(Dovremmo davvero avere un pulsante per collegare questo XKCD)
Ho appena iniziato a passare le mie password in passphrase. Ora, non ho lanciare alcun dado per inventarli, che conosco sacrificio di entropia; sono frasi. Sono lunghi almeno 25 caratteri, almeno 5 parole, e cerco di inserire un numero e una parola "falso" (questa sarebbe una bastardizzazione di una parola che compongo o una parola non standard come "doggo" o "borked").
Ora, so che il fatto di avere una struttura significa che ho perso la potenziale entropia, ma il messaggio che mi è sfuggito da quell'XKCD è che la memorizzazione è una risorsa da massimizzare così come l'entropia. Apprezzo che posso dire a mia moglie queste password senza aver bisogno di scriverle mai (o, dio non voglia, mandarle via email / e-mail). Spero di non vedere mai una mia password attiva.
La mia domanda, quindi, è Sono probabile che vedrò qualche aumento pratico della sicurezza combinando passphrase e leepliche?
"Pratico aumento della sicurezza" qui significa protezione aggiuntiva da qualsiasi vettore di attacco dato l'hardware moderno in un periodo di tempo ragionevole. So che le parole in chiaro sarebbero ovviamente di aiuto, ma se un attacco alla passphrase da solo non è fattibile, preferirei non complicare la mia password. Questo è nel caso medio; Non mi interessa che qualcuno dedichi dozzine di GPU alla mia password da solo per mesi.
Puoi fare in modo che tutte le modifiche siano facilmente memorizzate. Sono per lo più curioso di sapere se una passphrase fornisce abbastanza entropia da sola che le strategie tradizionali per l'entropia non sono più rilevanti. Ad esempio, la seconda password qui è pragmaticamente migliore della prima?
mydoggoShrekate7bonesyesterday
myd0ggoShr3k4te7bon3$yesterd@y
(Inoltre, per favore non suggerire semplicemente un gestore di password. Ho i miei motivi per volerne evitare uno.)