一段時間以來,我一直對密碼短語概念感興趣,因為密碼短語概念可能會更安全地替代傳統密碼。我的興趣來自於一種直覺,認為密碼短語的性質比密碼的熵低。
這是我的邏輯。在我基於Google的研究中,大多數博客類型的帖子都指出,典型的計算機用戶可能將讚譽的口令讀為令人驚奇的安全事物,甚至有一個網站聲稱,現有的密碼破解軟件由於太長而無法破解口令。從字面上看,這是正確的,但是為密碼破解者提供字典的簡單更改就可以解決該問題。沒錯,這是我的邏輯:
密碼:
用戶現在已經習慣了密碼必須複雜的想法,即使用符號和數字替換和長度。我個人使用基於不常見字典單詞的密碼,並帶有符號替換和隨機數。從技術上講,隨機選擇8個字符的用戶的密碼熵為94 ^ 8。當然,大多數人沒有真正隨機的密碼,但是我將解釋為什麼我認為這很快會因密碼短語中的類似人為錯誤而被取消。因為94 ^ 8 = 6.1 x 10 ^ 15,所以這是一個瘋狂的龐大數字。
密碼短語:
在任何地方,我所見過的談論密碼短語的人都始終給出所有小寫字母的示例,沒有任何符號或數字短語,例如帶有“正確的馬電池釘書釘”的經典xkcd條。根據牛津詞典的此處,目前英語詞典中大約使用了170 000個單詞。假設用戶平均選擇了三個單詞的密碼短語(似乎不再超過用戶的惰性),即熵為170000 ^ 3 = 4.9 x 10 ^ 15,這比隨機選擇的8個字符的密碼大約低20%。現在,在您認為沒有人使用隨機生成的密碼之前,很少有人會從英語詞典中選擇完全隨機的單詞。相反,用戶將經常使用常見的說法。即使人們避免俗語,我也不是語言專家,但是在邏輯上可以用英語跟隨一個單詞的選項有限,從而嚴重減少了密碼短語中可能使用的排列。
記住這一點,我認為,至少不遵守密碼短語隨機性將等於或不等於不遵守密碼創建隨機性,因為用戶會因密碼短語的概念而陷入錯誤的安全感。
所以我提出了我的正式問題,是我在這裡忽略了一些關鍵的考慮,還是我是正確的,密碼短語確實不那麼安全,即使它不僅與密碼一樣安全,也不是使密碼/密碼更加困難的革命性新方法猜嗎?