Recentemente mi sono imbattuto nel problema, che ho molti più account di quanti sia in grado di ricordare le password. Non voglio usare una password sicura, perché non posso accedervi su un altro computer, perdo tutti gli accessi se perdo questa cassastrong e un utente malintenzionato ottiene molto logindata, se compromette la cassastrong. Invece ho desiderato un metodo, per generare password sicure con un metodo che puoi sempre riprodurre e ricordare solo una password / frase / segreto. Per trovare un tale metodo, ho chiesto questa domanda .
Nel frattempo, un mio amico e io ci siamo inventati un metodo di generazione del genere. Ora voglio sapere, se è insicuro, quali debolezze contiene e come può essere eventualmente migliorato.
Il metodo che abbiamo creato ha bisogno di un segreto centrale. Questo dovrebbe essere un testo, che nessun altro conosce, ma è facile da ricordare per te stesso. Una poesia potrebbe essere più facile da ricordare, ma dovresti creare qualcosa di personale, in modo che nessuno possa concludere il testo. Quindi non prendere Jabberwocky , poiché tutti conoscono questo testo. (Ma io sceglierò Jabberwocky per l'esempio).
Ora prendi il nome della piattaforma e hai bisogno di un accesso. Può essere qualcosa come HOMEPC o STACKEXCHANGE. Prendi il primo carattere del tuo account e cerca la prima parola che la contiene nel tuo segreto. Per Jabberwocky la prima parola con una "h" (HOMEPC) è "la" e la prima parola con una "s" (STACKEXCHANGE) è "Twas". Ora prendi la parola successiva con il seguente carattere, e così via. In questo modo generi la password specifica. Gli esempi sono:
HOMEPC -> 'the toves gimble the vorpal Jabberwock'
STACKEXCHANGE -> 'Twas the and Jabberwock took time manxome Jabberwock with flame And through The'
Se il segreto non è abbastanza lungo, ricomincia dall'inizio. Se il nome della piattaforma è troppo breve, prendilo due o tre volte. Lo stesso se hai la sensazione, la password non è abbastanza buona.
EBAYEBAY -> 'the gimble wabe mimsy were borogoves And my'
Il segreto dovrebbe contenere ogni carattere almeno una volta (Jabberwocky manca q e z).
Quali sono i punti deboli in questo metodo? In che modo puoi attaccare le password generate da questo o, peggio ancora, concludere ad altre password se intercettato?