it-swarm.com.de

Wie kann man einfach zu tippende Passwörter generieren, ohne die Sicherheit zu beeinträchtigen?

Wie kann man ein Passwort generieren, das einfach einzugeben ist, aber die Sicherheit nicht beeinträchtigt? Ein Beispiel für ein Passwort, das einfach einzugeben ist, aber die Sicherheit beeinträchtigt (wie ich mir vorstellen kann), wäre qwe123! @ #.

Für diese Frage verwenden wir eine ziemlich lockere, aber standardmäßige Kennwortrichtlinie. Sagen wir:

  • 8+ Zeichen
  • Mindestens 1 Großbuchstabe
  • Mindestens eine Nummer
  • Mindestens 1 Symbol

Ich hoffe, dass dies dem alten Sprichwort "Sicherheit auf Kosten der Benutzerfreundlichkeit geht auf Kosten der Sicherheit" ein wenig vom Aspekt "Benutzerfreundlichkeit" nimmt. Mir ist bewusst, dass ein Passwort-Manager oder ähnliches eine idealere Lösung wäre, aber nicht jeder ist bereit, so etwas zu integrieren.

** Nachdem Sie alle Antworten und Kommentare hier gelesen haben. Meine ursprüngliche Absicht für "einfach zu tippen" war etwas in der Nähe von einander auf der Tastatur oder abwechselnden Händen mit sanften Übergängen dazwischen, weshalb ich die Antwort akzeptierte, die ich tat. Die anderen Antworten (und die akzeptierte) haben mir jedoch klar gemacht, dass ich falsch darüber nachgedacht habe.

31
Pants

Haftungsausschluss : Ich interpretiere "einfach zu tippen" in dieser Frage wörtlich als aufeinanderfolgende Zeichen oder ähnliche Tippmuster, was sich von Passwörtern unterscheidet, die "leicht zu merken" sind. Ich weise darauf hin, weil keine der anderen Antworten die Frage so zu interpretieren scheint.

Wie kann man einfach zu tippende Passwörter generieren, ohne die Sicherheit zu beeinträchtigen?

Kurze Antwort: Mach dir keine Sorgen.

Der Grund ist, dass es sich nicht lohnt, es sei denn, Sie sind eine extrem langsame Schreibkraft. Ich habe gerade ein Experiment versucht, bei dem ich zwei Passwörter auswähle, beide waren leicht zu merken und eines ist (scheinbar) viel einfacher zu tippen als das andere. Um das Timing mit meiner Stoppuhr einfacher messen zu können, habe ich beide Passwörter dreimal eingegeben und verglichen:

Option 1 : (12 Sekunden, um es dreimal einzugeben)

This password is easy to remember
This password is easy to remember
This password is easy to remember

Option 2 : (10 Sekunden, um es dreimal einzugeben)

1234qwerasdfzxcv7890yuiohjklnm,.
1234qwerasdfzxcv7890yuiohjklnm,.
1234qwerasdfzxcv7890yuiohjklnm,.

Ich habe es tatsächlich ein paar Mal versucht und die oben gezeigte Zeit war mein letzter 3er-Satz für jeden. Die ersten Male habe ich das "einfach zu tippende" Passwort durcheinander gebracht, weil ich zu schnell gefahren bin und andere Tasten gestoßen habe.

Mein Fazit : Es ist wahrscheinlich, dass wenn Sie eine Passphrase wählen, die leicht zu merken ist, die Eingabe nicht viel langsamer ist als eine, die scheinbar "einfacher zu tippen" ist. (Mein Durchschnitt lag bei 3,3 Sekunden gegenüber 4,0 Sekunden.) Hinzu kommt die etwas höhere Wahrscheinlichkeit, dass ein einfach einzugebendes Passwort in einer Wörterbuchliste landet, und ich würde mich davor scheuen.

13
TTT

Obligatorisch "Verwenden Sie einen Passwort-Manager!". Aber Sie scheinen sich dessen bereits bewusst zu sein. Weitermachen.


Es gibt beliebig viele Tricks. Nach meiner Erfahrung bedeutet "leicht zu merken" und "leicht zu tippen" normalerweise "vollständige englische Wörter"; Meine Finger/mein Gehirn haben es mit Wörtern viel leichter als mit beliebigen Zeichenfolgen. Zwei Systeme, die mir in den Sinn kommen, sind:

Diceware

Besorgen Sie sich eine Kopie der Diceware-Wortlisten [ Artikel ], [ large_wordlist.txt ] und würfeln Sie! Diese Liste von 65= 7.776 eindeutige Wörter wurden sorgfältig ausgewählt, um leicht zu merken zu sein. Wikipedia gibt diese Beispiele als typische Diceware-Passwörter an:

  • verbundenes Pfund sicher chitchat Spinout Becken
  • reis unmoralisch besorgniserregend Shopping Traverse Ladegerät

Außerdem: obligatorische XKCD Kennwörter dieses Stils befürworten.

Passphrase

Ich bin ein Befürworter, dass wir "Passwort" aus der englischen Sprache streichen sollten - da dies die Leute dazu ermutigt, in einzelnen Wörtern zu denken - und mit Ausnahme einiger besonders schwachsinniger Banken akzeptieren alle Systeme jetzt Leerzeichen in Passwörtern. Warum also? nicht in "Passphrasen" denken?

Ein cleverer Trick, von dem ich gehört habe, besteht darin, eine Passphrase festzulegen, die ein persönliches Lebensziel darstellt, das Sie erreichen möchten, oder eine Tatsache, an die Sie sich erinnern möchten. A) Da Sie Ihre Passphrase mehrmals am Tag eingeben, ist dies eine natürliche Erinnerung daran, und B) sobald Sie die Sache erledigt haben, haben Sie einen natürlichen Grund, Ihre Passphrase zu ändern! Das Folgende wären Beispiele, die sich natürlich nach etwa einem Monat ändern möchten:

  • "$% auf meinem 401 (k) aktualisieren"
  • "unter 10 Rauch/Tag bekommen"
  • "Sandys Baby wird am 24. August erwartet"
  • "Planen Sie Grampas 80. B-Day Party"

[ps. Ich warte auf den Flammenkrieg auf diesen Vorschlag. Meine generische Antwort: Verwenden Sie eine längere Passphrase!]

36
Mike Ounsworth

Jeden Tag muss ich mein Passwort wie hundert Mal eingeben. Also habe ich ein Passwort entworfen, das "Einfach zu tippen" war und diesen Vorschlägen folgte (basierend auf meiner eigenen Erfahrung):

1) Besser, wenn ich nicht die "kleinen" Finger benutzen muss (sie werden nach langem Gebrauch müde). Ich empfehle, Zeichen oder Symbole ganz links oder ganz rechts auf der Tastatur zu vermeiden. Aus diesem Grund sollten nicht so viele Großbuchstaben verwendet werden (Sie müssen Ihren kleinen Finger für die Umschalttaste verwenden, oder?).

2) Großbuchstaben sollten mit der rechten Hand (wenn Sie Rechtshänder sind) oder mit dem Zeige- und Mittelfinger Ihrer linken Hand eingegeben werden können. Der Grund ist, dass es (für mich) einfach ist, die Linksverschiebung als die Rechtsverschiebung zu verwenden (weil sie weiter von der Mitte entfernt ist). Versuchen Sie Folgendes: Shift + q scheint Druck auf Ihre Hand auszuüben, verglichen mit Shift (linke Hand) + P (rechte Hand).

3) Wenn Sie Ihr Passwort mit einer Hand eingeben können, ist es besser. Manchmal habe ich eine meiner Hände beschäftigt, und das Eingeben von Umschalt + 7 mit einer Hand ist möglicherweise nicht so bequem. Ich würde sagen, wenn Sie Großbuchstaben verwenden, versuchen Sie, diese nahe an der Umschalttaste zu halten.

4) Benachbarte Buchstaben sind einfach einzugeben (zum Beispiel: hj in einer QWERTY -Tastatur), aber normalerweise ist es einfacher, einen Fehler zu machen (jh statt hj). Mein Vorschlag hier ist, dies nicht zu versuchen Verwenden Sie benachbarte Zeichen in der Mitte oder am Ende des Passworts, um Fehler zu vermeiden.

5) Der Durchfluss ist ebenfalls wichtig. Ich habe festgestellt, dass es einfach ist, etwas zu tippen, wenn sich alle Buchstaben/Zahlen/Symbole von einer Seite zur anderen bewegen (wie beim Klavierspielen). Wenn Sie auf der linken Seite beginnen und auf der rechten Seite der Tastatur enden (oder umgekehrt). Es kann auch einfacher sein, mit einer Hand zu tippen. Zum Beispiel: 9641 vs 9164 (mit der rechten Hand)

6) Wenn Sie beim Tippen die Hände wechseln, ist dies einfacher (IMHO). Zum Beispiel: "jspenro" vs "jkustwp". Versuchen Sie, bis zu 2 Zeichen pro Hand zu behalten. Die meisten englischen Wörter sind so (Hände wechseln sich natürlich ab).

7) Nicht so wichtig, aber wenn Sie es tippen können, ohne es als Plus zu betrachten. Eines meiner Passwörter weiß ich nicht einmal, aber ich kann es sehr schnell eingeben (da ich es nicht in meinem Kopf wiederhole), ich lasse es einfach meine Hände, um es für mich zu tun: Prozedurales Gedächtnis

Die oben genannten Punkte funktionieren für mich, aber sie funktionieren möglicherweise nicht für andere. Wenn Sie nach einem einfach einzugebenden Passwort suchen, probieren Sie meine Vorschläge aus. Ansonsten halten Sie sich an das, was bereits vorgeschlagen wurde: Verwenden Sie einen Passwort-Manager.

8
lepe

Wörterbuchpasswörter sind der richtige Weg. Wikipedia schlägt vor, dass eine vorhersehbare Strategie möglicherweise nicht der beste Weg ist, in diesem Fall jedoch.

Von Wikipedia Informationstheorie/Entropie :

Zum Beispiel ist die Entropie eines Münzwurfs 1 Shannon, während es bei m Würfen m Shannon ist. Im Allgemeinen benötigen Sie log2 (n) -Bits, um eine Variable darzustellen, die einen von n Werten annehmen kann, wenn n eine Potenz von 2 ist. Wenn diese Werte gleich wahrscheinlich sind, entspricht die Entropie (in Shannons) der Anzahl der Bits. Die Gleichheit zwischen der Anzahl der Bits und den Shannons gilt nur, wenn alle Ergebnisse gleich wahrscheinlich sind

Wenn also alles gleich wahrscheinlich ist, setze ich wahrscheinlich 'a' oder '2' oder '<' für einen Wert, dann sind Optionen und Länge alles, was zählt. Davon abgesehen gibt es in jeder Sprache weit mehr Wörter als Buchstaben + Ziffern + Symbole. Genug, damit ein 4-Wort-Passwort ein 10-Zeichen-Passwort leicht übertrifft.

Um zu zeigen, wie groß der Unterschied ist:

26 Buchstaben im Alphabet, 10 Ziffern, vielleicht 15 Symbole = ~ 50 Optionen. Passwort mit 10 Zeichen = 9,76 x 10 ^ 16 Optionen. Wenn unser Computer 4 Millionen pro Sekunde schätzt, eine grobe, großzügige Schätzung, haben wir ungefähr 775 Jahre Zeit, um das Passwort zu erraten. Ziemlich sicher. Und wir können uns bequem an 7 Zeichen erinnern, 10 sind machbar, insbesondere durch Wiederholung im Passwortstil.

Dies ist mit 10 Zeichen, alle gleich gewichtet in der Wahrscheinlichkeit, was vernünftig ist, da es wahrscheinlich Kauderwelsch ist, dass wir uns auf den Handrücken legen müssen, um uns anfangs zu erinnern.

Davon:

1) Die Länge des Passworts ist in diesem Fall wichtig. Jeder Charakter erhöht die Sicherheit erheblich. Ein längeres Passwort ist immer besser. Wenn wir zum Beispiel unser Passwort auf 7 Zeichen reduziert haben, haben wir eine magere maximale Zeit von 2,25 Tagen, um mit 50 Optionen für jedes Zeichen zu knacken.

2) Aber wenn ich ein Passwort mache, wie es im XKCD-Comic beschrieben wird, hindert nichts jemanden daran, ein Wörterbuch mit einem Passwort wie "Erinnere dich an verlorenen Elefantenwald" zu werfen. Sagen Sie, wenn ich John the Ripper verwende, der ~ 3000 hat, mit der Option, jeden Plural zu machen oder ein s abzuschneiden, wenn es mit einem endet, dann vielleicht ~ 6000 Wörter. Wenn mein Passwort 4 Wörter enthält, sind 6000 ^ 4 Möglichkeiten = 1,3 x 10 ^ 15, 10 Jahre

Ziemlich sicher. Und John the Ripper würde das Passwort nicht wirklich knacken:

richtige Heftklammer für Pferdebatterien

John the Ripper verwendet gebräuchliche Passwörter. So häufig, dass dort nur "Pferd" auftaucht. Wenn ich ungewöhnlich viele Wörter verwende, die Cracker-Wörterbücher nicht vorhersehen, ist die letzte Option ein legitimer Wörterbuchangriff.

Wenn ich Fedoras Standardwörterbuch mit sehr umfassenden 500 000 Wörtern verwende, gibt es für ein 4-Wort-Passwort 6,25 x 10 ^ 22 Möglichkeiten bei etwa 0,5 Milliarden Jahren Cracking-Zeit. Es ist jedoch nicht weit hergeholt zu sagen, dass dies auf höchstens 25% seiner Größe reduziert werden könnte, insbesondere wenn gebräuchliche Wörter wie "richtige Pferdebatterie-Heftklammer" verwendet werden. Also 125 Tausend Möglichkeiten. Trotzdem 2,44 x 10 ^ 20, was ungefähr 2 Millionen Jahren entspricht.

Was wäre, wenn wir es auf% 1 reduzieren könnten? Also 5000 Wörter. Das sind 6,25 x 10 ^ 14 Möglichkeiten, fast die gleiche Anzahl wie beim John the Ripper-Angriff, max. 5 Jahre. Ist es wirklich machbar, es auf 1% zu reduzieren? Wahrscheinlich nicht, wenn die gebräuchlichsten Wörter nicht verwendet werden.

Dies hängt aber auch von Leerzeichen ab. Wenn ich habe

azkaban_P0tter * flubber st @ ple Dann haben wir die erste Gleichheit der Bits in der Shannons-Konversation zerstört, aber eine unüberwindliche Menge von Variablen hinzugefügt, selbst wenn der Angreifer nimmt diese Taktik vollständig vorweg.

Wenn ein kleineres Wörterbuch mit beispielsweise 200 000 verwendet werden könnte, würde eine Reduzierung auf 1% immer noch maximal 45 Tage betragen. Wenn Sie die häufigsten Wörter vermeiden und unterschiedliche Worttrennzeichen verwenden, würde sich diese Dauer drastisch erhöhen und ein oder zwei Wörter einwerfen eine andere Sprache, wenn das einfach ist.

7
flerb

Schauen Sie sich diesen Beitrag an. Ich denke, er hängt sehr stark mit dem zusammen, was Sie hier gefragt haben:

XKCD # 936: Kurzes komplexes Passwort oder lange Wörterbuch-Passphrase?

Auch das ist eine sehr theoretische Frage, ich meine, jeder findet verschiedene Dinge schwieriger zu tippen. Ich denke, "qwe123" ist in der Tat "einfach zu tippen", aber einige werden argumentieren, dass ihre Namen/Dinge, die sie mögen, auch "einfach zu tippen" Passwörter sind . Sie können auch "leicht zu tippen" in "leicht zu merken" interpretieren, ist das was Sie meinen (?)

Meiner Meinung nach ist ein einfach einzugebendes Passwort ohne Einbußen bei der Sicherheit zuallererst ein langes und dann etwas, an das nur Sie denken können (und wenn Sie die darin erwähnten Methoden verwenden, würde dies natürlich die Sicherheit des Passworts erhöhen). .

3
MercyDude

Ich hatte den gleichen Gedanken in meinem Kopf und kam auf asdff3F#, asdffF3#, asdff9F(, asdffF9(, usw.

Ich habe Folgendes berücksichtigt:

  1. Wir legen die Finger der linken Hand auf asdf. Die Verwendung der gleichen Zeichen für Alphabete hilft uns dabei, die linke Hand nicht zu verschieben.
  2. Klicken Sie mit dem rechten kleinen Finger auf Shift.
  3. Die Verschiebung ist minimal, wenn wir den Mittelfinger einer Hand bewegen (ich kann 3 mit dem linken Mittelfinger und 9 mit dem rechten Mittelfinger erreichen).