Недавно я прошел через утомительный процесс смены всех своих паролей на что-то более безопасное. Я сделал так, как это обычно рекомендуется в настоящее время — я сделал его длиной в 16 символов, включая символы, цифры, заглавные буквы, строчные буквы и т. д., пока конечный продукт не стал выглядеть более или менее как случайная строка данных.
И тут я наткнулся на следующеекомикс xkcd, что по сути говорит мне, что лучше просто использовать несколько слов подряд, так как это будет на 99% безопаснее с практической точки зрения, и к тому же его будет легче запомнить.
Итак, мой вопрос: насколько верен этот комикс?
решение1
И да, и нет. На Security.SE было много обсуждений по этому поводу. Начнем с цитаты изответ Джеффа Голдберга:
Что комикс XKCD не доносит эффективно, так это то, что выбор слов должен быть (равномерно) случайным. Если попросить людей выбирать слова наугад, то вы получите сильную предвзятость в пользу конкретных существительных. Такие предвзятости могут и будут эксплуатироваться.
Это, пожалуй, самый важный удар по схеме XKCD. Люди ужасно не умеют придумывать что-то случайное [нужна ссылка] ".Я безумно люблю своих замечательных собак и кошек.", безусловно, достаточно "длинный", но ни в коем случае не непредсказуемый.
(Кстати, Джефф также отмечает, что схема XKCD на самом деле не является оригинальной и принадлежит Рэндаллу Манро:
Общая идея создания паролей типа XKCD возникла еще в 1930-х годах.Одноразовые пароли S/Keyс начала 1980-х годов.
)
Theответ с самым высоким рейтингомнапоминает нам о том, что нам нужно знать, от чего мы защищаемся:
Одна из многих причин, по которой нет единого совета по паролям, заключается в том, что все сводится к вопросу моделирования угроз. От чего именно вы пытаетесь защититься?
Например: вы пытаетесь защититься от злоумышленника, который специально нацелен на вас и знает вашу систему генерации паролей? Или вы просто один из миллионов пользователей в какой-то утёкшей базе данных? Вы защищаетесь от взлома паролей на основе GPU или просто слабого веб-сервера? Вы на хосте, заражённом вредоносным ПО?
Я думаю, вам следует предположить, что злоумышленник знает ваш точный метод генерации паролей и просто нацелился на вас. Комикс xkcd предполагает в обоих примерах, что все детали генерации известны.
Взгляните на этот короткий список. Если вы соответствуете этому профилю, то схема XKCD, вероятно, вам подходит:
1. Пароль будет использоваться только в одном месте.
2. Вас волнует только то, чтобы честные люди и мошенники не имели доступа к вашему аккаунту или вашим данным.
3. Ну... на самом деле нет никакой тройки.
Говоря прямо, если вы не готовы использоватьDicewareЧтобы создать запоминающийся пароль, не беспокойтесь о схеме XKCD для чего-то серьезного.Трой Хант проанализировал это некоторое время назад.. Как он говорит ближе к концу своего поста, «лучший» совет по выбору пароля — использовать полностью случайные пароли и менеджер паролей:
Итак, в общей сложности я отслеживаю сто тридцать аккаунтов. Очень немногие люди, которые это прочитают, будут иметь менее 30 аккаунтов, даже если вы не можете вспомнить их все прямо сейчас (вы действительно можете вспомнить все аккаунты, которые вы когда-либо создавали?). Будьте честны, сложите их все и посмотрите, что у вас получится, даже те, которые вы не так часто используете. И если у вас сейчас нет 30 аккаунтов, сколько времени пройдет, пока они у вас не появятся? Недавно пройдя упражнение по управлению паролями с моим отцом, которому за 60, и не имея опыта работы в сфере технологий, я знаю, что в худшем случае любой обычный пользователь сети почти наверняка будет иметь больше аккаунтов, чем он может сосчитать на пальцах рук и ног, и определенно больше, чем он может применить в своей памяти.
У меня нет 130 аккаунтов, но у меня определенно больше, чем пальцы рук и ног в моем менеджере паролей. Каждый раз, когда я меняю пароль на своем рабочем компьютере, мне требуется около трех недель постоянного использования, прежде чем я смогу его запомнить. И это один из, может быть, 2-4 паролей, которые я действительно ввожу вручную! Попробуйте масштабировать это до 30-100 аккаунтов, и это просто не работает.
решение2
Хотите надежные пароли, а не просто один? Используйте генератор и случайным образом создавайте максимально длинные и сложные пароли — Эдвард Сноуден утверждает, что АНБ может перебирать около миллиарда вариантов в секунду, так что будьте готовы :-) Затем используйте менеджер паролей, чтобы отслеживать все свои пароли.