Le lunghezze della passphrase di Diceware sono in aumento - fino a sei o sette parole ora. Il vecchio adagio che le passphrase sono più facili da ricordare potrebbe essere vero per frasi più brevi, ma sei parole veramente casuali possono essere difficili da ricordare. D'altra parte, alcune frasi complete potrebbero essere più facili da ricordare per alcuni.
Prendi ad esempio la passphrase generata da Diceware tracy optic renown acetic sonic kudo
. Potremmo trasformarlo in una frase (senza senso) come Tracy's optics were renowned, but her acetic sonic cost her kudos.
La passphrase di Diceware ha un'entropia di 77.4 se l'hacker sa che stai usando sei parole Diceware ( 12,9 per parola ) e 107.219 (secondo questo calcolatore ) se non lo fanno. La forma della frase ha un'entropia (secondo la calcolatrice) di 255.546. Tuttavia, non è più completamente casuale, il che dovrebbe essere uno dei grandi vantaggi dell'approccio Diceware.
Supponendo che l'autore dell'attacco in qualche modo sappia che stai usando questo metodo di generazione della passphrase, la forma della frase diminuisce la sicurezza della passphrase in qualche modo? Ad esempio, forse possono usare qualche tipo di analisi della struttura della frase inglese per restringere le loro ipotesi richieste?
Supponendo che la risposta a quanto sopra sia "No, la forma della frase non diminuisce la sicurezza", ecco un'altra considerazione:
Un vantaggio del formato della frase è che è molto lungo e include caratteri non alfabetici (ad esempio l'apostrofo e la virgola). Tuttavia, questo è uno svantaggio decisivo quando provi a digitarlo su un dispositivo mobile. Diciamo che abbreviare la frase Diceware in tre parole - tracy optic renown
- e poi trasformarla in una frase [a-z]
- tracy is optically renowned
o forse tracy is optically renowned worldwide
(per distinguerla ulteriormente dalla lista di parole di Diceware).
Se dovessimo usare tre parole Diceware e l'hacker sa che stiamo usando Diceware, allora abbiamo un'entropia di 38.7. Tuttavia, tracy is optically renowned worldwide
è 100.504 bit di entropia in base alla calcolatrice.
Considerate le differenze tra la frase Diceware a tre parole e la forma a frase breve, che il calcolo dell'entropia è più accurato - il calcolo Diceware (cioè le differenze sono troppo piccole per la materia) o il calcolo della calcolatrice (dizionario / forza bruta / ecc.)?
Nota: si presuma che qualsiasi lunghezza o combinazione di caratteri sia accettabile per la password