Come generare password facili da digitare senza sacrificare la sicurezza?

Dichiarazione di non responsabilità: sto interpretando "facile da digitare" in questa domanda per significare letteralmente caratteri consecutivi o modelli di digitazione simili, che è diverso dalle password che sono "facili da ricordare". Lo faccio notare perché nessuna delle altre risposte sembra interpretare la domanda in questo modo.

How to generate easy to type passwords without sacrificing security?

Risposta breve: Non disturbare .

Il motivo è che non ne vale la pena a meno che tu non sia un dattilografo estremamente lento. Ho appena provato un esperimento in cui ho scelto due password, entrambe facili da ricordare e una (apparentemente) molto più facile da scrivere rispetto all'altra. Per misurare più facilmente i tempi con il cronometro, ho digitato entrambe le password 3 volte e ho confrontato:

Opzione 1: (12 secondi per digitarlo 3 volte)

This password is easy to remember
This password is easy to remember
This password is easy to remember

Opzione 2: (10 secondi per digitarlo 3 volte)

1234qwerasdfzxcv7890yuiohjklnm,.
1234qwerasdfzxcv7890yuiohjklnm,.
1234qwerasdfzxcv7890yuiohjklnm,.

In realtà l'ho provato un paio di volte e l'ora mostrata sopra era il mio ultimo set di 3 per ciascuno. Il primo paio di volte ho incasinato la password "facile da digitare" perché stavo andando troppo veloce e ho battuto altre chiavi.

La mia conclusione: è probabile che se si sceglie una passphrase che sia facile da ricordare, non sarà molto più lento da digitare rispetto a una che è apparentemente più "facile da digitare" ". (La mia media era di 3,3 secondi contro 4,0 secondi). Aggiungete a ciò la probabilità leggermente più alta che una password facile da digitare possa finire in un elenco di dizionari, e io eviterei di farlo.

Obbligatorio "Utilizza un gestore di password!". Ma tu sembri già esserne consapevole. Andando.

Ci sono un numero qualsiasi di trucchi. Nella mia esperienza, "facile da ricordare" e "facile da digitare" in genere significa "parole inglesi complete"; le mie dita / il mio cervello hanno un tempo molto più facile con le parole rispetto alle sequenze arbitrarie di personaggi. Due sistemi che vengono in mente sono:

Diceware

Prendi una copia degli elenchi di parole Diceware [ Articolo ], [ large_wordlist.txt ] e tira qualche dado! Questo elenco di 6 ⁵ = 7.776 parole uniche è stato accuratamente selezionato per essere facile da ricordare. Wikipedia fornisce questi esempi come password diceware tipiche:

• sterlina congiunta sterlina con chiacchiere sicure con bacinella
• riso caricatore traverso di acquisti immoralmente preoccupante

Inoltre: obbligatorio XKCD che difende le password di questo stile.

passphrase

Sono un sostenitore del fatto che dovremmo abbandonare la "password" dalla lingua inglese - dal momento che incoraggia le persone a pensare in termini di singole parole - e con l'eccezione di alcune banche particolarmente morali, tutti i sistemi accettano ora gli spazi nelle password , quindi perché non pensare in termini di "passphrase"?

Un trucco intelligente di cui ho sentito parlare è impostare una passphrase che rappresenti l'obiettivo della vita personale che vuoi raggiungere o il fatto che vuoi ricordare. A) dato che digiti la tua passphrase molte volte al giorno, è un naturale promemoria per fare la cosa, e B) una volta che hai realizzato la cosa, hai una ragione naturale per cambiare la tua frase segreta! I seguenti sarebbero esempi che naturalmente vorrebbe cambiare dopo circa un mese:

• "aggiorna $% sul mio 401 (k)"
• "get under 10 Smokes / day"
• "La bambina di Sandy è prevista per il 24 agosto"
• "programma l'80 ° b-day party di Grampa"

[ps. Sto aspettando la guerra delle fiamme su questo suggerimento. La mia risposta generica: usa una passphrase più lunga!]

Le password del dizionario sono la strada da percorrere. Wikipedia suggerisce che rendere prevedibile una strategia potrebbe non essere la strada migliore, ma in questo caso lo è.

Da Teoria delle informazioni di Wikipedia / Entropia :

For instance, the entropy of a coin toss is 1 shannon, whereas of m tosses it is m shannons. Generally, you need log2(n) bits to represent a variable that can take one of n values if n is a power of 2. If these values are equally probable, the entropy (in shannons) is equal to the number of bits. Equality between number of bits and shannons holds only while all outcomes are equally probable

Quindi, se tutto è ugualmente probabile, è probabile che inserisca "a" o "2" o "<" per un valore, quindi le opzioni e la lunghezza sono tutto ciò che importa. Ciò considerato, ci sono molte più parole di lettere + cifre + simboli in qualsiasi lingua. Basta in modo che una password di 4 parole superi facilmente quella di 10 caratteri.

Per mostrare quanta differenza:

26 lettere in alfabeto, 10 cifre, forse 15 simboli = ~ 50 opzioni. Password 10 caratteri = 9,76 x 10 ^ 16 opzioni. Se il nostro computer indovina 4 milioni al secondo, un'ipotesi approssimativa e generosa, siamo a circa 775 anni per indovinare la password. Piuttosto sicuro. E, possiamo ricordare comodamente circa 7 personaggi, 10 è fattibile, specialmente attraverso la ripetizione in stile password.

Questo è con 10 caratteri, tutti ugualmente ponderati in probabilità, il che è ragionevole dal momento che è probabile che sia priva di senso che dovremo mettere sul dorso della mano per ricordare inizialmente.

Da ciò:

1) La lunghezza della password è importante in questo caso. Ogni personaggio aumenta considerevolmente la sicurezza. Una password più lunga è sempre migliore. Se ad esempio abbiamo tagliato la nostra password fino a 7 caratteri, siamo a un tempo massimo scarso di 2,25 giorni per croppare con 50 opzioni per ogni personaggio.

2) Però diciamo che se creo una password come descrive il fumetto XKCD, nulla impedisce a qualcuno di lanciare un dizionario con una password come "ricorda gli elefanti smembrati". Diciamo se uso john the ripper, che ha ~ 3000, con un'opzione per rendere ogni plurale o tagliare un s se termina con uno, quindi forse ~ 6000 parole. Se ci sono 4 parole nella mia password, allora 6000 ^ 4 possibilità = 1,3 x 10 ^ 15, 10 anni

Piuttosto sicuro. E, John the Ripper in realtà non creerebbe la password:

correct horse battery staple

John the Ripper sta usando password comuni. Così comune che solo il "cavallo" si mostra effettivamente lì dentro. Diciamo che se uso parole non comuni che i dizionari cracker non anticipano, l'ultima opzione è un attacco di dizionario legittimo.

Se utilizzo il dizionario predefinito di fedora, con una parola 500 000 molto completa, per una password di 4 parole ci sono 6,25 x10 ^ 22 possibilità che siamo a circa 5 miliardi di anni di tempo di cracking . Ma non è inverosimile dire che questo potrebbe essere ridotto al massimo al 25% delle sue dimensioni, specialmente se vengono usate parole comuni come "corretta batteria a ferro di cavallo". Quindi, 125 mila possibilità. Ancora, 2,44 x 10 ^ 20, che è di circa 2 milioni di anni.

E se potessimo ridurlo a% 1? Quindi 5000 parole. Sono 6,25 x 10 ^ 14 possibilità, quasi lo stesso numero con l'attacco john the ripper, circa 5 anni max. È davvero fattibile ridurlo all'1%? Probabilmente no se le parole più comuni non vengono utilizzate.

Ma questo dipende anche dai delimitatori degli spazi bianchi. Se ho

azkaban_P0tter * flubber st @ ple Quindi abbiamo distrutto la prima uguaglianza di bit nella conversazione shannons, ma abbiamo aggiunto una quantità insormontabile di variabili anche se l'aggressore anticipa completamente questa tattica.

Inoltre, se si può usare un dizionario più piccolo di 200.000, ridurre tale valore all'1% è ancora al massimo 45 giorni, ed evitare le parole più comuni e usare diversi delimitatori di parole aumenterebbe drasticamente questa durata, e lanciando una parola o due in un'altra lingua se è facile.

Ogni giorno devo digitare la mia password come centinaia di volte. Così ho progettato una password che era "Facile da digitare", seguendo questi suggerimenti (basati sulla mia esperienza):

1) Meglio se non devo usare le dita "pinky" (si stancano dopo un uso prolungato). Suggerisco di evitare qualsiasi carattere o simbolo all'estrema sinistra o all'estrema destra della tastiera. Per questo motivo non dovrebbero essere usate tante lettere maiuscole (devi usare il tuo mignolo per il tasto Maiusc, giusto?).

2) Le lettere maiuscole devono poter essere digitate con la mano destra (se si è destrorsi) o con l'indice e il medio della mano sinistra. Il motivo è che è facile (per me) utilizzare lo spostamento a sinistra rispetto a quello destro (perché è più lontano dal centro). Prova questo: Shift + q sembra aggiungere pressione alla tua mano, rispetto a Shift (mano sinistra) + P (mano destra).

3) Se è possibile digitare la password con una sola mano è meglio. A volte ho impegnato una delle mie mani e digitare Maiusc + 7 con una sola mano potrebbe non essere così comodo. Direi che se intendi utilizzare le lettere maiuscole, prova a tenerle vicino al tasto Maiusc.

4) Le lettere adiacenti sono facili da digitare (ad esempio: hj in una tastiera QWERTY) ma di solito sono più facili da fare un errore (jh invece di hj). Il mio suggerimento qui è di provare a non usare caratteri adiacenti nel mezzo o alla fine della password per evitare errori.

5) Anche il flusso è importante. Ho scoperto che è facile digitare qualcosa quando tutte le lettere / numeri / simboli si spostano da un lato all'altro (come suonare il piano). Se inizi a sinistra e finisci a destra della tastiera (o viceversa). Potrebbe essere più facile anche digitare con una sola mano. Ad esempio: 9641 vs 9164 (utilizzando la mano destra)

6) Se si alternano le mani durante la digitazione è più semplice (IMHO). Ad esempio: "jspenro" vs "jkustwp". Cerca di mantenere fino a 2 caratteri per mano. La maggior parte delle parole inglesi sono così (le mani si alternano naturalmente).

7) Non è così importante, ma se riesci a scriverlo senza guardarlo è un vantaggio. Una delle mie password non la conosco nemmeno, ma posso digitarla molto velocemente (come non sto ripetendo nella mia testa), ho solo lasciato che le mie mani lo facessero per me: Memoria procedurale

I punti sopra elencati funzionano per me, ma potrebbero non funzionare per gli altri. Se stai cercando una password facile da digerire, prova i miei suggerimenti. Altrimenti, segui ciò che è stato già suggerito: utilizza un gestore di password.

Dai un'occhiata a questo post, penso che sia molto correlato a ciò che hai chiesto qui:

XKCD # 936: password complessa breve, o passphrase del dizionario lungo?

Inoltre, questa è una domanda molto teorica, voglio dire che ognuno trova cose diverse più difficili da digitare suppongo che "qwe123" sia effettivamente "facile da digitare", ma alcuni sosterranno che i loro nomi / cose che amano sono "facili da digitare" anche le password. Inoltre puoi interpretare "facile da digitare" in "facile da ricordare" è ciò che intendi (?)

A mio parere, una password facile da digitare senza sacrificare la sicurezza è prima di tutto una lunga, e di qualcosa che solo tu puoi pensare (e se usi i metodi che menzioni all'interno aumenterebbe la sicurezza della password ovviamente).

Stavo attraversando lo stesso pensiero nella mia mente e ho trovato asdff3F# , asdffF3# , asdff9F( , asdffF9( , ecc.

Ho considerato quanto segue:

1. Mettiamo le dita della mano sinistra su asdf, usando gli stessi caratteri per gli alfabeti ci aiuterà a non spostare la mano sinistra.
2. Usando il mignolo destro per fare clic su Maiusc.
3. Lo spostamento è minimo se si muove il dito medio di una delle due mani (posso raggiungere 3 con il dito medio sinistro e 9 con il medio dito medio).

Un'opzione semplice sarebbe concatenare parole come in: hellohereiam0x45 Abbiamo acquisito una password di 16 lettere. Che sarà resistente alla semplice forza bruta. Puoi anche rafforzarlo come:

HelloHereIAm0x45

Ho semplicemente messo in maiuscolo tutte le parole per ottenere forza aggiuntiva, senza perdita di memorizzazione. Inoltre, puoi astrarre ulteriormente lo stesso tipo di commutazione O con 0 ecc.

H3ll0H3r31Am0x45