Sind GUIDs gute Passwörter? [geschlossen]

StackOverflow https://stackoverflow.com/questions/804456

  •  03-07-2019
  •  | 
  •  

Frage

Vorteile:

  1. Ich kann nicht "gut" Passwörter merken sowieso , so erinnern sie kein Thema ist.
  2. Sie sehen nicht aus wie Passwörter
  3. , die sie in der Nähe unmöglich stopfen zu erraten (128 Bit Entropie)
  4. leicht zu erzeugen (auslagert der "gute PRNG" -Problem)

Nachteile:

  1. ???

Insbesondere; was für Passwörter, die Computer wie für Datenbanken Logins auf einigen Setups eingeben.

War es hilfreich?

Lösung

Ein großer Nachteil ist, dass man nicht unbedingt haben „128 Bit Entropie“, wie in der ursprünglichen Frage angegeben.

Viele GUID Algorithmen haben Informationen in sie eingebettet in vorhersagbaren Mustern, zum Beispiel die MAC-Adresse des Computers, Datum / Uhrzeit oder eine Inkrementierung Sequenz. Cryptanalysis des WinAPI GUID hat den Anfangszustand gezeigt gegebenen durch die Funktion UuidCreate

bis zum nächsten 250.000 GUIDs zurückzuvorhersagen

Zum Beispiel habe ich eine 50% ige Chance, die erste Ziffer in der ersten Position der dritten Gruppe von Ziffern zu erraten, da es entweder 1 ist (für V1 GUIDs) oder 4 (für V4 GUIDs)

Quelle: http://en.wikipedia.org/wiki/Globally_Unique_Identifier

Andere Tipps

Nachteile:

  1. Sie werden sie aufzuschreiben irgendwo.
  2. Sie werden sie wahrscheinlich eine E-Mail, oder sie wieder aufschreiben, wenn Sie jemand anderes zu sagen brauchen.
  3. Sie können für bestimmte Systeme zu lang sein.
  4. Sie sind praktisch unmöglich zu merken, so dass Sie könnte sie mehr ändern sich häufig dann gewünscht wird.

Also, wenn sie System-Passwörter sind, die nur selten ändern, bezweifle ich, sie sind gute Passwörter.

Con:

Es wäre fast unmöglich sein, eine 32-Byte alphanumerische Zeichenfolge zu erinnern.

Wenn Sie wirklich ein sicheres Passwort wollen, sollten Sie eine Passwort statt. Eine lange Passphrase ist einprägsam, und sehr schwer zu brutalen Gewalt.

Con:

  • Einige Systeme haben Grenzen für die maximale Länge von Passwörtern. Wenn Sie nur hexadezimale Ziffern verwenden kann dies Ihre Entropie vielleicht so wenig wie 32 Bit begrenzen.

Braucht jemand jemals als Passwort eingeben? Oder wollen Sie es als eine einmalige Sache benutzen? Weil ernst, niemand will eine GUID in einem Kennwortauszuwählen einzugeben. Die Menschen haben Schwierigkeiten genug, wie es ist, WEP / WPA2 Wi-Fi Netzwerkschlüssel eingeben. Und die meiste Zeit, sind diejenigen, ein Timer.

@Miyagi: das ist die naheliegendste con ofcourse. Sie werden es schreiben nach unten.

Technisch würden sie gute Passwörter sein Im wirklichen Leben würden sie schreckliche Passwörter sein

Sie würden am Ende mit, um die Passwörter aufschreiben, einen Passwort-Manager verwenden, oder eine andere Form, um tatsächlich das Passwort zu verwenden ... in einer Art und Weise den Fehlerpunkt aus dem Passwort auf einem anderen Aspekt zu bewegen.

Betrachten Paßphrasen verwenden. Sätze mit Ersetzungen für bestimmte Buchstaben oder andere Zeichen, und für Zahlen, sie mit der SHIFT-Eingabe, Konvertieren leicht Zahlen zu erinnern, um gut definierte Zeichenfolge.

Zum Beispiel bcs19850101bcs wäre bcs! (*%)!)! Bcs

Nachteile:

  1. Passwort Felder sind nicht immer lang genug.
  2. Schwieriger zu betreten - Sie wahrscheinlich das Passwort in einem Programm gespeichert werden würden, nicht in dem Kopf. Das ist ein bisschen wie ein Sicherheitsproblem ...

... Pros:

  1. Niemand wird in der Lage sein, um Ihr Passwort zu zwingen, aus dir.

Big-Zufallszahlen Passwörter wurden zuvor getan. Sie sind OTP s, und sind viel sicherer als das, was Sie, weil sie im Laufe der Zeit sind darauf hindeutet, zu ändern, und neigt dazu, durch sichere Geräte erzeugt werden. Natürlich ist dies nur dann relevant, wenn Sie ein Passwort-System zu entwerfen.

Wenn Sie ein sicheres Passwort mögen, die Sie möchten einen Passwort-Manager auf einem UNIX-artiges System verlassen, sind Sie viel besser, nur eine von / dev Ziehen / random und kodiert sie in lesbar etwas. für 128 Bits der Entropie können Sie etwas Einfaches wie

verwenden 
head -c 16 /dev/random | openssl enc -a -e

, die ein Passwort wie 5eqIviKu4pFTqSPnYosVKg== gibt

nicht unangemessen lange, sichere, zufällige, Selbstmord zu versuchen, sich zu erinnern.

Edit: zusätzliche Vorteile dieses Verfahrens gegenüber UUID sind unter anderem zusätzliche Sicherheit in der PRNG (/ dev / random) und kürzere Passwörter, ähnliche Defizite

Ich schrieb vor kurzem Code die ersten 64 Bits einer Prüfsumme in eine Folge von vier englischen Wörtern zu konvertieren. Dies macht eine gute Prüfsumme (viel leichter zu merken als ein Hex-Chaos), aber ich bin nicht sicher, ob ich es als Passwort vertrauen würde. Wenn Sie etwas sicherer sind zu schützen, sollten Sie ein starkes Passwort verwenden, die Sie auswendig lernen und nicht aufschreiben. Wenn nicht, dann wird jedes altes Passwort tun.

Ich denke, was Sie wirklich wollen, ist eine Kryptografischen Zufallszahl , kein GUID. GUIDs und UUIDs sind nicht zufällig - wie JohnFx sagte, sie neigen dazu, Erkennbar Werte wie die MAC-Adresse oder aktuelle Zeitstempel zu übernehmen, um die Eindeutigkeit zu gewährleisten

.

Stattdessen sollte man sich, was auch immer Crypto API steht Ihnen zur Verfügung und eine Quelle für High-Entropie Zufallszahlen finden. Stellen Sie sicher, dass die Dokumentation verspricht die Ausgabe für Kryptographie, nicht nur eine regelmäßige PRNG geeignet ist. Zum Beispiel / dev / random auf Unix-Systemen ist eine gute Quelle. Dann einfach abrollen so viele zufällige Bytes, wie Sie wollen.

Persönlich scheint dies ein wenig zu Hardcore. Ich würde eher Saiten erzeugen, die ein bisschen weniger Entropie pro Zeichen enthalten, sind aber einfacher zu tippen und zu erinnern. Zum Beispiel gibt es mehrere Algorithmen, die zufällige Silben verbinden aussprechbar Unsinn Worte zu schaffen; intersperse einige Ziffern und Satzzeichen, und Sie haben ein gutes Passwort bekommen.

Ich mag meine Passwörter stark und pronouncable (versuchen Sie eine der Seiten hier aufgeführten für eine Online-Demo, sollten Sie eine "v2" site holen zu holen Sie sich den pronounciation-Führer).

Con: Sie können es nicht erneut eingeben, was bedeutet, Sie kopieren und einfügen müssen. Wenn Sie Ihr Passwort-Management-Programm auf Ihrem System, nicht wirklich ein Problem. Aber wenn Sie auf einem System landen, wo Sie nicht nur die Sache Abtippen werden sehr schwierig sein.

Und dann, nachdem Sie ein paar Mal versuchen, erhalten Sie gesperrt ....

Das Leben könnte sehr ärgerlich.

Auch wenn Sie es aufschreiben, ein gutes Passwort ist etwas, das man konsequent ohne Fehler eingeben kann.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top