Trợ giúp với việc tính toán (và tính hữu dụng) của mật khẩu entropy

Question

Đây là một câu hỏi hai phần:

Phần 1

Thứ nhất, đối phó với tính entropy của một mật khẩu trong PHP. Tôi đã không thể tìm thấy bất kỳ ví dụ mã nào có âm thanh thực nghiệm và thực sự muốn một số trợ giúp trong việc tìm ra cách 'đúng' để tính số cuối cùng. Rất nhiều người trên mạng có thuật toán trọng số tự nướng của riêng họ, nhưng tôi thực sự đang tìm kiếm câu trả lời khoa học cho phương trình.

Tôi sẽ sử dụng entropy mật khẩu như một phần của hệ thống bảo mật lớn hơn và là cách phân tích bảo mật dữ liệu chung dựa trên thông tin có thể truy cập được nếu mật khẩu của người dùng bị xâm nhập và mật khẩu có thể bị hỏng lực lượng.

Phần 2

Phần thứ hai của câu hỏi này là: làm thế nào hữu ích sẽ con số này thực sự là gì? Mục tiêu cuối cùng của tôi là tạo ra một 'điểm số' cho mỗi mật khẩu trong hệ thống mà chúng ta có thể sử dụng để giám sát an ninh hệ thống tổng thể của chúng tôi như một thực thể năng động. Tôi có lẽ sẽ phải làm việc trong một thuật toán hoặc hai cho các cuộc tấn công từ điển, mật khẩu thay thế l33t, vv - nhưng tôi cảm thấy rằng entropy sẽ đóng một vai trò quan trọng trong một đánh giá hệ thống tổng thể. Tôi hoan nghênh các đề xuất cho các cách tiếp cận khác mặc dù.

Những gì tôi biết

Tôi đã thấy một số đề cập đến các phương trình logarit để tính toán nói entropy, nhưng tôi chưa thấy một ví dụ điển hình đó là không thực sự được viết như một phương trình toán học. Tôi thực sự có thể sử dụng một ví dụ mã (ngay cả khi không nghiêm chỉnh trong PHP) để giúp tôi đi.

mở rộng

Khi đưa ra một lời nhận xét tôi nhận ra rằng tôi có thể giải thích rõ hơn về tính hữu dụng của tính toán này. Khi tôi làm việc trên các hệ thống kế thừa mà người dùng có mật khẩu cực kỳ yếu, tôi phải có một số bằng chứng cụ thể về điểm yếu đó trước khi tôi có thể tạo ra một trường hợp buộc tất cả người dùng phải thay đổi mật khẩu của họ thành một mật khẩu mạnh (mới được thi hành). Bằng cách lưu trữ điểm số sức mạnh mật khẩu cho mỗi tài khoản người dùng trong hệ thống, tôi có thể xây dựng một số chỉ số khác nhau để hiển thị điểm yếu của toàn hệ thống và tạo một trường hợp cho mật khẩu mạnh hơn.

TIA

Answer 1

Entropy của một chuỗi có một định nghĩa chính thức quy định ở đây: http://en.wikipedia.org/wiki/Entropy_(information_theory)

Làm thế nào hữu ích mà giá trị sẽ là? Nó phụ thuộc. Dưới đây là một phương pháp (trong Java) để tính toán entropy tôi làm cho một bài tập:

public static double entropy() { 
    double h = 0, p; 
    for (int i = 0; i < count.size(); i++){ 
     p = count.get(i)/(totalChars*1.0); 
     h -= p*Math.log(p)/Math.log(2); 
    } 
    return h; 
} 

count là một bản đồ nơi (key, value) tương ứng với (char, countForChar). Điều này rõ ràng có nghĩa là bạn phải xử lý chuỗi trước khi bạn gọi phương thức này.

EDIT 2: Đây là phương pháp tương tự, viết lại trong PHP

function entropy($string) { 
    $h=0; 
    $size = strlen($string); 
    foreach (count_chars($string, 1) as $v) { 
     $p = $v/$size; 
     $h -= $p*log($p)/log(2); 
    } 
    return $h; 
} 

EDIT 3: Có rất nhiều hơn để sức mạnh mật khẩu hơn entropy. Entropy là về sự không chắc chắn; mà không nhất thiết phải dịch để bảo mật hơn.Ví dụ:

Entropy của "akj@!0aj" là 2,5, trong khi entropy của "password" là 2,75

Answer 2

Buộc một mức độ nhất định của entropy là một yêu cầu của CWE-521.

(1) Độ dài tối thiểu và tối đa;
(2) Yêu cầu các bộ ký tự hỗn hợp (alpha, số, đặc biệt, trường hợp hỗn hợp);
(3) Không chứa tên người dùng;
(4) Hết hạn;
(5) Không sử dụng lại mật khẩu.

Answer 3

Để sử dụng entropy, bạn không cần phải lấy Entropy Shannon của một mật khẩu duy nhất, mà còn là một phần tử trong danh sách mật khẩu phổ biến. Nếu mật khẩu giống như các mật khẩu khác thì entropy của nó sẽ thấp so với các mật khẩu khác. Nếu nó rất độc đáo thì nó sẽ cao hơn.