Mi stai chiedendo se puoi prevedere in che modo gli esseri umani medi trasmuterebbero una determinata parola sulla base di un insieme di regole di trasmutazione, per quanto posso capire.
Affinché tale previsione si verifichi, è necessario un presupposto precedente basato sull'evidenza o un modello predittivo valutato e il cui ambito comprende la domanda specifica. La prima strada è quella delle precedenti violazioni, da cui è possibile dedurre per lo stesso alfabeto e regola come le parole verranno trasformate. È quindi possibile utilizzare queste informazioni per descrivere l'effettiva entropia di uno spazio di immissione della password, piuttosto che un'entità "set" che non tiene conto della distribuzione di probabilità delle parole. In pratica non avrete dati sufficienti per coprire l'intero spazio di input di un alfabeto, quindi una tale metrica si basa ancora su un certo livello di estrapolazione (ad esempio "tutti i pattern non osservati hanno ugualmente probabilità di verificarsi"). Bonneau ha un documento sulle metriche di sicurezza per le password che riflettono meglio la realtà di come gli spazi per le password vengono utilizzati dagli utenti finali ( possibilmente questo ).
La seconda strada richiede di fare un bel po 'di esperimenti con soggetti umani e di elaborare regole generali su come le persone scelgono di trasmutare le parole in base ai simboli disponibili. Faresti più esperimenti per valutare quali simboli sono preferiti, come sono posizionati, dove e dovresti coprire un insieme ecologicamente valido di:
- input alfabeti
- ha proposto simboli e regole di trasmutazione
- persone
- interfacce per la paternità della password e la voce
-
impostazioni sociali (questo semplicemente sconfigge la sorprendente maggioranza di ricercatori della sicurezza che fanno soggetti umani ricerca)
Sarebbe estremamente difficile e costoso rendere tale modello completo (vale a dire la contabilità di tutti i possibili tipi di trasmutazione), valido e affidabile.
Soprattutto, credo che le interfacce abbiano un impatto maggiore sul modo in cui le persone si autenticano rispetto alle password (ma non ho né il tempo né la motivazione per argomentare in alcun modo scientifico :-)), e sarei disposto a scommettere che se tale modello è stato realizzato per es computer desktop con un certo tipo di tastiera non funzionerebbero per es. tablet con un layout di tastiera diverso (ad esempio se "@" è disponibile con un minore costo di interazione di "1" su una tastiera, può essere preferibile proprio per questo motivo).
Pensare a questo problema da una prospettiva di UX semplifica moltissimo la questione: perché le persone scelgono sempre trasformazioni molto semplici, ad esempio aggiungono un numero e un simbolo alla fine di una password esistente? Perché era economico e facile farlo con una password esistente. Cosa abbiamo imparato da questo? O rendiamo ugualmente dolorose tutte le opzioni all'utente in modo che scelgano casualmente una password, o smettiamo di chiedere loro un compito così ridicolmente difficile di selezionare fattori di autenticazione casuali ma memorabili.