In un extra da Intervista di Edward Snowden a John Oliver , Snowdon consiglia che una buona password da utilizzare è una come MargaretThatcheris110%SEXY.
.
Inoltre, sul blog Errata Security, Robert Graham dice importa :
NSA leaker Edward Snowden recent suggested that a strong password would look like "MargaretThatcheris110%SEXY". he's been criticized for this, but actually, it indeed pretty strong. Yes, there are lots dictionary and Markov weakness, but they are compensated for by length. All else being equal, longer is better. Indeed, whatever password you have now, simply adding "xxxxxxxxxxx" onto the end of it it likely to make it unbreakable, and it's extremely easy for you to remember. A password like "MaThis110%SX" is a 12 character password such that even the NSA is unlikely to be able to break it if it were your Lastpass password -- Snowden's longer form doesn't make it worse. (Note, some people claim this Snowden example isn't so secure, but they are wrong).
Ora, nelle precedenti discussioni su questo sito abbiamo appreso che il cervello umano non funziona in modo casuale . Sappiamo anche che l'entropia della password non è basata su ciò che è nella password effettiva, ma come è stata generata la password . Ad esempio, la seguente password può essere considerata valida a prima vista:
zTzG5rUev2fBBkp6dEMJHNEQWWmFTSjBBn26cQCgkVXSydep3nUx6pF4uf6Pu59RYKDEwkwnTdFJht2n
Tuttavia, dì che Bob genera sempre le sue password combinando le seguenti parole nel suo file di testo di generazione password insieme in un ordine casuale, e l'attaccante lo sa , quindi la password non è così strong.
kVXSydep3nUx6pF4uf6P
zTzG5rUev2fBBkp6dEMJ
HNEQWWmFTSjBBn26cQCg
u59RYKDEwkwnTdFJht2n
Uno dei commenti sull'articolo Wired è:
if I was trying to crack a hash I wouldn't just assume from the beginning that all passwords follow a
female_names+surnames+english_word+english_word+known_passwords
pattern and then wait up to 7 days to see if I was correct. If I knew it was that pattern, then Snowden's password would have 33.041 bits of entropy. Otherwise, the entropy would be considerably higher (>100 bits).
Questo descrive il punto cruciale della mia domanda. Se ho creato una password come MargaretThatcheris110%SEXY.
, un "misuratore di forza" come zxcvbn dà l'entropia a 39.6 (incluso il punto). Tuttavia, nessuno sa che ho generato il modo in cui zxcvbn
lo suddivide. E anche se sapessero che in passato avevo usato quel metodo, potrei usare un metodo diverso per la mia prossima password (ad esempio male_name+number+english_word+french_word+known_password+diceword
).
Come tylerl note in un'altra risposta:
We can guess at what dictionaries will be available to the attacker, but we can't know for certain. Therefore, as a proxy for dictionary size, we instead use entropy. It's a poor substitute because it doesn't reflect the actual attack mechanics, but it's potentially better than nothing.
Se un utente malintenzionato sa che potrei usare definizioni di sequenza "cervello umano inventato", possibilmente con valori di "cervello umano inventato" per riempire quelle sequenze, questo in realtà li aiuta in qualche modo pratico? Quello che intendo è che il valore di entropia di 39.6 non significa in realtà che possa essere attaccato da un attacco di forza bruta che riempie lo spazio delle chiavi, perché l'attaccante non conosce la struttura. Mi rendo conto che in sicurezza le sole cose che dovrebbero essere segrete sono le password e le chiavi segrete, i meccanismi stessi dovrebbero essere considerati noti e pubblici. Tuttavia, il modo in cui viene generata la password può essere considerato privato perché sa che un altro conosce il metodo esatto . Ovviamente Snowden lo ha rivelato pubblicamente, ma per la sua prossima password lo farà in modo leggermente diverso. È per questo che Graham non è d'accordo sul fatto che l'esempio di Snowden sia più sicuro di quanto suggerisca l'analisi dell'entropia?
Anche correlato: L'entropia generata dall'uomo di sempre stato un vero problema?