Прості складні паролі, мається на увазі прості для запам'ятовування, але складні для підбору. Як виявляється і такі існують.

Багато роблять помилку, використовуючи один і той же пароль для безлічі ситуацій. Використовуючи вразливість однієї системи, таким чином легко отримати доступ до всіх інших. Не робіть подібної помилки. Але тут виникає інша проблема, тримати в голові паролі від усіх сервісів і систем неможливо чисто фізично. Наприклад, у мене на поточний момент зафіксовано близько 500 різних паролів в самих різних сервісах. Що робити? Зрозуміло використовувати спеціалізоване програмне забезпечення.

Але подібні програми так само використовують паролі для обмеження доступу до даних. І складність обраного пароля забезпечує збереження інформації. Складність зазвичай має на увазі і складність запам'ятовування. Чи так це?

(C) xkcd

Візьмемо для прикладу 9-ти значний пароль, що складається з рандомних символів. Отримуємо 94 ^ 9 = 572994802228616704 можливих комбінацій пароля. 94 друкованих символу використовується в таблиці ASCII без урахування пробілу. Але запам'ятати такий пароль звичайній людині вкрай важко. Спробуйте наприклад, запам'ятати наступне:

Всього 9 різних символів, які не мають між собою зв'язку. Запам'ятати складно, та й набирати на телефоні складно, але наскільки складно підібрати такий пароль? Якщо брати для оцінки швидкість в 1 трильйон ключів в секунду (згідно статті 25 об'єднаних GPU здатні перебирати 350 млрд паролів в секунду), то отримуємо, що потрібно 572994,8 секунд, або близько 6,6 доби. Виходить не так складний пароль? А ми ще не встигли його запам'ятати. Що ж робити?

На допомогу приходить технологія генерації пральних фраз під ім'ям Diceware . Технологія проста і для використання вимагає наявності спеціально підготовленого словника і кубиків, звичайних гральних кубиків, що можна купити в дитячому магазині. Словники можна взяти на офіційній сторінці, є варіації для різних мов . В цілому словник англійською мовою містить в собі 7776 слів. Кожному слову відповідає своя числова послідовність. Беремо кубик, кидаємо його п'ять разів, або ж беремо п'ять кубиків і кидаємо їх один раз, отриману комбінацію цифр записуємо і шукаємо в словнику. Отримане слово записуємо. Таким чином операцію повторюємо кілька разів. Як вказує в офіційному блозі творець методу, на поточний момент досить використовувати шість слів в пральний фразі для забезпечення достатнього рівня безпеки.

Для того, щоб зрозуміти рівень складності парольної фрази приведу приклад з п'яти слів даного словника:

sequin path zest glass delhi sequin-path-zest-glass-delhi

Зверніть увагу на те, що між словами можуть використовуватися не тільки прогалини, а й довільні символи. Набагато простіше запам'ятати, якщо порівнювати з 9-символьним паролем, наведеним вище, чи не так? Але наскільки наведений пароль надійніше? В даному методі використовується формула: кількість слів у словнику в ступеня кількості слів. Тобто в нашому випадку: 7776 ^ 5 = 28430288029929701376 різних комбінацій. Що в 49,617 разів більше, ніж у випадку з 9-символьним паролем. Запам'ятати і використовувати його набагато легше, але ефективність вище.

Виникає законне питання, звідки взялася наведена формула ?? У нас є 7776 різних слів у словнику, які ми можемо використовувати в самих різних комбінаціях, связуя між собою з використанням додаткових службових символів (пропуски, знаки пунктуації та ін.). Середня довжина слова в словнику 4,2 символу. П'ять слів це приблизно 21 символ без врахування пробілів. Отримуємо, за формулою 94 ^ 21 = 2,7E41 комбінацій. Що набагато більше передбачуваної складності при використанні словника. Таким чином можна вважати наведену вище формулу вірною, за умови того, що зломщикові відомий використовуються під нами словник.

Виходячи з усього вищесказаного можна говорити про те, що для людини ефективніше використовувати цілі фрази, згенеровані з словників. При використанні шести і більше слів, можна гарантувати простоту запам'ятовування, але при цьому забезпечувати значну ефективність створеного пароля. Але і в даному випадку можна ускладнити роботу зломщика, якщо до створеної пральний фразі додавати так звану сіль. Сіллю може служити номер телефону, номер будинку, дата народження, все що завгодно, інформація, яка не входить в існуючі словники. Що ламає алгоритм використання підбору пароля за словником. Те ж саме відбувається, якщо в якості роздільників слів використовувати не пробіл, а інший знак.

Чи використовуєте парольні менеджери? PGP-ключі? Можливо вам потрібно згенерувати надійний пароль для своєї Wi-Fi мережі? Використовуйте Diceware, таким чином ви сгенеріруете надійний пароль, який легко запам'ятати.

Зверніть увагу на той факт, що складність пароля не сильно залежить від типу використовуваних символів, великі символи використовуються або маленькі. Ентропія, тобто складність пароля зростає незначно, а ось складність запам'ятовування зростає дуже сильно. Автор методу рекомендує використовувати тільки маленькі букви латинського алфавіту.

Так само варто звернути увагу на той факт, що автор методу не рекомендує використовувати електронні методи генерації випадкових чисел. Так як всі існуючі алгоритми використовують псевдо-генератори випадкових чисел. І для отримання гарантованого результату рекомендується використовувати старі добрі гральні кістки.

Але якщо проблема випадковості не сильно вас турбує, можна скористатися програмними рішеннями, наприклад сторінка на Github: Diceware Secure Passphrase Generator , Яка використовує для генерації JavaScript, і включає в себе цілий ряд словників для різних мов. Або використовувати знаменитий 1Password , Які в одній з останніх версій додали Diceware генератор паролів.

Якщо у вас ще залишилися питання за описаним методом, рекомендую звернутися на сторінку Diceware Passphrase FAQ .