Da un po 'di tempo mi interessa il concetto di passphrase come alternativa potenzialmente più sicura per le password classiche. Il mio interesse derivava da una sensazione istintiva che le passphrase sarebbero state di un'entropia inferiore rispetto alle password date la loro natura.
Ecco la mia logica. Dalla mia ricerca su Google, la maggior parte dei post di tipo blog che un tipico utente di computer può leggere passphrase come una cosa sicura e persino un sito ha affermato che il software di cracking delle password esistente non è in grado di crackare le passphrase in quanto troppo lunghe. Preso alla lettera questo è vero, ma un semplice cambiamento nei dizionari che alimentano il tuo password cracker può risolverlo. Nondimeno, ecco la mia logica:
Password:
Gli utenti sono ora abituati all'idea che le password debbano essere complicate, usando la sostituzione di simboli e numeri e la lunghezza. Personalmente uso le password basate su parole di dizionario non comuni con sostituzioni di simboli e numeri casuali. Tecnicamente, un utente che sceglie una password di 8 caratteri (a caso) avrà una entropia della password di 94 ^ 8. Certo, la maggior parte delle persone non ha password veramente casuali, ma spiegherò perché penso che ciò si annullerà presto con un errore umano simile nelle passphrase. Questo è un numero enorme pazzo dal 94 ^ 8 = 6,1 x 10 ^ 15.
Frasi d'accesso:
Ovunque e in tutti coloro che ho visto parlare di passphrase abbiamo costantemente fornito esempi di tutte le lettere minuscole, senza simboli o frasi di numero come la classica striscia xkcd con "punto corretto della batteria del cavallo". Secondo Oxford Dictionary qui ci sono circa 170 000 parole attualmente utilizzate nel dizionario inglese. Supponendo che gli utenti scelgano in media una passphrase di tre parole (più sembra superare la pigrizia dell'utente), cioè un'entropia di 170000 ^ 3 = 4,9 x 10 ^ 15 che è circa il 20% di entropia inferiore rispetto alla password scelta a caso da 8 caratteri. Ora, prima di argomentare che nessuno usa password generate casualmente, sarà ugualmente raro che le persone scelgano parole totalmente casuali dal dizionario inglese. Invece, gli utenti useranno spesso detti comuni. Anche se le persone evitano i detti comuni, non sono un esperto di linguistica, ma ci sono opzioni limitate che possono seguire logicamente una parola in inglese, riducendo seriamente le possibili permutazioni usate nei passphrase.
Con questo in mente, sostengo che per lo meno la mancata conformità alla casualità nelle passphrase sarà uguale se non supererà l'incapacità di rispettare la casualità nella creazione di password in quanto gli utenti sono cullati in un falso senso di sicurezza con il concetto di passphrase.
Quindi presento la mia domanda formale, sto trascurando alcune considerazioni chiave qui o sono corretto e le passphrase sono davvero meno sicure se non solo ugualmente sicure come password e non sono un nuovo modo rivoluzionario per rendere la password / passphrase molto più difficile da indovinare?