Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Jedenastolatka sprzedaje bezpieczne hasła za 2 USD

26 października 2015, 01:59 | Aktualności | komentarzy 7

Diceware to znana metoda generowania bezpiecznych i stosunkowo łatwych do zapamiętania haseł. Pomysł polega na utworzeniu długiego ciągu uwierzytelniającego składającego się z kilku losowo wyznaczonych słów. Zamiast wyznaczać je osobiście, tego typu hasła można zakupić od pewnej przedsiębiorczej jedenastolatki.

Jedenastoletnia Mira Modi zarabia na sprzedaży usług generowania bezpiecznych haseł — ręcznie wygenerowane i odręcznie zapisane hasło możemy nabyć w serwisie dicewarepasswords.com.

Przykładowy wynik pracy jedenastolatki

Przykładowy wynik pracy jedenastolatki

Za 2 USD otrzymamy ciąg uwierzytelniający składający się z 6 losowo wybranych słów — taką ilość uważa się obecnie za wystarczającą do typowych zastosowań.

Metoda Diceware określa, że każde ze słów zostaje wyznaczone spośród określonej listy słów za pomocą 5 niezależnych rzutów sześcienną kością do gry — tak otrzymany pięciocyfrowy ciąg wskazuje określone słowo na liście. By wygenerować hasło złożone z sześciu słów potrzeba więc 30 rzutów.

Taki ciąg słów jest przez dziewczynkę odręcznie zapisywany i wysyłany konwencjonalną pocztą:

The passwords are sent by US Postal Mail which cannot be opened by the government without a search warrant.

Wszystkim, którzy nie wierzą w dobre intencje jedenastolatki, nie ufają jej kościom do gry lub po prostu chcą zachować własne hasła tylko dla siebie, polecamy jednak własnoręczne wygenerowanie ciągu — warto dodać, że jest również dostępna polska lista słów.

Przy okazji tej intrygującej historii warto było przypomnieć sobie starą, lecz nadal skuteczną metodę generowania silnych i łatwych do zapamiętania haseł…

xkcd o silnych hasłach...

xkcd o silnych hasłach…

— Wojciech Smol

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Odpowiedz
    • arton

      Tak tak i zblokować dostęp do usług internetowych :) dlatego do Dropboxa też trzeba pamiętać i konta e-mail :)

      Odpowiedz
  2. józek

    Zaraz zaraz, ale jak ona rzuca sześcienną kostką, to to nie oznacza czasem, że najmniejsza kombinacja to 11111, a największa 66666? Dla marginesu błędu wystarczy użyć słów od 10000 do 70000 w dowolnym słowniku angielskiego i mamy hasło w jakieś 30 sekund :D Chyba jej wyślę jakiś generator liczb losowych opierających się na zmiennych, które będzie mogła podawać tak jak teraz z sześciennych kości + modyfikacja przez czas (w zakresie pełnego słownika 1-250k), żeby tych ludzi nie krzywdziła! ;p

    Odpowiedz
  3. kszh
    Odpowiedz
    • Metoda Diceware przewiduje w razie takiej potrzeby budowanie jeszcze bardziej złożonych haseł:

      For extra security without adding another word, insert one special character or digit chosen at random into your passphrase. Here is how to do this securely: Roll one die to choose a word in your passphrase, roll again to choose a letter in that word. Roll a third and fourth time to pick the added character from the following table:

      Third Roll

      1 2 3 4 5 6
      F 1 ~ ! # $ % ^
      o 2 & * ( ) – =
      u 3 + [ ] \ { }
      r 4 : ; ” ’ < >
      t 5 ? / 0 1 2 3
      h 6 4 5 6 7 8 9

      http://world.std.com/~reinhold/diceware.html

      Odpowiedz
  4. Pyth0n

    @Józek Twoje obliczenia są dobre do jednego słowa, a hasło ma ich 6.

    5 rzutów/słowo (3125 możliwych słów) x 6 słów/hasło daje 6^30 ~~ 2^77 – i to przy założeniu, że dokładnie znamy użyty słownik.

    Odpowiedz
    • józek

      Nie do końca tak to działa ;) wchodzisz na bardzo drażliwe tematy probabilistyki, gdzie wyrzucenie 5 razy 4 oczek przy 5 rzutach pod rząd to stosunkowo wysokie prawdopodobieństwo. Nie czepiam się samej metody tworzenia haseł, tylko metody losowania słów. Mógłbym zacząć liczyć i liczyć i udowodnić, że w ogromnej ilości przypadków słowa i ich ciągi będą zaraz na początku tablic, więc odpowiednio gdyby odpowiednio „rządzić i dzielić”, można bardzo szybko zyskiwać poprawne hasła (np. robiąc x/20 tablic), tylko po co? :D Losowe ciągi liter są dużo, dużo bardziej bezpieczne dlatego, że każda litera może być wylosowana w dowolnej pozycji tablicy, więc chcąc nie chcąc, musisz przeszukiwać całą tablicę z każdą kolejną iteracją od początku i tylko konkretny traf da ci poprawny wynik, a kombinacji masz 69^16 ;p W przypadku „tej” metody musisz jedynie przeszukiwać 5 tablic, gdzie każda posiada ok. 50 000 słów i dodatkowo, najprawdopodobniej każde słowo znajduje się blisko początku bądź końca tej tablicy (no ewentualnie blisko środka). Także jak widzisz, nawet sama metoda ma swoje potężne minusy ;)

      (namąciłem coś? xD)

      Odpowiedz

Odpowiedz