Score:2

อัลกอริทึมสำหรับคนธรรมดาในการสร้างรหัสผ่านส่วนตัวคืออะไร

ธง bo

ฉันจะสอนผู้ชมเกี่ยวกับอัลกอริทึม ฉันต้องการให้พวกเขาสร้างรหัสผ่านส่วนตัวที่ไม่ซ้ำกันสำหรับเว็บไซต์

  1. พวกเขาสามารถเริ่มต้นด้วยชื่อโดเมนของไซต์และ "คำ" ลับของพวกเขาเอง
  2. อัลกอริทึมจะง่ายพอที่จะจดจำ หากไม่เป็นเช่นนั้น พวกเขาสามารถร่างแผนผังลำดับงานของฉันที่ด้านหลังนามบัตรหรืออย่างอื่นที่ใส่ในกระเป๋าเงินได้

มีคำถามที่คล้ายกันในเว็บไซต์นี้ คำตอบที่ได้รับสำหรับฉันนั้นทึบแสงยิ่งกว่าแฮชเข้ารหัส

แต่หลายคนชี้ไปที่ฟังก์ชันแฮช Unbreakable Hash (HCMU) ของ Human Computable Machine ของ Blum ตามที่นำมาใช้ ที่นี่. ปัญหาคือ (a) Blum บอกว่าจะใช้เวลาหนึ่งชั่วโมงในการจดจำอัลกอริทึม และ (b) ฉันอ่าน Python ไม่ได้

มีวิธีการที่เหมาะกับเกณฑ์เหล่านี้หรือไม่?

การแก้ไขที่สำคัญ: มันเกิดขึ้นกับฉันที่ฉันได้รับคำตอบผิดเพราะฉันถามคำถามผิด

เจตนาของฉันคือไม่ให้อัลกอริทึมรหัสผ่านแก่ชั้นเรียน (ผู้ใหญ่ ไม่ใช่เด็ก) เป็นการแสดงให้พวกเขาเห็นถึงวิธีการ สร้างของตัวเอง อัลกอริทึม นั่นอาจลดปัญหา "อัลกอริทึมรั่วไหล"

ฉันสามารถพูดบางอย่างเช่น:

"คุณสามารถใช้ domainname.MySecretWord นั่นเป็นตัวอย่างที่ไม่ดี เพราะ [เหตุผลที่ชัดเจนหลายประการ] วิธีที่ดีกว่าคือ DomainName.MySecretPhse.NumberOfLettersInDomainName แต่ ____

ในที่สุดฉันจะจบลงด้วยสิ่งที่ชอบ

"ใช้องค์ประกอบเหล่านี้ ตัดสินใจว่าคุณต้องการเพิ่มองค์ประกอบเพิ่มเติมหรือไม่ จัดเรียงตามขั้นตอนเหล่านี้ แต่ก่อนอื่นให้ตัดสินใจลำดับที่คุณต้องการติดตาม"

จะดีกว่าไหม?

Score:4
ธง in

ไม่ เพราะอัลกอริธึมที่จดจำง่ายใดๆ จะผิดหลักการของ Kerckhoff โดยพื้นฐานแล้วคุณจะมีอัลกอริทึมลับหนึ่งที่หากรั่วไหล รหัสผ่านทั้งหมดของคุณจะล้มเหลว เป็นไปได้มากว่าหลายคนจะเลือกเกี่ยวกับอัลกอริทึมเดียวกัน

ให้ใช้ตัวจัดการรหัสผ่านที่ผ่านการตรวจสอบซึ่งแสดงจำนวนเอนโทรปี (น่าจะ) และสร้างรหัสผ่านแบบสุ่มแทนคุณยังคงใช้รหัสผ่านเดียวในทุกโอกาส (แม้ว่าจะมีเครื่องมือจัดการรหัสผ่านที่เปิดใช้งาน 2FA อยู่ก็ตาม) แต่อย่างน้อยคุณก็ควรใช้รหัสผ่านนี้บนอุปกรณ์และแอปพลิเคชันจำนวนจำกัดเท่านั้น

DocWriter avatar
bo flag
อัลกอริทึมที่รั่วออกมาจะล้มเหลวได้อย่างไรหากส่วนหนึ่งขึ้นอยู่กับคำลับที่แต่ละคนเลือก
Maarten Bodewes avatar
in flag
เนื่องจากคำลับนั้นไม่น่าจะมีการสุ่มเพียงพอที่จะต้านทานการค้นหาพจนานุกรมมาตรฐาน / การโจมตีด้วยกำลังดุร้าย / การโจมตีทางวิศวกรรมสังคมแบบกำหนดเป้าหมาย
DocWriter avatar
bo flag
ตกลง. แต่การบอกให้ชั้นเรียน "ใช้ตัวจัดการรหัสผ่านที่ผ่านการตรวจสอบแล้ว" จะไม่ช่วยให้ฉันสอนเกี่ยวกับอัลกอริทึมได้ ฉันควรทำอย่างไรแทน?
Maarten Bodewes avatar
in flag
คุณสามารถสร้างรหัสผ่านแบบสุ่มแทนและอัลกอริทึมที่ใช้สำหรับสิ่งนั้นที่ฉันคิด
Score:2
ธง cn

เทคนิคทั่วไปคือ ไดซ์แวร์ กับหนึ่งในมูลนิธิ Electronic Frontier Foundation ใหม่ รายการคำ.

แต่คุณต้องการลูกเต๋าอย่างชัดเจน และนั่นคือสิ่งที่คุณต้องมี 'อุปกรณ์' ที่สามารถให้ระดับความไม่แน่นอนที่ดี (เอนโทรปี) คุณสามารถเลือกคำศัพท์ได้โดยการสุ่ม แต่กับเด็กทั้งชั้น พวกเขาอาจจะอยู่กลุ่มตรงกลาง

หรือคุณสามารถใช้การใช้งาน วิธีการสุ่มสามคำซึ่งขณะนี้รัฐบาลสหราชอาณาจักรแนะนำให้ใช้ในบ้าน เลือกสามคำหรือตัวเลขสุ่มทั้งหมดที่คุณเลือก ความแตกต่างเล็กน้อยคือการนึกถึงคำอธิบายสามคำสำหรับบางสิ่งที่น่าจดจำ เช่น แมงมุมสัตว์เลี้ยงตัวโปรดของคุณ ด้วยวิธีนี้คุณสามารถหลีกเลี่ยงค่าใช้จ่ายของลูกเต๋า

ไม่ใช่อัลกอริทึมที่ซับซ้อนในขั้นต้นที่จะแน่ใจได้ แต่จากนั้นจะเป็นครูผู้สอนในการรวบรวมกลไกตามที่เห็นสมควร การวัดค่าเอนโทรปีเป็นจุดเริ่มต้นที่ดี...

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา