Quali sono le metodologie che possono essere utilizzate per generare password "umane" di buona qualità?
Devono garantire una buona forza e anche facile da ricordare per un essere umano.
Ero solito prendere quattro parole a caso, sostituire alcune lettere per i numeri e aggiungere quattro numeri più un carattere speciale. Il problema era che era un po 'difficile da ricordare - ora, ho preso la mia frase preferita dal libro che stavo leggendo il mese precedente e faccio una sostituzione simile più alcune modifiche alla capitalizzazione, ad esempio:
"Una testa umana si alza da una palude di sonno" (number9dream, David Mitchell) diventa "Ahum4nH34dR1s3sUpfR0mASw4mpOfSl33p!"
Ha entropia accettabile e la complessità computazionale di una ricerca forza bruta significa che un simile attacco è poco pratico.
Altri due punti:
a. Insieme a tutti gli altri metodi, un altro modo per aumentare l'entropia:
Vai oltre il semplice (semplice) inglese .
Se combiniamo (seed) parole da più di una lingua, l'area di ricerca / ricerca delle password diventa immediatamente ENORME. E questo sicuramente confonderebbe le persone che scrivono regole per indovinare la password.
Quindi di nuovo ciò richiederebbe un campo di pensiero più ampio rispetto ai "cattivi". Forse si tratta di "nostro" intelletto contro "loro" . Forse, il pensiero più ampio dovrebbe essere:
Vai oltre i soli metodi CS .
Quindi, quali altri modi possiamo pensare per superare in astuzia la password?
b. Un punto non visto finora menzionato: pensando dal lato dell'amministratore, non dimentichiamo che qualsiasi regola per la generazione della password potrebbe anche dover rispettare la politica della password della tua organizzazione. Per esempio. Ho difficoltà a pensare come il metodo words-separated-by-spaces (usando parole non comuni!) Possa essere facilmente implementato e applicato in un ambiente aziendale (OK, parser, dizionari ecc. Ma si ottiene l'idea ...)
E che ne pensi di educare e convincere gli utenti a utilizzare questo o qualsiasi altro metodo ...?
La prima raccomandazione è qualcosa come lastpass o keepass, ma so che non sono sempre pratici e che i miei amici meno esperti tecnicamente non vogliono "complicare ulteriormente le cose" quindi ho scoperto che un codice sostitutivo funziona in modo abbastanza efficiente e consente un facile ricordo della tua password rendendo molto improbabile che possa essere indovinata o facilmente hackerata.
Ho inserito un esempio link ... Uso almeno una parola chiave di 4 lettere (quindi "BANK" per la mia banca "WORK" per il mio lavoro) che non mi preoccupo di cambiare: tengo la carta nel mio portafoglio e ne stampo una nuova ogni due mesi quando è il momento di cambiare la password. (nota: questa non è l'app che uso per generare le mie carte, ma è concettualmente la stessa)
Se l'inglese non è la tua lingua madre, sei fortunato. Ti suggerirei di utilizzare una passphrase che utilizza una combinazione di parole inglesi con parole della tua lingua o delle tue lingue native. Una tale password sarà abbastanza difficile da indovinare.
Ovviamente dovresti scegliere una passphrase che possa essere facilmente ricordata da te. Non sono un grande fan della creazione di password troppo complesse, basti ricordare che la password non dovrebbe essere facilmente ipotizzabile e non dovrebbe essere elencata in un dizionario.
Raccomando anche di non avere una singola password per tutti i tuoi account. Gestisco un piccolo gruppo di password (questo verrà con la pratica). La tua password di banking online non deve essere riutilizzata per il tuo account eBay o monster.com. Una volta ho fatto clic su un link di password dimenticata di un sito di lavoro e mi hanno inviato la mia password in chiaro. Fondamentalmente non puoi fidarti di ogni sito web casuale là fuori!
Permetti di scegliere un verso dalla tua canzone preferita nella storia o solo in questo periodo di tempo.
Prendi una frase a caso, crea qualche permutazione CamEl cAse, puoi anche usare una sostituzione di script kiddie charset in m4k3 1t l00k1ng quindi CoMpl3X e difficile da indovinare.
Idealmente, scrivi una frase inglese, come: questa mattina sono così blu. In realtà la tua password può essere: Th1S M0rn1Ng I 4M s0 Blu3.
Facile da ricordare e, dopo qualche input, anche facile da digitare.
Il mio modo non è in alcun modo indissolubile, principalmente perché fa affidamento sulla sicurezza attraverso l'oscurità, ma è meglio del riutilizzo della password e non si basa sul fatto di tenerlo molto ricordato. Ho una ripetizione dell'URL del sito in questione con una lunga password di mia scelta. In questo modo, ti ricordi solo una password, ma un compromesso dell'archivio password di un sito non compromette gli altri accessi. Questo ha un potenziale di variazione infinita. Potresti fare l'url seguito dall'indirizzo ip, l'url invertito, l'url tradotto in spagnolo, ecc. Ecc.
Ho una lunga password che uso, che posso inserire dalla memoria ogni volta che ho creato, ricordando uno specifico percorso a zigzag attraverso la tastiera, uno che passa attraverso lettere, numeri e simboli, e poi tocca il i tasti che compongono quel percorso nel ritmo di un pattern di batteria da una mia traccia preferita post-dubstep, spostando alcuni dei personaggi in base a dove sono i rullanti in quel pattern di batteria.
Questo è un "percorso" diverso da quello che uso, ma puoi vedere quanto sia complessa una password con questa tecnica, e con un po 'di pratica è abbastanza memorabile:
\]={-p)o9I8u&y6T5r$e3W2q
Quindi, per applicazioni diverse, aggiungerò di solito alla fine la mia vecchia password di Hotmail che ho trovato quando avevo 11 anni, o la mia data di nascita all'indietro, o qualcosa del genere che posso ricordare facilmente.
Il mio modo è di cambiare alcune lettere con numeri simili e ogni nuova parola inizia con lettere maiuscole.
per esempio: Th1sIsGreatPassw0rd!
i = 1,
0 = o
e al e '!' o qualcos'altro.