Рейтинг:2

По какому алгоритму неспециалисты составляют личные пароли

флаг bo

Я собираюсь учить аудиторию алгоритмам. Я хотел бы дать им возможность создавать уникальные личные пароли для веб-сайтов.

  1. Они могли начать с доменного имени сайта и собственного секретного «слова».
  2. Алгоритм будет достаточно прост для запоминания. В противном случае они могли бы набросать мою блок-схему на обратной стороне визитной карточки или на чем-нибудь еще, что поместится в бумажнике.

На этом сайте есть похожие вопросы; данные ответы были для меня еще более непрозрачными, чем криптографический хэш.

Но некоторые указывали на неразрывную хэш-функцию Blum Human Computable Machine Unbreakable Hash Function (HCMU), реализованную здесь. Проблемы заключаются в следующем: (а) Блюм сказал, что на запоминание алгоритма уйдет час, и (б) я не умею читать Python.

Есть ли метод, который соответствует этим критериям?

ОСНОВНОЕ РЕДАКТИРОВАНИЕ: Мне приходит в голову, что я получаю неправильные ответы, потому что задаю неправильный вопрос.

Я не намерен давать классу (взрослым, а не детям) алгоритм пароля. Это показать им, как создавать свои собственные алгоритмы. Это могло бы смягчить проблему «утекшего алгоритма».

Я мог бы сказать что-то вроде:

«Вы можете использовать имя_домена.MySecretWord. Это плохой пример, потому что [по нескольким очевидным причинам]. Лучшим способом было бы DomainName.MySecretPhrase.NumberOfLettersInDomainName, но ____

В конечном счете, я бы закончил что-то вроде

«Возьмите эти элементы; решите, хотите ли вы добавить какие-либо дополнительные элементы; расположите их в соответствии с этими шагами, но сначала решите, в каком порядке вы хотите их следовать».

Это лучше?

Рейтинг:4
флаг in

Нет, потому что любой простой для запоминания алгоритм не соответствует принципу Керкхоффа. По сути, у вас был бы один секретный алгоритм, который, если бы он просочился, все ваши пароли не сработали бы. Весьма вероятно, что несколько человек выберут примерно один и тот же алгоритм.

Вместо этого используйте проверенный менеджер паролей, который показывает (вероятную) величину энтропии и генерирует случайные пароли.Скорее всего, вы по-прежнему будете полагаться на один пароль (хотя существуют менеджеры паролей с поддержкой 2FA), но, по крайней мере, вы будете использовать его только на ограниченном количестве устройств и приложений.

DocWriter avatar
флаг bo
Каким образом просочившийся алгоритм потерпит неудачу, если он частично зависит от секретного слова, выбранного каждым человеком?
Maarten Bodewes avatar
флаг in
Потому что это секретное слово вряд ли будет иметь достаточную случайность, чтобы противостоять стандартному поиску по словарю / атаке грубой силы / целенаправленной атаке социальной инженерии.
DocWriter avatar
флаг bo
Хорошо. Но указание классу «использовать проверенный менеджер паролей» не поможет мне научить их алгоритмам. Что мне делать вместо этого?
Maarten Bodewes avatar
флаг in
Вместо этого вы могли бы заняться генерацией случайных паролей и алгоритмов, используемых для этого, я полагаю.
Рейтинг:2
флаг cn

Обычная техника посуда с одним из новых Electronic Frontier Foundation списки слов.

Но вам явно нужны кости. И в том-то и дело, что вам нужно какое-то «устройство», которое может обеспечить хорошую степень неопределенности (энтропии). Вы можете выбирать слова наугад, но с целым классом детей они, скорее всего, просто сгруппируются посередине.

В качестве альтернативы вы можете использовать использование подходят три случайных слова, который в настоящее время рекомендован правительством Великобритании для домашнего использования. Выберите три совершенно случайных слова или цифры по вашему выбору. Нюанс заключается в том, чтобы придумать три описательных слова для чего-то запоминающегося, например, для вашего любимого домашнего паука. Таким образом, вы можете избежать расходов на кости.

Конечно, изначально это не сложные алгоритмы, но затем на вас, как на учителя, ложится задача конкретизировать механику по своему усмотрению. Измерение энтропии — хорошее место для начала...

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.