Рейтинг:0

Насколько сильным будет создание пароля с помощью шифрования AES ECB?

флаг no

Предположим, что я хочу использовать управление паролями для бедняков, работающее следующим образом:

1. Я выбираю и запоминаю один-единственный мастер-пароль (например, «78HK+jm?329»);

2а. для любого банка, сайта и т. д., к которым мне нужно получить доступ, я создаю пароль, шифруя с помощью AES ECB название банка, сайта и т. д. (например, «bankmyne»), используя тот же мастер-пароль в качестве ключа, затем я перевожу зашифрованный текст в кодировке Base64 (или шестнадцатеричное представление ASCII): результатом будет фактический пароль доступа;

ИЛИ ЖЕ

2б. все как в 2а. но вместо того, чтобы шифровать название банка, сайта и т. д., я шифрую прогрессивный индекс (например, «bankone» — 001, «banktwo» — 002 и т. д.), аннотированный в блокноте.

Насколько сильным будет подобный алгоритм? Это то же самое, что и «стандартный» способ шифрования всех выбранных паролей? Бы 2б. быть в большей безопасности, чем .?

A. Hersean avatar
флаг cr
Не ответ на ваш вопрос, а пища для размышлений: что вы делаете, когда веб-сайт не требует цифр в пароле, или ограничивает его длину, или требует, чтобы вы обновили свой пароль? Вам придется запомнить или записать пользовательские настройки для вашей схемы для многих веб-сайтов.Итак, почему бы не использовать свой единственный мастер-пароль с менеджером паролей? Потому что в конце концов вам понадобится один с вашей схемой (вы не первый с этой идеей). Затем просто используйте менеджер паролей для случайной генерации независимых паролей.
kelalaka avatar
флаг in
[KDF1 иногда называют KDF бедняков] (https://crypto.stackexchange.com/q/67280/18298). И используйте менеджеры паролей....
Рейтинг:2
флаг kr

Ваша схема будет сильной.

AES ECB устойчив к атакам прообразов. Если кто-то знает открытый текст (в вашей схеме это название банка или название веб-сайта) и знает зашифрованный текст, восстановить ваш пароль невозможно.

Смотрите ответы здесь:

Таким образом, никто не сможет восстановить ваш настоящий пароль и, следовательно, не сможет создать ваш пароль для других веб-сайтов. Единственный способ — грубая сила. Таким образом, надежность ваших паролей зависит от энтропии исходного пароля. Если это слово из словаря или оно относительно короткое, то перебор может быть успешным.

Но: Подумайте, что произойдет, если некоторые сайты потребуют от вас смены пароля. Например. один сайт требует менять пароль каждые 3 месяца, другой каждый год, а некоторые сайты могут требовать его случайным образом, например. они имеют новую систему аутентификации и требуют, чтобы все пользователи изменили свои пароли. Затем вам придется зайти на каждый веб-сайт и изменить свой пароль. Также вам нужно будет сохранить информацию о том, какой исходный пароль вы использовали или какое это «поколение» (например, это второй сброс пароля, третий сброс пароля). Как говорили другие в комментариях, менеджер паролей может быть намного эффективнее, чем реализация вашей схемы.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.