Zxcvbn：現実的なパスワード強度評価

過去数か月にわたって、パスワード強度アナライザーは、インターネット上のほぼすべての形式の登録で私に出会いました。 今日、この分野で特に急速な成長が見られます。



唯一の質問は、そのようなプログラムは本当にユーザーアカウントを保護するのに役立つのでしょうか？ もちろん、インターネットセキュリティのこの側面は、他のいくつかのものほど重要ではありません。たとえば、

• 遅延の増加またはCAPTCHAの使用によるWebページのハッキングを防止します。
• ユーザーレベルで個別の「塩」を使用したかなり遅いハッシュ関数を使用して、オフラインハッキングを防止します。
• パスワードハッシュ保護。

上記の要因を考慮すると、はい、パスワードセキュリティをテストするプログラムは本当に非常に有望であり、ユーザーを助けることができると確信しています 。 2006年に出版された「Perfect Passwords：Selection、Protection、Authentication」というタイトルの本で、Mark Burnettは、さまざまな漏洩の結果として明らかになった数百万のパスワードの使用頻度を計算しましたデータ。 彼は、9人に1人のユーザーがこの最も人気のあるリストからパスワードを選んだと書いています。 その中には、password1、compaq、77777777、merlin、rosebudなどの「タフなナッツ」があります。 昨年、Burnettは600万のパスワードを調査する新しい調査を実施しましたが、今回はパスワードの99.8％が最も人気のある10,000のリストにあり、91％が1000の最も一般的なリストにあります。 もちろん、結果は調査方法とサンプルバイアスの影響を大きく受けました。たとえば、これらのパスワードのほとんどは既にクラックされたハッシュから取得されたため、最初はリスト全体が簡単にクラックされたパスワードに偏っていました。



推測しやすいパスワードのみがここにリストされていますが、残りの大部分はまだかなり予測可能であり、小規模なネットワーク攻撃の結果としてクラックされる可能性があると思います。 したがって、ユーザーとの直接的な対話を通じて、このようなアナライザーはより安全なパスワードを選択するのに本当に役立つと信じています。 しかし、現時点では、彼らはほとんどの場合、害を及ぼすだけです（いくつかのクローズドソースプログラムは数えていません）。 それがこれが起こっている理由です。

パスワードの強度は、ビット単位で表されるエントロピーの値によって最もよく測定されます。 エントロピーは、可能なパスワードのセットを半分にするためのオプションの数として計算されます。 最も簡単なパスワード強度評価アルゴリズムは次のとおりです。

# n:   # c:  :    # (26  ,     , 62 —  ,      ,   )  = n * lg(c) #    2
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この直接選択分析は、文字、数字、記号のランダムなシーケンスで構成されるパスワードに適用できます。 ただし、ほとんどの場合、わずかな例外（ 1Password / KeePassに特に感謝）を除き 、人々はパスワードとして文字の順序付き組み合わせを選択します-辞書の単語、単純なキーボードシーケンス（qwerty、asdf、zxcvbnなど）、繰り返し（aaaaaaa）、シーケンス（たとえば、abcdefまたは654321）、および上記の項目の組み合わせ。 パスワードに大文字が含まれている場合、そのような文字はほとんどの場合、パスワードの最初の文字になります。 数字と特殊文字の使用も、特にネットワーク専門用語l33tの使用（数字3が文字e、0-o、@または4-aに置き換わる）、年、日付、郵便番号などの使用により、しばしば予測可能です。



その結果、パスワードの強度を分析するための単純化された方法は信頼できません。 一般的に使用される組み合わせの使用を確認しないと、パスワードに数字と記号を使用することを推奨しても、ハッキングはそれほど複雑になりませんが、暗記はかなり複雑になります。 xkcdのコミックの1つは、この状況を完全に説明しています。

>



したがって、私はDropboxが実施する次の「クラッカーウィーク」の独立したプロジェクトとして、単純な組み合わせを除外するオープンソースのパスワード強度アナライザーを作成することを決定しました。したがって、horseebatterystaple（return horse）などのかなり複雑なパスフレーズを禁止しません このユーティリティは現在、 dropbox.com / registerで入手でき、 github で使用できます 。 デモ版を自分で試して、いくつかのパスワードを評価できます。



次の表では、zxcvbnを他のパスワード強度アナライザーと比較しています。 比較のポイントは、他のアプリケーションの失敗を証明することではありません-各サイトには独自のパスワードポリシーがありますが、zxcvbnの機能をよりよく理解するためです。

	qwER43@!	Tr0ub4dour&3	correcthorsebatterystaple
zxcvbn
Dropbox（古い）
シティバンク
アメリカ銀行	無効です	無効です	無効です
Twitter
ペイパル
eBay			無効です
フェイスブック
Yahoo!
Gmail

いくつかのメモ：

• 2012年4月3日にこれらのスクリーンショットを撮りました。
• Zxcvbnは、correcthorsebatterystapleを3つの中で最も信頼できるパスワードと見なします。 他のアプリケーションは、それを最も非効率であると見なすか、まったく使用できないようにします。 （Twitterは3つのパスワードにほぼ同等のセキュリティを割り当てましたが、よく見るとわずかな違いがあります。）
• ZxcvbnはqwER43 @！ 暗号化されたQWERTYキーボードシーケンスであるため、非効率的なパスワード。 シンボルの方向とシフトが変化するたびに、エントロピーが増加します。
• PayPalパスワードアナライザーはqwER43をカウントします@！ 無効なパスワードですが、aaAA11 !!! -信頼できる。 キーボードシーケンスを認識すると想定できます。
• バンクオブアメリカの登録フォームでは、正しいhorsebatterystapleを含む20文字を超えるパスワードは許可されていません。 ルールに従って、一部の特殊文字をパスワードに使用できますが、「＆」と「！」はそれぞれ許可されておらず、残りの2つのパスワードの使用は禁止されています。 eBayでは、20文字を超えるパスワードも許可されていません。
• まれな例外を除いて、テストされたプログラムは私と同じ基本的な基準に従っていないようです。そうでなければ、正しい長さのバッテリーステープルはその長さのために最高の評価を得ます。 Dropboxパスワードアナライザーの以前のバージョンでは、これらの文字グループごとに特定の制限まで使用される小文字、大文字、数字、および特殊文字のパスワードにポイントが追加されました。 このアプローチは徹底的な検索による攻撃からのみ保護しますが、このシステムには最も一般的な単語の辞書を使用して新しいパスワードをチェックするオプションがあります。 テストされた残りのプログラムの動作原理はわかりませんが、開発者はこのような信頼性基準テーブルを適用することがよくあります（ただし、少数の組み合わせを使用してパスワードを検証します）。
• 2列目の基本パスワードの単語については、xkcdのように、トルバドールではなく、トルバドールを使用しました（最後のスペルはまれです）。

設置

zxcvbnシステムはブラウザの種類に制限されず、Internet Explorer（バージョン7以降）/ Opera / FireFox / Safari / Google Chromeで動作します。 登録ページに追加する最も簡単な方法は次のとおりです。

 <script src="zxcvbn-async.js" type="text/javascript"> </script>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

zxcvbn-async.jsスクリプトのサイズはわずか350バイトです。 window.loadを実行した後、ページがロードされて表示されると、zxcvbn.jsがロードを開始します-680 Kバイト（またはgzipで320 Kバイト）の「重い」ファイルで、そのほとんどは辞書です。 スクリプトサイズが問題を引き起こすのを見たことはありません。ユーザーは通常、パスワードを選択する前に他のデータを登録フォームに入力するため、スクリプトをロードするのに十分な時間があります。 さまざまなブラウザーでの非同期スクリプトの読み込みの完全な説明を次に示します。

Zxcvbnは、グローバル名前空間に1つの関数を追加します。

 zxcvbn(password, user_inputs)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

必須の引数（パスワード）を1つ受け取り、次のプロパティを持つ結果オブジェクトを返します。

 result.entropy #  result.crack_time #     (.) result.crack_time_display #    ,    : # «», «6 », «»  . . result.score #  ,  0, 1, 2, 3  4, #     10**2, 10**4, 10**6, # 10**8  , . # (        ) result.match_sequence #   ,   #   result.calculation_time #    ();    
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

オプションのuser_inputs引数は、zxcvbnが組み込み辞書に追加する文字列の配列です。 理論的には、任意の行を含めることができますが、これはユーザーがフォームの他のフィールド（たとえば、名前や電子メールアドレス）に入力したデータであると想定されます。 したがって、個人ユーザーデータを含むパスワードの強度は非常に低く評価できます。 このリストは、特定のサイトの特別な辞書の会計にも便利です（たとえば、私のプログラムはDropboxサイトの特定の辞書を考慮します）。



zxcvbnプログラムはCoffeeScriptで書かれています。 zxcvbn.jsおよびzxcvbn-async.jsファイルはクロージャーコンバーターによって処理されましたが、zxcvbnを改善したい場合は、プルリクエストを送信してください。README ファイルには、開発環境のインストールに関する情報が含まれています。

テキストに沿って、zxcvbnの動作原理を詳細に説明します。

モデル

Zxcvbnは、一致（調整）、スコア（計算）、検索（検索）の3段階で動作します。

• 一致関数は、既知のすべての組み合わせ（交差する組み合わせを含む）を調整します。 現在、zxcvbnは、いくつかの辞書（英語の単語、名前、姓の辞書、および10,000の最も一般的なBurnettパスワードのリスト）、連続するキーの組み合わせ（QWERTY、Dvorakおよびデジタル）、繰り返し（aaa）、数字および文字シーケンス（ 123、gfedcba）、1900年から2019年までの期間、日付（形式3-13-1997、13.3.1997、1331997）。 すべての辞書は、大文字と一般的なl33tの同等物を認識します。
• スコア関数は、一致する各組み合わせのエントロピーの度合いを、パスワードの残りの部分とは別に計算します（クラッカーがこの組み合わせを知っていると仮定）。 簡単な例はrrrrrです。 この場合、クラッカーは小文字で始まる1から5までのすべての繰り返しオプションを実行する必要があります。

 entropy = lg(26*5) #  7 
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

• 検索機能は、Occamカミソリの原理を使用しています。 可能な重複一致の完全なセットから、検索は単純な互いに素なシーケンスを生成します（エントロピーが最小）。 たとえば、パスワードがダムネーションの場合、ダムとネーションという2つの単語に分けるか、1つの単語と見なすことができます。 この場合、単語全体を検討することが重要です。単語を検索するクラッカーは、2単語よりもはるかに高速に1単語としてパスワードを選択するためです。 ところで、交差する組み合わせはまた、childrens-laughter.comのような意図しない致命的なドメイン名の出現の主な理由ですが、ハイフンはありません（約：子どもの笑い-子どもの笑い声、子どもの笑い声-幼児殺人）。

検索機能は、モデルの基礎です。 私は彼女から始めて最初に戻ります。

エントロピー最小検索

Zxcvbnは、パスワードのエントロピーの度合いを、その構成部分のエントロピーの合計として計算します。 識別された組み合わせ間のパスワードの任意の部分は、独自のエントロピーを持つブルートフォース推測シーケンスと見なされます。 姓のエントロピー、列挙のエントロピー、キーボードのエントロピーで構成されるエントロピーの例を次に示します。

 entropy("stockwell4$eR123698745") == surname_entropy("stockwell") + bruteforce_entropy("4$eR") + keypad_entropy("123698745")
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここでは、パスワードのエントロピーはその部分のエントロピーの合計であるという重大な仮定を立てます。 ただし、この仮定は非常に保守的です。 「構成のエントロピー」、つまりパスワードの一部の数と配置のエントロピーを考慮せずに、zxcvbnはパスワード構造に値を割り当てずに意図的に合計エントロピーを過小評価します。プログラムは、クラッカーがすでにパスワード構造を知っていると仮定します（たとえば、「姓選択の組み合わせ」数字」）、およびパスワード項目を推測する試行回数のみが計算されます。 したがって、複雑な構造を持つパスワードのエントロピーは大きく過小評価されます。 正しいhorsebatterystaple（単語-単語-単語-単語-単語）のパスワードを解読することにより、L0phtCrackやJohn the Ripperなどのプログラムを使用するクラッカーは、原則として、最初に多くの単純な構造（単語、単語番号、単語-単語）に到達するまで通過します単語-単語-単語-単語。 ただし、このプログラムの欠如が気にならない理由は3つあります。

• 構造エントロピーの優れたモデルを開発することはそれほど単純ではありません。 ユーザーが最も頻繁に使用する構造に関する統計情報はありません。そのため、正確さのために、パスワードエントロピーの推定値を過小評価する方が適切です。
• 複雑なパスワード構造では、多くの場合、その部分のエントロピーの合計により、優れた複雑度評価がすでに提供されています。 たとえば、正しいhorsebatterystapleパスワードのパスワード-単語-単語-単語の構造を知っていても、クラッカーは何世紀にもわたってこのパスワードを解読します。
• ほとんどの人は、パスワードを作成するときに複雑な構造を使用しません。 原則として、構造を無視すると、合計エントロピーが数ビットだけ減少します。

この仮定を理解したので、CoffeeScriptの効率的な動的アルゴリズムを見てみましょう。これにより、一致する最小の互いに素なシーケンスを見つけることができます。 長さnのパスワードの場合、その作業時間はO（n•m）であり、記号の組み合わせ（交差するものを含む）のm個の一致を含む。

 # :    ,    #       (match.i)    # (match.j)   ,  minimum_entropy_match_sequence = (password, matches) -> # , 26 –  ,       bruteforce_cardinality = calc_bruteforce_cardinality password up_to_k = [] #    k,  backpointers = [] #      k,  #    (match.j = k). #  ,      for k in [0...password.length] #      : #         #   k-1. up_to_k[k] = (up_to_k[k-1] or 0) + lg bruteforce_cardinality backpointers[k] = null for match in matches when match.j = k [i, j] = [match.i, match.j] # ,     i-1 +   #      j candidate_entropy = (up_to_k[i-1] or 0) + calc_entropy(match) if candidate_entropy < up_to_k[j] up_to_k[j] = candidate_entropy backpointers[j] = match #    ,    match_sequence = [] k = password.length – 1 while k >= 0 match = backpointers[k] if match match_sequence.push match k = match.i – 1 else k -= 1 match_sequence.reverse() #  «»    , #   #       : # 1.j = 2.i – 1    1, # 2. make_bruteforce_match = (i, j) -> pattern: 'bruteforce' i: i j: j token: password[i..j] entropy: lg Math.pow(bruteforce_cardinality, j – i + 1) cardinality: bruteforce_cardinality k = 0 match_sequence_copy = [] for match in match_sequence #     [i, j] = [match.i, match.j] if i – k > 0 match_sequence_copy.push make_bruteforce_match(k, i – 1) k = j + 1 match_sequence_copy.push match if k < password.length #  «»   match_sequence_copy.push make_bruteforce_match(k, password.length – 1) match_sequence = match_sequence_copy #    —    « » min_entropy = up_to_k[password.length - 1] or 0 crack_time = entropy_to_crack_time min_entropy #    password: password entropy: round_to_x_digits min_entropy, 3 match_sequence: match_sequence crack_time: round_to_x_digits crack_time, 3 crack_time_display: display_time crack_time score: crack_time_to_score crack_time
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

バックポインター[j]配列には、パスワード位置jで終わるシーケンスの一致が格納されます。シーケンスにそのような一致がない場合はnullが格納されます。 動的プログラミングでは、最適なシーケンスの構築は通常、最後から開始され、反対方向に移動します。

このスクリプトは、パスワード入力時にブラウザで機能するため、パフォーマンスは特に重要です。 プログラムを機能させるために、可能性のあるすべての独立したサブセットの合計を計算する単純なO（2 ^m ）アプローチから始め、問題の複雑さによりプロセスが非常に速くスローダウンしました。 現在、ほとんどのパスワードを完全に分析するために、zxcvbnは数ミリ秒しかかかりません。 最も大まかな推定によると、2.4 GHz Intel XeonのGoogle Chromeでは、正しいhorsebatterystapleパスワードは平均約3ミリ秒で分析されます。 パスワードcoRrecth0rseba ++ ery9 / 23 / 2007staple $は、平均で約12ミリ秒かかります。

脅威モデル：エントロピーと破壊時間の相関

エントロピーの概念はあまり透明な指標ではありません。 28ビットのパスワードで十分かどうかを理解する方法は？ 言い換えると、エントロピーの推定から直接ハッキングの時間に進む方法は？ これには脅威モデルが使用されます。 次のように仮定します。

• パスワードはハッシュ形式で保存され、各ユーザーの「塩」と「塩」がランダムに選択されるため、レインボーテーブルを使用した攻撃が不適切になります。
• クラッカーはすべてのハッシュとすべての「塩」をなんとか盗み、パスワードを可能な限り高速でオフラインで取得しました。
• クラッカーにはいくつかのプロセッサがあります。

いくつかの指標図：

 #   -,  bcrypt/scrypt/PBKDF2,        #   10 . #      —     ,     #      #   ; #     -   ,    #   — ,   ! SINGLE_GUESS = .010 #  NUM_ATTACKERS = 100 #     SECONDS_PER_GUESS = SINGLE_GUESS / NUM_ATTACKERS entropy_to_crack_time = (entropy) -> .5 * Math.pow(2, entropy) * SECONDS_PER_GUESS
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここで、0.5の係数を入力しました。これは、検索スペース全体を反復する時間ではなく、平均のハッキング時間を計算するためです。

おそらく、これらの計算は保守的すぎます。 大規模なハッシュ窃盗はめったに起こりません。攻撃が直接あなたに向けられていない限り、クラッカーは1つのパスワードに100コアを使用することはほとんどありません。 通常、攻撃者はオンラインで推測する必要があり、ネットワークの遅延、遅延の増加、CAPTCHAに悩まされています。

エントロピー計算

次に、zxcvbnがパスワード内の各文字の組み合わせのエントロピーを計算する方法を検討します。 エントリポイントはcalc_entropy（）です。 これは簡単な選択です：

 calc_entropy = (match) -> return match.entropy if match.entropy? entropy_func = switch match.pattern when 'repeat' then repeat_entropy when 'sequence' then sequence_entropy when 'digits' then digits_entropy when 'year' then year_entropy when 'date' then date_entropy when 'spatial' then spatial_entropy when 'dictionary' then dictionary_entropy match.entropy = entropy_func match
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

上記では、repeat_entropy関数がどのように機能するかを概説しました。 エントロピー計算コードの全文は githubで見つけることができますが、それを理解するために、spatial_entropy（キーボードの組み合わせのエントロピー）とdictionary_entropy（辞書エントロピー）の2つの計算関数について説明します。

qwertyhnmキーボードショートカットを検討してください。 q文字で始まり、長さは9文字で、3つの移動方向があります。最初に右に移動し、次に右下に移動し、次に右下に移動します。 この組み合わせをパラメーター化します。

 s #     # 47 —   QWERTY/Dvorak, 15 —    PC  16 — #    Macintosh L #  ; L >= 2 t #   ; t <= L – 1 # ,   3     2   («qaw») d #  «»        ; #   QWERTY/Dvorak    4,6 (  g – 6 , #   –  1)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、可能性の一般的なスペースには、長さL以下のすべての可能なキーボードの組み合わせが含まれ、方向の変更はt以下です：





関数「 （i-1）から（j-1）への二項係数 」は、j方向が変化する長さiのキーボードの組み合わせの方向を変更するための可能な構成を計算します。 方向の最初の変更は常に最初の文字で発生するため、両方の要素に「-1」が追加されます。 j方向の変化のそれぞれについて、dの可能な方向、つまり、各構成のdjの可能性の合計があります。 また、クラッカーはすべての初期文字を反復処理する必要があるため、式の係数はsです。 数式自体は非常に近似です-特に考慮されているオプションの多くは実際のキーボードでは不可能であるためです：キーボードの長さ5と方向の変更1の組み合わせでは、「で始まる」「左に移動」という操作が考慮されますが、不可能です。



このCoffeeScript式は次のように記述できます。

 lg = (n) -> Math.log(n) / Math.log(2) nPk = (n, k) -> return 0 if k > n result = 1 result *= m for m in [n-k+1..n] result nCk = (n, k) -> return 1 if k = 0 k_fact = 1 k_fact *= m for m in [1..k] nPk(n, k) / k_fact spatial_entropy = (match) -> if match.graph in ['qwerty', 'dvorak'] s = KEYBOARD_STARTING_POSITIONS d = KEYBOARD_AVERAGE_DEGREE else s = KEYPAD_STARTING_POSITIONS d = KEYPAD_AVERAGE_DEGREE possibilities = 0 L = match.token.length t = match.turns #      L,  t     for i in [2..L] possible_turns = Math.min(t, i – 1) for j in [1..possible_turns] possibilities += nCk(i – 1, j – 1) * s * Math.pow(d, j) entropy = lg possibilities #   ,     # (%  5, A  a) #     ,  #        # . .   if match.shifted_count S = match.shifted_count U = match.token.length – match.shifted_count #     possibilities = 0 possibilities += nCk(S + U, i) for i in [0..Math.min(S, U)] entropy += lg possibilities entropy
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

:

 dictionary_entropy = (match) -> entropy = lg match.rank entropy += extra_uppercasing_entropy match entropy += extra_l33t_entropy match entropy
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

— : : , the good , photojournalist maelstrom — . zxcvbn , , , . , correcthorsebatterystaple xkcd zxcvbn (45,2 44 ). xkcd 211 ( 2000 ), zxcvbn . zxcvbn.js , , , .

, «», , . , , :

 extra_uppercase_entropy = (match) -> word = match.token return 0 if word.match ALL_LOWER #       —  #    , #          ( + # ): #  1   . #           #   , #     ,   , #   ,  1  for regex in [START_UPPER, END_UPPER, ALL_UPPER] return 1 if word.match regex #   ,      #   # U+L     U    # ,   ,   (, PASSwORD), —  #      U+L   L    U = (chr for chr in word.split(”) when chr.match /[AZ]/).length L = (chr for chr in word.split(”) when chr.match /[az]/).length possibilities = 0 possibilities += nCk(U + L, i) for i in [0..Math.min(U, L)] lg possibilities
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

, 1 « » . , :





l33t , .

, , zxcvbn . — : :

 dictionary_match = (password, ranked_dict) -> result = [] len = password.length password_lower = password.toLowerCase() for i in [0...len] for j in [i...len] if password_lower[i..j] of ranked_dict word = password_lower[i..j] rank = ranked_dict[word] result.push( pattern: 'dictionary' i: i j: j token: password[i..j] matched_word: word rank: rank ) result
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Ranked_dict . , , . l33t , dictionary_match. (, bvcxz) , . . matching.coffee github .

, 10 000 , 2011 .



2000 , . zxcvbn Internet Explorer 7, 80 % (. . 80 % , ), — 90 %.



40 000 Wiktionary , 29 . , . , , , (, ), — . , , Frasier 824- .

おわりに

, , . , — , « » , ( ) . , , . : , , , ( , ).



, . Zxcvbn , ; n-; ; (, qzwxec) . (, ) , , zxcvbn, , — . :

• zxcvbn , . . zxcvbn . .
• , , . zxcvbn , « » , . n- Google , , . , Google.
• Zxcvbn ( ) . ( , ). , — , l33t.

, , , zxcvbn , . , . «» github !

, , , , , , , , , , , , , , .



ABBYY Language Services



ps « », « » — .