Избиране на силна парола - няколко идеи
А вие сменихте ли си паролата с по-силна?
Преди да го направите тренирайте със спомнянето на новата парола като създадете празен контейнер за тест. И пробвайте няколко пъти да го отворите със запомнената от вас парола (с паузи от по няколко минути, после с пауза от няколко часа, а особено параноичните може да изчакат един-два дена за да видят дали са запомнили паролата).
Аз вчера направих тази грешка - мислех си, че съм я запомнил, обаче... след един час опити накрая улучих правилната парола, добре че помнех повечето неща. Иначе щеше да се наложи да преинсталирам системата.
Не забравяйте и адекватното разтягане на ключове! Вижте статията в блога ми за разтягането на ключове. При популярни програми на GnuPG имат твърде слабо разтягане на ключове, мениджърите на пароли – също.
Пароли с произволни букви и цифри трудно се помнят. Затова според мен е по-удачно да се ползва тежко разтягане на ключа и изречения. Не е задължително те да имат смисъл и да съдържат думи от речника. Може да си измислите производни думи.
Да се запомни граматично правилно изречение, което съдържа няколко измислени и няколко реални думи, е добър компромис. Защото това позволява да се състави дълга парола, която е сравнително лесна за запомняне.
Като източник на идеи за парола може да вземете някоя книга и да отворите на случайна страница. Или случайна страница от сайт. А най-добре да се ползва сигурен генератор на поредица от случайни думи (пример).
Да вземем този пост от Reddit:
Can phenomenonlogy reveal metaphysics of a phenomenon?
I am sorry if its a stupid question, but I am pretty confused. Context is, I have dpdr and I have some insights about it. Its one of the least understood disorders, as some of its symptoms are kind of ineffable and almost always expressed metaphorically. With different 'patients' come different metaphors which mean different things to different academicians, which makes it just as much difficult to fixate on a common understanding.
I have a theory about experience of dpdr itself which I guess would make it phenomenology. But it sort of implies that its only limited to my experience? Whereas if I say I am writing about metaphysics of depersonalisation, it would mean I am writing a more general theory. So is it principally possible for phenomenology to reveal metaphysics? Else, what separates them?
Also, I know, with my current knowledge of philosophy its not possible to write either, but I want to know if I should have any business reading Husserl? Or do I, in principle, only need to find relevant established arguments from elsewhere for and against what I plan to posit?
Thanks
Взимаме произволно някакви думи:
principally possible disorders depersonalisation should have any business
(Всъщност това не са произволно избрани думи, а такива, които са привлекли вниманието. По-добре е да се ползва генератор на случайни думи на база случайни числа. Думите може да се избират и със зарче.)
Ето каква парола измислих на база тези думи:
принципалн$ посибн$ е дисордерите да водят д$ деперсонализация и затова трябва да имате някакъв бизнес в областта на философията
Интервалите са само за да може да е четимо. Може вместо интервали да слагате някой друг символ.
Трябва да запомните изречението и някакво правило - например буквата "о" когато е в края на дума се заменя с $. Не всички думи са от речника ("посибно", "дисордерите"), което затруднява brute force атака с речник. Може да добавите и някакво число, което помните.
Може да се добавят още правила за замяна на буквите със специални символи и цифри. Например като се добави правилото „първата буква 'и' се заменя с числото 9“:
пр9нципалн$ пос9бн$ е д9сордерите да водят д$ деперсонал9зация 9 затова трябва да 9мате някакъв б9знес в областта на ф9лософията 420 1234567890
Но вместо да се добавят цифри и специални символи е по-практично да се добави още една случайна дума. Така паролата ще е по-лесна за запомняне.
Друг пример – взимаме "correct horse battery staple" и съставяме изречение, което да включва тези думи в тази последователност:
Той беше коректен (correct) като даде на коня (horse) си нова батерия (battery), която е основна храна (staple) за консуматорите на електричество.
Образуването на някакво изречение, съдържащо история (не е задължително да е правдоподобна или особено реалистична – за какво му са на коня батерии?), улеснява запомнянето. Полученото изречение гарантирано има ентропия поне колкото случайно генерираните думи, на които е базирано (ако не се разменят местата им и в списъка и думите от този списък са само в основната си форма – в този случай ползването на друга форма на съответната дума не намалява ентропията на полученото изречение).
Друг пример дадох в: Сетих се за метод на генериране на парола на база случайни думи.
Например, генераторът на случайни думи може да ви даде думите: "куче река жираф бюлетина благоприличие". Паролата, която може да измислите на база тези случайни думи:
кучето преплува реката за да се срещне с жирафа който му предостави бюлетина която беше скрита в плик за благоприличиеОбърнете внимание как не съм сменял реда на думите, а вмъкнах допълнителни символи между тях. Така че да образуват изречение. Всичко е с малки букви и без препинателни знаци за да не се налага помненето им. Това може да се визуализира и да се измисли някакво обяснение на нелепата ситуация (куче, което преплува реката, жирафът на другия бряг, който, поради липса на ръце, е захапал плик с бюлетина (как я е пъхнал там без ръце не става ясно), бюлетината е в плик за да не видят другите животни, че се вършат изборни манипулации).
На ваш риск може и да промените някои думи с подобни и да размествате реда на думите. И даже да избирате само някои думи от списъка. Но следва да имате предвид, че това може да намали "силата" на паролата.
Вместо да променяте реда на думите може да пуснете генератора на случайни думи да генерира няколко поредици и да си изберете една от тях.
Трудно е да се прецени кое ще намали повече ентропията - разместването на думите или генериране на множество поредици от думи, докато се получи такава, която "харесваме". По-скоро второто (ако не става въпрос за генериране на огромен брой последователности за да си изберем "най-хубавата").
Когато е възможно е по-добре да не се ползват пароли или да се разтягат тежко
Когато е възможно е препоръчително да се ползват частни ключове вместо пароли (или пароли, съхранявани в мениджър на пароли, който е защитен с частен ключ или силна парола с тежко разтягане). Но тези частни ключове нали трябва да се шифрират с парола за да се защитят. При GnuPG частният ключ е защитен със слабо разтягане. Затова препоръчвам да се ползва външна програма за разтягане на ключа (като тази, която описах в блога си - SlowKDF).
(Съхраняването на частния ключ в хардуерно устройство не е практично за някои цели.)
Например, горната парола след прекарване през SlowKDF (10 итерации, сол „123“, версия 2 base64) се превръща в:
bwoZud0dtQeMGKdw8YbtODtnbLB0XM2YeI80Z2NQkIr4uWe29uwOz5xXw45c3O6yLrm9UHvPKtcJygz3ZzFQOg==
Ако ви се струва къса - може да вземете версия 1+2 base64, но има риск програмата да не приеме толкава дълъг низ:
iccRMTyixDPWriz+lEFfE5HyZReLQDT0MSdpZ1pHmj3jncrGJUXNzeVrnRnKweyxtcbHcFUZ2PVzJS6VLOnzG3M6E2cH9io3MscTN5+5DMbFJa7zobXL5kkGrOk5X23TOvd/Kc6JmPmHMQGbBrWDU2BItcXtUrc5n4FFq8dzkEFvChm53R21B4wYp3Dxhu04O2dssHRczZh4jzRnY1CQivi5Z7b27A7PnFfDjlzc7rIuub1Qe88q1wnKDPdnMVA6
Защо всички трябва да ползват пълно дисково шифриране и силна криптография
Дори и да няма особено конфиденциални данни отговорният гражданин трябва да ползва пълно дисково шифриране когато е възможно.
Първо - защото може да греши. Или в бъдеще да направи грешка и да запише нещо конфиденциално на твърдия диск и да осъзнае това чак след като го е записал. Нещо, което днес не е важно утре може да се окаже информация, която не бива други да разбират.
Второ - защото така пази и другите. Ако всеки има у дома си сейф крадците няма да знаят кой от притежателите на сейфове има действително нещо за крадене и така ще им е трудно да таргетират жертвите си. Освен това ще си губят времето да разбиват сейфовете, в които няма нищо интересно.
Колко ентропия съдържа една дума?
Когато се оценява ентропията на една парола, съставена от думи (passphrase), трябва да се внимава.
Ентропията от случайно взета фраза от случайно взета книга на английски език има около 5 бита ентропия на дума.
(Не знам за български език точно колко ентропия има в една дума от случайно избрано изречение от случайно избрана книга. Но може да се предположи, че няма да е много повече или много по-малко.)
Ако фразата не е взета случайно и книгата не е взета случайно - следва да приемем, че ентропията е по-малка от 5 бита! Тоест ако сме си избрали изречение,което ни харесва, не е реалистично да смятаме, че всяка дума съдържа 5 бита ентропия, трябва да занижим тази оценка.
Особено опасно е когато за парола се избира фраза от някоя популярна песен или филм, известна сентенция, рекламна фраза и т.н. Такива фрази присъстват в речниците за dictionary attack.
Ако думите се взимат случайно от речник и се записват в парола (passphrase) по реда на генерирането им - ентропията на паролата зависи от това колко е качествен генератора на случайни числа и колко са общо думите в речника, от който избираме случайни думи.
Plain old text taken from a book is estimated to have about 5 bits of entropy per word. You do a lot better if you choose a string of random words. If you have a dictionary of 8,192 words from which to choose, and you choose each one with equal probability, then each word has 13 bits of entropy. If you chose 10 words from this dictionary, you would not have to worry about your password being brute forced.
Цитатът е от тази книга.
Скриптове за генериране на случайни последователности от думи: djurkane, doublerandom.
Скриптът random-words.py от пакета doublerandom взима случайност от множество източници, включително и въведени от потребителя случайни символи (например резултат от хвърляне на зарчета) за да избере зададен брой думи от списък с думи.
Речници с български думи има в пакета djurkane:
Български речник може да се ползва и със скрипта random-words.py от пакета doublerandom:
По някаква причина е попаднала и грешната дума „будисткитс“. В списъка "популярни-думи.txt" би трябвало да няма грешни думи, защото той съдържа само думи, които ги има едновременно в речника на "bgoffice" и списъка, където има грешни думи.
Коментари
Публикуване на коментар