароль 10+ символов практически никогда не будет взломан по сети, даже если в нем только маленькие буквы и менее 50 бит энтропии.

спасибо!

Answer 3

[Роми]

Нагуглил вот что:

Для обеспечения криптографической стойкости для нужд Федерального правительства сегодня требуется не меньше 112 бит (например, для шифрования или подписи данных).

Чтобы получить 128 бит энтропии с использованием прописных и строчных букв, а также чисел, нужен пароль длиной 22 символа ((5.95 * 22 = 131 бит).

Это годный ответ?

Comments

[Василий Банников]

вы же автор вопроса - вам и решать, на сколько он годный)
Лично мне нравится такой ответ

[Lander]

Тебе же сказали что от длина ключа в отрыве от указания алгоритма шифрования - это пустая информация. Во первых - тип алгоритма. Если для большинства блочных симметричных шифров 128-256 бит - вполне безопасная длина ключа, то длины ключей для ассиметричных алгоритмов начинаются от 1024 бит. Кроме этого в алгоритмах есть слабые места, которые и используют при взломе. Никто не ломает шифр перебором всех возможных ключей. Читайте про криптоанализ прежде чем садится за разработку своего супер-нового-и-безопасного алгоритма.

Answer 4

[CityCat4]

Сколько бит должно быть в пароле, чтобы его гарантированно не сломали ... любые спецслужбы мира?

Нисколько. Спецслужбы мира не работают с техникой :) Спецслужбы мира работают с людьми. Вы вообще хоть когда-нибудь хоть по чему-нибудь общались с самым банальным следаком? Нет же, наверняка. Оттого и пребываете в убеждении, что в момент, когда вами начнут заниматься спецслужбы, в отношении Вас будут соблюдаться какие-то законы :D