密碼短語是您可以使用的極好工具,但您需要它嗎?

Pasphrases

這一年是2011年,安全專業人員正在打一場失敗的戰鬥。他們正在向骨頭打字,試圖說服用戶創建真正強大的密碼非常重要。他們將圖表放在一起並解決數學方程式,這些方程式說明了使用包含大寫和小寫字母,數字和特殊字符的長密碼的優點。儘管如此,人們還是使用“123456”來保護他們的帳戶,並且通常不會羞於承認他們在多個帳戶上重複使用單個密碼。然後, 一個現在著名的XKCD webcomic出現並試圖改變公眾的看法。

密碼與密碼短語

作者Randall Munroe試圖告訴人們,他們應該只考慮四個隨機字典單詞並將它們放在一起,而不是雜耍字母,數字和標點符號。他認為得到的密碼短語比用隨機數字和特殊字符修飾的典型單詞更難破解,他甚至試圖用數學來證明它。

現在,七年之後,我們可以有把握地說,Munroe先生嘗試改變用戶的密碼創建習慣或多或少都失敗了。 “123456” 仍然是最常用的密碼之一, 密碼重用仍然是常態而非例外。儘管如此,“正確的電影劇”漫畫仍然是一些熱烈討論的主題。

開始這一切的問題

為了找出為什麼有些人認為密碼短於密碼,我們需要看看常規密碼有什麼問題,我們也可以在此過程中清除一些混亂。

許多人錯誤地認為創建強密碼很困難。不是這種情況。實際上,打開文本編輯器,閉上眼睛,將鍵盤上的鍵搗碎幾秒鐘。很有可能,當你睜開眼睛時所看到的將是一個相當強大的密碼,即使是一台功能強大的計算機也需要很長時間才能破解。問題是,如果它很難破解,那就很難記住了,這真的是問題所在。

密碼短語支持者聲稱,由於它的長度,它與密碼一樣(如果不是更多)難以破解。與此同時,你很難找到願意爭辯說記住一串四個字典單詞比記住一串二十個隨機符號更難的人。那麼,似乎密碼短語只是我們需要的解決方案。不幸的是,它並不那麼簡單。

使用密碼可能不像聽起來那麼容易

它們似乎並不那麼普遍,但專家們已經看到了專門用於暴力密碼短語的工具。他們不是在獲得正確的密碼之前嘗試不同的符號組合,而是組合單詞。雖然它並沒有完全破壞密碼短語的強度,但這樣的工具可以消除使用長密碼短語所帶來的一些額外複雜性。

然後你有密碼要求的問題. 正如我們已經提到的,在一些人開始爭論密碼短於密碼之前,強烈要求所有人開始在他們的密碼中使用各種類型的符號。因此,網站開始實施強制您在密碼中使用數字或特殊字符的要求。所有這些都可能使你的密碼更加難以記住,這在某種程度上會破壞它的目的。有些規則甚至會阻止您完全使用密碼。

不安全地存儲密碼的服務提供商通常會對可用於保護帳戶的字符數施加上限。正如我們已經提到的,密碼的強度在於它的長度,如果它不能很長,你最好使用更短但更複雜的密碼。

說到長度,看一下在違規過程中洩露的一系列登錄數據,很有可能,你會發現那些可以在那裡被寬鬆地定義為密碼的項目。例如,“letmein”這個短語很常見,如果你還沒有意識到這一點,雖然它在技術上是一個密碼短語,但使用它來保護你的帳戶並不是一個好主意。既沒有使用你最喜歡的歌曲的合唱或你最喜歡的書的前幾個單詞。黑客比這更清楚。

密碼,如密碼,必須是隨機的,不可預測的。可悲的是,人類並不擅長隨意和不可預測。

Diceware - 解決創建密碼短語的問題

如果人類不是隨機和不可預測的,那麼它是什麼?那些說“骰子”的人在背後虛擬拍拍。

Diceware是一種使用yes創建密碼的方法,你猜對了,骰子。它已經存在了很長一段時間了,但是最近關於密碼長度和復雜性的爭論已經大大推廣了,我們現在將向您展示它是如何工作的。

當然,隨著人氣的增長,出現了一些變化。最近,例如,來自電子前沿基金會(EFF)的專家開發了用於二十面骰子的Diceware。然而,我們將專注於僅需要一個完全標準的六面骰子的傳統方法。

然而,在你淘汰Monopoly盒子之前,你需要一個Diceware單詞列表。相當多的單詞列表只是谷歌搜索,他們甚至有不同的語言。如果你不喜歡四處翻找,你可以隨便挑這一個聯邦軍在2016年出版。

現在把你的骰子翻滾五次,記下(或記住)每個數字。將數字放在一起以生成數字並在單詞列表中搜索該數字。數字旁邊的單詞是密碼短語的第一個單詞。例如,在辦公室試用之後,我們得到了36426,在EFF的單詞列表中,它對應於“機械師”。重複這個過程,生成三個或更多的附加單詞,將它們拼接在一起,最後你會得到一個非常強大的密碼。

這不是生成密碼短語的最快方式,但結果是完全隨機的,這意味著額外的努力是值得的. 可悲的是,這種隨機性也造成了問題。

記住一個密碼是很容易的,記住許多密碼不是

正如我們已經提到的,密碼短語的主要優點是它比強密碼更容易記住。問題是,在這個時代,我們不需要記住一個密碼或密碼。我們有很多帳戶,如果我們想保證它們安全,我們就不能用相同的字符串或字符來保護它們。

Cyclonis Password Manager這樣工具可以幫助您將所有密碼和密碼保存在只有您有權訪問的加密保管庫中。它可能不會生成密碼短語,但它創建的密碼可能同樣長且複雜得多。最重要的是,你不需要擲任何骰子,記下任何數字或查找任何單詞。

April 30, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
4 + 9是什麼?