对密钥派生函数使用低迭代次数的高熵密码的安全含义

Question

这个问题与我的另一个问题有关，但也与这个熵计算问题和这篇关于PBKDF2 2的文章有关。它也可以被认为是这个问题的重复，尽管在我们当前的例子中，密码的熵并不是那么高。

如果使用较低的迭代计数，则可以快速强制执行，但如果密码的熵足够高(50位?100位)怎么办？更多？)？还会有这么重要吗？

是否有一种确定最小熵的方法？

像"0123456789ABCD“这样的有限字符集肯定会阻碍达到较高的熵值，但如果长度足够长，我很难猜测它是否仍然可以被认为是安全的。

Answer 1

如果使用较低的迭代计数，则可以快速强制执行，但如果密码的熵足够高(50位?100位)怎么办？更多？)？还会有这么重要吗？

如果用于选择密码的进程的熵足够高，那么攻击者测试密码可能是什么并不重要。如果哈希是唯一为每个用户盐度，如果您的密码选择过程有128位熵，没有人会猜到密码。(如果哈希不加盐，这个故事就更复杂了，但只需说256位熵就够了。)

是否有一种确定最小熵的方法？

研究过程，而不是任何特定的密码。例如，如果您的过程是滚动一个d6足够多的时间从一个7776字的列表中画出一个10字的diceware密码，那么这个过程就有128位的熵。

像"0123456789ABCD“这样的有限字符集肯定会阻碍达到较高的熵值，但如果长度足够长，我很难猜测它是否仍然可以被认为是安全的。

从这样的14个字符的字母表中，如果你随机地独立且一致地选择每个字符，那么使用\lceil\log_{14} 2^{128}\rceil = \lceil128\log 2/\!\log 14\rceil = 34字符就足够获得128个比特的熵了。(对于256位熵，68个字符。)