全面披露：：我在一家公司工作，該公司負責分發此類卡片。但是，這個答案是我對它們的個人看法。

這些卡的想法是，某些用戶真的很難記住密碼或密碼。幼稚的方法是告訴用戶“只是在記住密碼方面變得更好”，但是經驗表明，這樣的建議對某些用戶而言適得其反。

他們的記憶似乎很難記住，只能回憶簡單的單詞，可能與他們的工作有關。因此，在汽車製造廠工作的人可能會記得諸如 Engine 這樣的單詞。

Engine 當然是一個糟糕的密碼-長度和熵。因此，“ Kryptonizer”或類似名稱的卡會嘗試同時添加這兩個卡。

長度是通過前綴 4uR =？添加的。它會立即將密碼長度增加5個字符，將6個字符的密碼增加到11個字符的密碼。不是完美的，而是一種改進。

通過用隨機選擇的字符替換每個字符來添加熵。不完全是1：1的替換，但足夠接近。由於每張卡都是唯一的，因此無法建立關於如何操縱每個詞典短語的預設規則。

在此示例中， Engine 會變成 4uR =？1YFFY1 。這是一個好密碼嗎？可能不是很好，但是肯定比 Engine 好很多。

這種方案的問題

當然，這不是一個完美的系統。好的密碼短語不能用小紙卡代替。由於三個輸入字符映射到一個輸出字符，因此生成的密碼將失去熵而不是獲得熵。淨熵收益是攻擊者無法再輕易使用字典攻擊了。為此，他們將需要獲得對映射的訪問權限或執行詳盡的搜索。如果攻擊者知道使用了這種卡，則可以利用它來加快詳盡搜索的速度。他們的桌子，鍵盤下或類似的壞地方。如果他們丟失了卡，他們也可能會丟失密碼。他們將需要一張新卡，並更改他們的密碼，這對可用性沒有好處。

摘要

那麼，這是一個好的系統嗎？最終，我要說的是，您必鬚根據其設計意圖來對其進行判斷。這對特定的用戶群是一種幫助，否則他們將使用可怕的可怕密碼。我認為，以微不足道的成本幫助用戶選擇更好的密碼是一件好事。當然，這不是靈丹妙藥來解決憑證存儲和生成問題的靈丹妙藥。

如果可能，請始終使用密碼管理器，讓其生成長的，高熵的密碼並為您存儲

以不可能的方式（例如，對於OS登錄而言），我建議使用 Diceware或創建一個長而無意義的句子，例如 TheGreenLightFromOurEyesShinesThroughTheMirrorOfTime 。只需確保不從書或電影中摘錄此類句子即可。

它始終取決於您與之比較！用戶實際使用該卡有什麼現實的選擇？

很顯然， 4uR =？F133Y9Yi31 的密碼比 HELLOWORLD 更好。 >。如果您將此卡提供給非技術人員，他們無論如何都不會選擇好的密碼或使用密碼管理器，那麼這是一種改進。選擇一個您永遠不會記住的隨機16個字母的密碼，並將其存儲在密碼管理器中。知道卡上有哪些字母的攻擊者（例如，通過查看同一用戶的洩露密碼）很容易破解它-突然，這並不比 HELLOWORLD ！

那麼對於可能使用密碼管理器的人來說這是一個好主意嗎？不，絕對不是。為了你爺爺也許！不要讓完美成為善良的敵人。

從您的闡述中看不出來是100％清晰，但我知道第二行是針對每張卡隨機生成的。我將從這個假設出發。我將進一步假設：

• 攻擊者正在嘗試猜測您的密碼。
• 攻擊者知道您已使用這種卡生成了密碼。
• 攻擊者不知道您的卡所獨有的隨機內容。
• 攻擊者可以有效地測試其猜測，例如，因為他們竊取了帶有您的哈希值的密碼數據庫條目密碼。

攻擊者要成功有多難？

首先，他們必須猜測5個隨機開始符號。如果從您所說的66個字符集中選取它們，則每個字符大約具有log _{2 sub>（66）≈6位熵，總共6×5 = 30位-大約與著名的 Tr0ub4dor&3 具有相同的強度。}

第二個：在使用卡過程中，您選擇了人工密碼。但是卡將字母分為八個組，這樣每組中的字母都被視為彼此等效的選擇。這意味著，分組後，人工密碼中的每個字母所貢獻的熵都不會超過log _{2 sub>（8）= 3位，但實際上會更少：}

• 某些群組的字母比其他字母更頻繁；
• 某些單詞比其他單詞更頻繁；
• 某些人工密碼（例如， PASSWORD ）比其他人更痛苦。

第三：這些組中的每一個都從66個集合中分配了一個隨機選擇的字符。這些選擇中的每一個大約是6位熵，而那時八組聽起來像48位……但是攻擊者不太可能將必須破解您卡片中的整個表格，因為人工密碼很有可能只會“觸發”八個組的一個子集，而且他們不必猜測分配給“休眠”組的符號。如果您從8個集合中隨機選擇8個項目進行替換，則預計會繪製大約5個不同的項目（源），這意味著該表的熵值相當於一個8個字符的人工密碼最有可能觸發的是30位。但是，一些人工密碼會觸發較少的組，而有些會觸發更多的組。

分析英語文本的統計模式與卡片中的分組之間的交互作用對於讀者來說是一項繁瑣的練習。我認為我們可以初步得出結論，此卡方法顯然沒有被破壞-它會產生至少保證36位熵的密碼（起始字符為30位，僅觸發一組為6位），實際上您很有可能即使不計算人類密碼中的任何熵，也可以看到54位（起始字符為30位，觸發四組為24位）。

如果這種方法不爛，我認為我們不應該感到驚訝。畢竟，我的上面的解釋表明，每張卡都包含78位熵：從最初的五位開始熵到30位，從隨機分配字符到組到48位。 78位是關於12個字符的隨機可打印ASCII字符串（12×log _{2 sub>（95））的熵。把這麼多的熵打包成一張小卡片是個好主意。該方案的缺點是不能可靠地利用所有方案（“休眠”組問題）。}

我們可以考慮的另一種情況是。假設攻擊者設法竊取了您生成的密碼（例如，從將其存儲為純文本的網站）。他們可以反過來猜測您的人工密碼或卡中的隨機值嗎？好吧，在那種情況下，最初的五個隨機字符只是無可避免地受到破壞，並且破壞人的密碼看上去與破壞單字母替代密碼大致相似，因此看起來不太好。但我會注意這一點：

如果您丟失了該卡，他們還建議僅將此卡用於一個密碼並進行更改。

。 ..並且，如果您遵循他們的建議，則對一張卡內容的破壞只能破壞作為該卡輸入提供的一個人工密碼。我們可能應該補充一點，您不應將同一個人密碼重複用於多張卡。

對我來說似乎不切實際。缺點（繁瑣的計算，您不必丟卡，需要記住密碼）勝於優點（強密碼）。

我找不到該方案的用例：

• 對於不精明的用戶（您的祖父），將密碼寫下來更加實用。

• 對於精明的用戶（本博客的讀者），最好使用用主密碼加密的密碼管理器應用。

您的熵降低了，但是只要您的卡不為人知，攻擊者就無法利用這一事實

如果卡不為人知，即使您在上面寫了完整的密碼，攻擊者也無法利用它。但這是一個非常糟糕的假設，完全出於寫下密碼不好的原因。

在手機上安裝密碼管理器並將手機用作密碼備忘單更有意義

我的新手猜測是，由於只有8個不同的字符（+1個開始序列），所以熵降低了。

不一定。

讓我們比較一下使用英文字母（大寫）和小寫字母的密碼。長度為 n 的密碼具有（2 * 26）** n 個可能的值（實際上比該值要少得多，因為目標受眾可能不會混用大小寫）

同時，生成的密碼大約有（8 ** n）*（66 ** 5）個可能的值：

• 原始密碼中的每個字符都映射為8個值之一， n 次。
• 您已聲明有66個字符可供選擇，重複5個

我對 52 ** n 與（8 ** n）*（94 ** 5）的比較沒有直觀的認識），因此讓我們嘗試一些值。對於8個字符的密碼（ n = 8），我們得到：

• 53,459,728,531,456（原始）
• 21,010,654,131,388,416（“經過加密”）

“加密”版本具有個數量級更多的可能性。

對於11個字符的密碼：

• 7,516,865,509,350,965,248（原始）
• 10,757,454,915,270,868,992（“已加密”）

對於12個字符的密碼：

• 390,877,006,486,250,192,896（原始）
li>
• 86,059,639,322,166,951,936（“ Kryptonized”）

因此，對於11個字符或更短的密碼，“ Kryptonized”版本以可能的值獲勝。 （如果我們假設原始密碼僅使用一種情況，則密碼為17個字符或更短字符的“ Kryptonized”版本將獲勝。）

請注意，我並未考慮到這8種可能映射到的字符大概是隨機的，但我認為這並不重要。從中學到的一點是，增加密碼長度比增加字符集的大小要好得多。

一個好的密碼方案不僅與熵有關。如果重用密碼，世界上所有的熵都不會保護您。只需一個站點即可清楚地存儲密碼。

一個好的方案還必須阻止密碼的重複使用。在這種情況下，取決於卡的使用方式。

如果用戶認為“我現在有一個超級安全密碼”並重複使用一個容易受到攻擊的密碼。重用適度良好的密碼比重用較弱的密碼更好，但不是很多。我認為這是最有可能使用它的方式。

我可以看到一個聰明的用戶通過使用它來散佈有關帳戶（可能是域名）的某些內容來創建唯一密碼。他們用於google.com的密碼為 4uR =？FYY31xYY 。安全專家會出於多種原因而譴責此方案，這是正確的，但是與其他方式相比，它會產生更多種類的更強大的密碼。但是，我不認為這是使用該卡的常見方式。

由於該卡的用戶可能會重用少量密碼，因此我對該方案進行了評估，但該方法總比沒有好。

一種改進的方案（我不是安全專家）可能是打印一個強密碼列表，每個密碼旁邊都有空格。當用戶需要一個新帳戶時，他們將使用下一個免費密碼，並寫下域名和用戶名（如果不是他們的電子郵件地址）。只要它們沒有太多的帳戶，就可以保證強密碼而不重複使用。

這當然容易受到物理攻擊；竊取，複製或拍照。如果該人已經在寫下他們的密碼，或者更糟的是將其保存在文件中，則此方案是巨大的改進。我能想到會有很多人會受益。

這是一個權衡。我認為，物理攻擊和針對性攻擊的風險遠低於重用和弱密碼。與物理攻擊相比，您更有可能在隨機的網站闖入過程中徘徊在弱而可重用的密碼上。

當然，這比使用良好的密碼管理器要弱得多。