שְׁאֵלָה:
מילות השיר כמשפטי סיסמה
Baron Furzgesicht
2017-07-11 12:26:01 UTC
view on stackexchange narkive permalink

יש לי שאלה מעט דומה ל שאלה זו. אני מכיר את הדוגמה מצרך הסוללה הנכון לסוס מ- xkcd, ובכל זאת אני נוטה לכיוון מילות השיר כמשפט סיסמה, מכיוון שיש לי מוח שזוכר את מילות השיר בקלות רבה.

כעת, אני תוהה כמה זמן צריך להיות לפחות ביטוי סיסמה המורכב ממליטי מילים, כדי לספק רמת אבטחה "מקובלת" בהשוואה ל 44 ביטים של מצרך הסוללה הנכון של הסוס . החלק המסובך הוא החלק ההנדסי-חברתי בשאלה. אם אני מחפש בגוגל את המילים מראש, כמו תשובה אחת שהוזכרה כאן, אני יודע שאני לא מכסה את השבילים שלי. אבל, כמו שציינתי קודם, אני מכיר מילות שירים רבות בעל פה ולא צריך לחפש אותם לפני שאני מסתפק בביטוי סיסמה. האם זה יעשה לי טוב?

למעשה, שאלתי נשאלת מתוך הנחה שהאקר מהנדס חברתי את חיבתי למילות מעבר. במקרה שזוהי עובדה ידועה עבור תוקף, כמה זמן אמורים להיות טקסטים עוברים והאם זה יהיה גם פצע שנגרם בעצמו להשתמש במילים של שירים כולל מספרים? אני מניח שהחלק האחרון בהחלט יקל על התקפות מהונדסות חברתיות, אך קשה יותר על הכוח הגס.

אני מודע היטב למעורפלות השאלה שלי, אבל כל מה שאני מחפש הוא כלל אצבע בסיסי. נכון לעכשיו, אני משתמש במילות מעבר עבור חשבונות בסיכון נמוך למדי, אבל אני מנסה לחשוב על משהו והמצב הנכון של סוללות הסוסים אינו אידיאלי למוח המטומטם שלי.

איידט: אני לא חושב שזה כפילות של שאלת ה- BBC המדוברת, מכיוון שאני שוקל שורות שלמות של מילים במקום אותיות ראשונות וכפי שציינה אחת, 7 אותיות לכסות 65% מהשפה באותיות הראשונות של המילים.

איזו סיבה מסוימת מדוע אתה שואל על פיתרון תת אופטימלי לבעיה שכידוע קשה לפתור אותה?מנהל סיסמאות יהיה הרבה יותר מאובטח, אתה יודע
מנהל סיסמאות יגביל אותי לשימוש במכשירים שלי, נכון?כמו כן, מעולם לא שקלתי להשתמש במנהל סיסמאות, מכיוון שאני לא מאוד אוהב לשים את כל הביצים שלי בסל אחד.או שיש משהו שלא הצלחתי להכיר?
אתה יכול פשוט שיהיה לך מנהל סיסמאות בטלפון שיגיד לך את הסיסמה אם אתה צריך להזין אותה ידנית.
רק 1+ למילים של שיר כסיסמת סיסמא.אני משתמש גם במילים לכניסות מסוימות ואז אני משייך לאיזה שיר שהוא לאתר, אז קבל סיסמה אחרת (ומנגינת נושא!) לכל אחד.
"איפה שהכל הכי טוב היה תמיד 1 היה תוקף את התמיזם הכי טוב לגמרי".
זה יכול להיות מאובטח רק אם תשלב חלקים ליריים מתוך מאגר מילים גדול מספיק ותשתמש במשפט סיסמה שנבחר באופן אקראי ממנו - ולא בחלק שאתה כבר מכיר.(איזה סוג מנצח את מטרת השימוש במילים) אם תבחר מילים שאתה מכיר, הבריכה היא בהחלט קטנה וכל מידע אודותיך (גיל, מיקום) בשילוב ידע לגבי אילו שירים היו פופולריים באיזו שעה / מיקום יקטין את האבטחהאפילו הלאה.זה נשמע בערך כמו שימוש בטכניקת מצרך סיכות נכונה לסוס, אך מוגבל למילים האהובות עליך, וזה רעיון רע.
אתרים רבים עשויים גם להגביל את אורך הסיסמה שלך למשהו קצר ממספר המילים המקובל שלך, מה שיאלץ אותך לבחור מילת שירים חלשה יותר.כפי שאחרים אמרו, במקרה השימוש שלך, מנהל סיסמאות הוא כנראה התשובה הנכונה.
ישנן שיטות פיצוח שהוכחו ופורסמו שיכולות לקבל סוג כזה של סיסמאות מבוססות ביטוי כמו "allineedislove".לביטויים נפוצים בשירים יש אנטרופיה נמוכה בהרבה מאשר ביטויים אקראיים לחלוטין או תוכניות אחרות לייצור אנטרופיה גבוהה.ראה https://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/ ו https://nakedsecurity.sophos.com/2012/03/19/ביטויי סיסמה מרובי-מילים / לדוגמאות למחקר בנושא פיצוח סיסמאות.
חתיכה אחת שהובנה היטב של סיסמת ה- xkcd היא שהיא * אקראית *.אלה ארבע מילים נפוצות שנבחרו באופן אקראי.משפטים בשפה הכתובה אינם אקראיים, נאמרים עוד פחות, ומילות השיר פחות דוממות.עבור אותו אורך תווים סיסמת השירים שלך היא הרבה יותר חלשה.לא שזה כנראה חשוב.
פריצה לחשבונות אוהדי ביבר תהיה טריוויאלית: "Baby Baby Baby Baby Baby" ...
אני חושב שאתה לוקח את הכדור הלא נכון מתוך התשובה שציטטת בשאלה הכפולת.הנקודה * העיקרית * היא לא ש"שבע אותיות מכסות 65% מהשפה ", היא פשוט אין מספיק מילות שירים, שלא לדבר על * שירי שירים פופולריים *, שיהוו בסיס לסיסמה טובה.ביצוע כל שינוי ליריקה של השיר יהפוך אותו לחזק מעט יותר מכיוון שהתוקף יצטרך לנסות גם עם השינוי וגם בלעדיו.אבל זה לא לעניין כי המטרה היא שיהיו לי יותר מדי סיסמאות שאפשר לנחש, וטקסטים של שיר נכשלים בזה בצורה גרועה אפילו עם התעסקות.
עלי לציין, כפי שצוין בשאלה הכפולה, שאם אתה מחליף סיסמה כמו "p@ssw0rd!"אז אתה כנראה לפחות עושה שיפור.אז אל תתייאש מביצוע * כל שינוי *.אבל פתרון טוב בהרבה הוא להשתמש במנהל סיסמאות.כפי שמישהו מציין, עם אפליקציית סמארטפון (או התקנת USB ניידת) אתה עדיין יכול להיכנס למכשירים שאתה לא הבעלים ... ולהיות כנה, באיזו תדירות אתה עושה את זה בכל מקרה?גיליתי שהפתרון עובד בסדר גמור כשאני זקוק לו מדי פעם.
שבע תשובות:
Rory McCune
2017-07-11 13:09:21 UTC
view on stackexchange narkive permalink

כמו בכל שאלה של ניחוש סיסמה / חוזק, סביר להניח שהגורם החשוב ביותר הוא "מי התוקף".

להתקפות ניחוש סיסמאות מקוונות, על ידי תוקף שאינו מכיר אותך, החשוב ביותר גורם הוא להבטיח כי הסיסמה שלך לא תנחש לפני שנעילת החשבון תיכנס פנימה. כל עוד הסיסמה שלך לא נמצאת בין כמה מאות הבחירות המובילות, סביר להניח שאתה בסדר. מאוד לא סביר שיש לשער כאן מילים (במיוחד כאלו משיר שאינו כה פופולרי).

אם אתה חושב על תרחיש שבו אתר שיש לך חשבון בו נפגע והסיסמא שלך מסד הנתונים נשבר, ובכן סביר להניח שחשבונך במערכת זו נשרף, ולכן מבחינת עצירת האבטחה של חשבונות אחרים שלך המושפעים, הגורם החשוב ביותר הוא להבטיח שתשתמש בסיסמאות ייחודיות בכל אתר בו אתה משתמש. אם אתה יכול לעשות זאת עם מילות שירים, לא תושפע מהפשרה של סיסמה אחת.

אם אתה מסתכל על תרחיש בו התוקף מכיר אותך, הדברים נעשים מסוכנים יותר, במיוחד אם אתה ' גילינו את התוכנית בה אתה משתמש. יהיה קל יחסית ליצור בסיס נתונים של מילות שירים פופולריות ולהחיל אותו על סיסמה לא מקוונת. אבל מה שעליך לשקול הוא שמישהו שמכיר אותך עשוי לעשות זאת ... זו החלטת סיכון רק אתה יכול לקבל.

כמה שיקולים מעשיים עם תוכנית זו. יתכן שתיתקל בבעיות בשימוש בו באתרים המאכפים שיעורי סיסמה (למשל תווים מיוחדים). ייתכן גם שיש לך בעיות באתרים אשר אוכפים מגבלות עליונות שרירותיות באורך הסיסמה.

אני מניח שתווים מיוחדים לא יהיו יותר מדי בעיה, כמו שציינתי, אוכל להשתמש בשירים עם מספרים או לכתוב את המילה "אחד" כ- "1" ואני יכול לכלול פיסוק.אולם גבולות עליונים עלולים להיות בעייתיים.באשר לטיעון האחר, אני חושב שהייתי מסוגל להמציא מילות טקסט של enogh בכדי לתת לידי ביטויים בודדים מילים.אבל אני מתעניין בתרחיש שבו תוקף יוצר בסיס נתונים של מילות שיר.המימדים יצטרכו להיות עצומים, מכיוון שלא אגביל את עצמי לשירי פופ
אה בטוח שזה לא יהיה בסיס נתונים קטן וזה ייקח קצת הרכבה, כך שמישהו באמת יצטרך לרצות להתפשר על הסיסמה.אך במונחים של ניסיון לפיצוח ברגע שהיה להם מסד הנתונים מוכן, זכור כי GPUs יכולים לבצע 10 מיליוני ניסיונות בשנייה, כך שבאמת כל פיצוח מבוסס רשימת מילים נעשה בקלות.
ובכן זה משהו שאני יכול לעבוד איתו.חייבים להיות כמה גורמים שמתאחדים ... אז אני מניח שכמה משפטי סיסמה à `מצרך מצומצם של הסוס הנכון 'יצטרכו לשנן עבור חשבונות הגיוניים ביותר
@RоryMcCune ישנם אתרים קיימים מלאים במילים שיר חלקם קל יותר לגרד מאחרים.בהנחה שמיר שירים של ג'יגה בייט (כמה מיליוני שירים) שלא יביא להרבה יותר ממיליארד סיסמאות אפשריות.פיצוח של אחר הצהריים.
מאגר מילות השיר הפופולריות אינו טקטיקה חסרת תקדים, וחשוב מכך שמאגרי סיסמאות דולפים רבים כוללים סיסמאות ליריות לשירים.הספר הצפנה פיננסית ואבטחת נתונים ערך ניסוי בו 37% מהסיסמאות הסדוקות שלהם היו מילים אך רק 5% מסיסמת הליריקה הללו לא נמצאו באמצעות התקפות מבוססות מילון או מאגרי סיסמאות אחרים: https://books.google.com/ספרים? id = 8gIkDwAAQBAJ & pg = PA611 & lpg = PA611 # v = בדף & q & f = false
Gareth Charnock
2017-07-11 14:33:38 UTC
view on stackexchange narkive permalink

מצטער, אבל אתה לא האדם הראשון שחושב על זה כדי שתוכל להמר שהטכניקה הזו תהיה אוטומטית בכמה תוכנות לפיצוח סיסמאות. עדיף תמיד להניח שההאקר מכיר את ערכת הדור שלך בעת הערכת תוכניות מסוג זה.

אז עד כמה זה בטוח? ובכן גוגל מהיר של "מספר השירים בספוטיפיי" העלה את המספר 30 מיליון. ביצוע ספירת מילים על שיר אקראי ( https://genius.com/Tim-minchin-3-minute-song-lyrics) העלה 483 זה בערך מספר המילים בשיר. עבור סיסמא בת ארבע מילים תוכלו לנחש כך: "גלגלי ה"," גלגלי האוטובוס "," האוטובוס הולכים "וכן הלאה (זו לא הדרך החכמה ביותר לנחש, אתה יכול להכניס את הביטויים שלך ל הגדרת hash תחילה להסרת כפילויות).

שימו לב כי שימוש במילים רבות יותר לא ממש מגדיל את האנטרופיה עד כדי כך. יש 483 מילים בשיר, יש 482 ביטויים של 2 מילים, 483 ביטויים של 3 מילים וכן הלאה.

אז, 30 מיליון * 500 = 15 מיליארד או 33 סיביות אנטרופיה או פי 2048 פחות מאובטח יותר מאשר צורת סיסמה של מילים אקראיות למעשה. זו הערכת יתר של אבטחה בגלל אופטימיזציה של ערכת החשיש.

הרבה מאותם ביטויים של מילים N בשירים יחזרו על עצמם, כך שהאנטרופיה נמוכה עוד יותר.
חישוב מוטעה קל: יש 481 ביטויים בני 3 מילים.הגדלת מספר המילים בביטוי מצמצמת את מספר הביטויים התואמים לאורך זה.
Josh Ross
2017-07-11 12:52:57 UTC
view on stackexchange narkive permalink

כל סוג של מנהל סיסמאות יפתור לך בעיה זו. נכון לעכשיו, אתה מנסה לסבך סיסמאות יתר. מילות השיר הוא בהחלט רעיון מעניין לסיסמה, והאורך לבדו מאובטח יחסית, אך אם אתה רוצה שיהיה לך משהו מאובטח שתזכור, ולא תגרום לבעיה השתמש במנהל סיסמאות.

כפי שציינתי בתגובה לעיל, אני חושב שמנהל סיסמאות יגביל אותי לשימוש במכשירים שלי ואני לא יכול לנער את התחושה שלשים את כל הביצים שלי בסל אחד זה לא רעיון נהדר.אבל אל תהסס לשכנע אותי אחרת :)
התנצל, לא שם לב לתגובות.מבחינת פרספקטיבות בטיחות, כן זה יהיה פחות בטוח מאשר להשתמש בסיסמה אחרת לכל אתר אינטרנט אחד, אבל זה גם הולך להיות מסובך יותר.אם מבנה הסיסמאות נפגע כפי שציינת בעצמך, לא יהיו לך כל כך הרבה שינויים ושינוי הסיסמאות יהיה כאב.באשר לשכנוע, השתמשתי בכזה זמן רב, לא היו לי בעיות.הפרות אבטחה לאתרים כאלה הן נדירות מאוד והן מוגדרות לבקרת נזקים מרבית.
בנוסף לכך, מנהלי סיסמאות יאפשרו לך ליצור כל סיסמאות מורכבות ויאפשרו לך לאחסן ולנהל אותן ללא טרחה רבה מן הסתם.יצירה קלה יותר.לדעתי שום סיסמא לא תהיה בטוחה, אך מכיוון שטרם מצאתי דרך יעילה להיות מודעת לכל הסיסמה, אני הולך עם האופציה היעילה והיעילה כיום.אתה תמיד יכול לחקור מספר מנהלי סיסמאות פופולריים כדי לראות מספר בעיות אבטחה שהיו להם.אם אתה לא משוכנע, הדרך שלך להתאים מילים לסיסמאות תהיה אפשרות בטוחה יותר.
אנא, אל תבלבלו בין סיסמאות וביטוי סיסמה.הם דברים שונים למקרי שימוש שונים.
ההערות שלך לא התייחסו לדאגה העיקרית של @BaronFurzgesicht's למנהלי סיסמאות: החשש שהם נעולים למכשיר יחיד, אך ה- OP רוצה להיות מסוגל להשתמש במכשירים אחרים כדי להתחבר לאתרים.הדאגה שלהם אינה של ביטחון, אלא של שמישות.
Tobias Guggenmos
2017-07-11 20:07:22 UTC
view on stackexchange narkive permalink

זה תלוי מאוד באיזו מידה ההנדסה החברתית מתבצעת.

אם התוקף ידע רק שאתה משתמש במילים של שירים והיו מיליון שירים לבחירה אקראית של מילות השיר, זה יהיה בטוח מספיק עבור חשבונות בסיכון נמוך.

אבל אתה לא בוחר בשירים באופן אקראי. אני מניח שרוב השירים שאתה מאזין הם ממגוון קטן יחסית של ז'אנרים ולהקות. אם לתוקף יש ידע מפורט אודות המוסיקה המועדפת עליך, מספר השירים יצטמצם לכמה מאות והאסטרטגיה שלך תהפוך לחסרת ביטחון.

מידע זה יכול להיות ממש קל: אפשר לשאול את החברים שלך. על הטעם שלך בנוגע למוזיקה, אם הוא לא מכיר אותך בעצמך. אם אתה משתף את המוזיקה שאתה מאזין באמצעות פייסבוק ומזהה או lastfm זה נהיה קל עוד יותר.

אורכו של השבר כבר לא ישחק תפקיד גדול מכיוון שסדר המילים מוגדר על ידי השירים. למעשה, אם אתה משתמש רק במשפטים או בשורות מלאות זה יפחית את האבטחה עוד יותר.

בהנחה שאתה משתמש בשורות מלאות מתוך מבחר של 100 שירים, שכל אחד מהם מכיל 20 שורות שונות (שורות הפזמון לספור רק פעם אחת), בסופו של דבר תצטרכו לפחות 2000 סיסמאות שונות.

אלו פחות סיסמאות אפשריות מאשר בשימוש בשתי אותיות לטיניות אקראיות (אותיות קטנות וקטנות מותרות), כמו "yA" או "UD".

כדי לסיכום, זה רעיון רע להשתמש בטקסטים של שירים כסיסמאות.

Serge Ballesta
2017-07-11 18:03:44 UTC
view on stackexchange narkive permalink

כאשר אתה משתמש בביטויי סיסמה של מספר מילים, הסיסמה שלך גדולה מספיק כדי להיות חסין מפני התקפות כוח פשוטות. אבל החולשה כאן היא שאתה לא משתמש ב -4 מילים אקראיות משיר אבל אני חושב שתשתמש במשפט אמיתי עם משמעות בפני עצמה בסדר השיר . אם אנו מגבילים תוכנית אוטומטית למשפטים מ -4 עד 8 מילים (*), נקבל לכל שיר מספר של 5 * מספר מילים. לא הרבה יותר מכמה אלפים לשיר משותף. כשאני חושב על מילון אוטומטי כמו התקפה, אני לא שוקל את המשמעות כאן. אבל אני חושש שאין מספיק שירים כדי להפוך את שיטת הסיסמאות הזו לעמידה בפני התקפה ממוקדת.

במובן זה, תשובה זו אינה שונה בהרבה מזו של ה- BBC: הדפוס הטוב ביותר לבניית הסיסמה היא להשתמש ללא תבנית. זו הסיבה שלמנהלי סיסמאות יש מוניטין יפה כאן, הם מאפשרים להשתמש בסיסמאות אקראיות אמיתיות ש על ידי בנייה עמידות בפני כל התקפות ... למעט סדרת צינור הגומי שכאן יכללו התקפות מקומיות נגד מנהל הסיסמאות, אם סיסמת המאסטר חלשה ...

(*) פחות מ -4 יובילו לביטויי סיסמה קצרים באמת, ויותר משמונה בקרוב מייגע להקליד ידנית.

user153097
2017-07-11 19:12:49 UTC
view on stackexchange narkive permalink

דבר אחד שחשוב לא מעט הוא איזה שיר תבחר. אם נניח שיש סוג כלשהו של ערכת אוטומציה, הם הולכים לנסות להשתמש במילים מבין 40 סוגי השירים הראשונים לפני שהם מתעמקים במילים לא ברורות יותר. שוב, זה המקום שמישהו שתוקף אותך באופן אישי יכול לשנות דברים: אם הוא מכיר את בחירות המוסיקה שלך, הוא יכול לקחת את הזווית הזו ולהצר את בחירת השיר שלו.

אתה יכול לעשות איזשהו שינוי בסיסי למילות השיר, כמו לקחת את האות השנייה של כל מילה בביטוי ארוך או לשנות אותיות מסוימות למספרים. זה יפחית את הסיכון שלך למישהו שממקד אליך במידה ניכרת.

למעשה, אני מניח שזו תהיה ההצעה שתעניק לי את המיטב משני העולמות.אולי אני יכול ללכת לזה
AnonAnton
2017-07-12 01:47:16 UTC
view on stackexchange narkive permalink

אני מציע במקום זאת להשתמש במשפטים כולל פיסוק ואז להשתמש רק באותיות (באותיות רישיות) של אותו משפט. הוסף מספרים אם תרצה. הבעיה במילים היא שניתן למצוא אותן במילון, מה שהופך את הסיסמה שלך להרבה פחות בטוחה ממה שהיית חושב.

לזכור משפטים זה די קל. מערכת זו הובילה לכך שיש לי פחות מ -10 סיסמאות ארוכות עם פיסוק מעורב ותווים שאינם מילים, עד 15-20 כשחשוב. זה קצת יותר בטוח, ועדיין קל לזכור.

אתה בטח יכול להשתמש בזה עם המילים שלך אם אתה רוצה.



שאלה ותשובה זו תורגמה אוטומטית מהשפה האנגלית.התוכן המקורי זמין ב- stackexchange, ואנו מודים לו על רישיון cc by-sa 3.0 עליו הוא מופץ.
Loading...