Semplici cifrari per creare password sicure

-1

Un codice di turno sposta ogni lettera di una parola per "n" quantità e crea una nuova parola. Il numero di chiavi possibili nel codice di turno è uguale alla dimensione del set di alfabeto da cui deriva la parola. Ad esempio se le parole derivano dalle lettere minuscole ci sono 26 tasti diversi.

La parola "withcurious" con lo shift-amount o il tasto "1" viene trasformata in "xjuidvsjpvt". È possibile utilizzare tali schemi dall'utente per impostare le password. Si potrebbe obiettare che, nel caso del codice di turno, il numero di chiavi è inferiore. Quindi se l'attaccante impara questo trucco, deve costruire solo 26 dizionari uno con ogni quantità di turni. 0 ... 25

Ma se si usano cifrari di sostituzione monoalfabetici o polialfabetici, in cui ogni alfabeto in una parola è sostanzialmente spostato di quantità diverse, può essere usato per creare password sicure, considerando che a ogni utente viene assegnata una chiave casuale. Con l'alfabeto della dimensione 94 che include lettere minuscole, maiuscole, cifre e simboli ce ne sono 94! chiavi differenti in caso di codici monoalfabetici di sostituzione e potenza (94; 94) nel caso di codici di sostituzione polialfabetici. L'utente può memorizzare la chiave (mappatura alfabetica) in modo sicuro e può utilizzare il nome del sito e crittografarlo con la sua chiave segreta. Il testo cifrato risultante appare casuale e viene impostato come password.

Le password costruite in base a tale schema possono essere considerate sicure se soddisfano il requisito di lunghezza minima (> 12)? È possibile implementare tale schema?

    
posta Curious 16.09.2014 - 17:49
fonte

2 risposte

0

Tale schema non offre alcun vantaggio rispetto alle password puramente casuali. Sono ancora difficili da ricordare, ma più facili da indovinare da un computer rispetto alle stringhe casuali.

Invece, dovresti usare le passphrase. La lunghezza supera la complessità quando si tratta di entropia e le parole sono più facili da ricordare rispetto ai caratteri casuali.

XKCD obbligatorio: link

Potresti pensare che prendere consigli da un fumetto non sia l'idea migliore, ma provalo tu stesso: link

Puoi chiaramente vedere qui che una passphrase composta da più parole comuni è più strong di 8-12 caratteri casuali.

Tr0ub4dor & 3 - 5.75 x 10 ^ 21

graffetta corretta della batteria del cavallo - 3,90 x 10 ^ 49

xjuidvsjpvt - 3.82 x 10 ^ 15

Se queste password devono essere generate per l'utente, fare in modo che lo script scelga quattro o cinque parole del dizionario casuale di almeno 5 caratteri di lunghezza. Nessun algoritmo, facile da ricordare.

    
risposta data 16.09.2014 - 22:35
fonte
0

In sostanza ciò che stai proponendo è un algoritmo con un valore di seme. Questo valore di inizializzazione è la password in chiaro dell'utente. Questo non è sostanzialmente diverso dall'uso di una buona KDF (come PBKDF2 ) su una password principale per creare quindi password derivate.

Detto questo, il consiglio più comune e più ragionevole è non eseguire il rollover . Se si tratta di un KDF che si desidera, utilizzare un algoritmo noto. Se si tratta semplicemente di password sicure, un'alternativa molto più semplice (e più sicura) consiste nell'utilizzare un gestore di password come Keepass.

    
risposta data 17.09.2014 - 09:56
fonte

Leggi altre domande sui tag