Les GUID sont-ils de bons mots de passe? [fermé]
https://stackoverflow.com/questions/804456
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Avantages:
- Je ne me souviens pas de "bon" les mots de passe quand même , donc leur mémorisation n’est pas un problème.
- ils ne ressemblent pas à des mots de passe
- ils sont presque impossibles à deviner (128 bits d'entropie)
- facile à générer (élimine le problème du "bon PRNG")
Inconvénients:
- ???
En particulier; qu’en est-il des mots de passe que les ordinateurs saisissent comme des identifiants de bases de données dans certaines configurations.
La solution
Un inconvénient majeur est que vous n'avez pas nécessairement "128 bits d'entropie". comme indiqué dans la question initiale.
De nombreux algorithmes GUID contiennent des informations incorporées dans des modèles prévisibles, tels que l'adresse MAC de l'ordinateur, la date / heure ou une séquence d'incrémentation. La cryptanalyse du GUID WinAPI a été donnée étant donné l'état initial, on peut prédire jusqu'à 250 000 GUID suivants renvoyés par la fonction UuidCreate
Par exemple, j'ai environ 50% de chances de deviner le premier chiffre dans la première position du troisième groupe de chiffres car il sera soit 1 (pour les guides V1), soit 4 (pour les guides V4)
Source: http://fr.wikipedia.org/wiki/Globally_Unique_Identifier
Autres conseils
Inconvénients:
- Vous les écrirez quelque part.
- Vous allez probablement les envoyer par courrier électronique ou les réécrire si vous avez besoin de le dire à quelqu'un d'autre.
- Ils peuvent être trop longs pour certains systèmes.
- Ils sont pratiquement impossibles à mémoriser, vous pouvez donc les changer plus souvent que vous le souhaitez.
Donc, à moins que ce soient des mots de passe système qui changent rarement, je doute qu'ils soient de bons mots de passe.
Con:
Il serait presque impossible de se rappeler une chaîne alphanumérique de 32 octets.
Si vous voulez vraiment un mot de passe sécurisé, envisagez un passphrase à la place. On se souvient facilement d'un mot de passe long et il est très difficile de recourir à la force brutale.
Con:
- Certains systèmes imposent des limites quant à la longueur maximale des mots de passe. Si vous n'utilisez que des chiffres hexadécimaux, votre entropie peut être limitée à 32 bits.
Quelqu'un a-t-il besoin de le saisir comme mot de passe? Ou voulez-vous l'utiliser comme une chose ponctuelle? Parce que sérieusement, personne ne veut entrer un GUID dans un champ de mot de passe. Les gens ont déjà assez de problèmes en saisissant les clés de réseau wifi WEP / WPA2. Et la plupart du temps, ceux-ci sont ponctuels.
@Miyagi: c’est le cas le plus évident. Ils vont devoir l'écrire.
Techniquement, ce seraient de bons mots de passe Dans la vraie vie, ils seraient des mots de passe horribles
Vous finirez par avoir à écrire les mots de passe, à utiliser un gestionnaire de mot de passe ou un autre formulaire pour utiliser le mot de passe ... de manière à déplacer le point d'échec du mot de passe à un autre aspect.
Pensez à utiliser des mots de passe. Des phrases avec des substitutions pour certaines lettres ou d'autres caractères, et pour les chiffres, en les tapant avec SHIFT, convertissant des nombres faciles à mémoriser en séquences de caractères bien définies.
Par exemple, bcs19850101bcs correspondrait à bcs! (*%)!)! bcs
Inconvénients:
- Les champs de mot de passe ne sont pas toujours assez longs.
- Plus difficile à saisir - vous stockeriez probablement le mot de passe dans un programme et non dans votre tête. C'est un peu un problème de sécurité ...
... pros:
- Personne ne pourra vous forcer à sortir votre mot de passe.
Des mots de passe à grand nombre aléatoire ont déjà été utilisés. Ils s'appellent OTP , et sont beaucoup plus sécurisés. que ce que vous suggérez, car ils changent avec le temps et ont tendance à être générés par des dispositifs sécurisés. Bien sûr, cela n’est pertinent que si vous concevez un système de mot de passe.
Si vous souhaitez laisser un mot de passe sécurisé que vous souhaitez laisser à un gestionnaire de mots de passe sur un système de type UNIX, il vaut mieux extraire l'un de / dev / random et l'encoder en quelque chose de lisible. pour 128 bits d'entropie, vous pouvez utiliser quelque chose de simple comme
head -c 16 /dev/random | openssl enc -a -e
qui donne un mot de passe comme 5eqIviKu4pFTqSPnYosVKg ==
pas excessivement long, sécurisé, aléatoire, suicide à essayer de se souvenir.
Modifier: les avantages supplémentaires de cette méthode par rapport à l'UUID incluent une sécurité accrue dans le fichier PRNG (/ dev / random) et des mots de passe plus courts, ainsi que des lacunes similaires
J'ai récemment écrit du code pour convertir les 64 premiers bits d'une somme de contrôle en une séquence de quatre mots anglais. Cela fait une bonne somme de contrôle (beaucoup plus facile à retenir qu'un désordre hexagonal), mais je ne suis pas sûr que je lui ferais confiance comme mot de passe. Si vous protégez quelque chose de sécurisé, vous devez utiliser un mot de passe fort que vous mémorisez et que vous n'écrivez pas. Sinon, tout ancien mot de passe fera l'affaire.
Je pense que vous voulez réellement un nombre cryptographiquement aléatoire , pas un GUID. Les GUID et les UUID ne sont pas aléatoires. Comme l'a dit JohnFx, ils ont tendance à incorporer des valeurs pouvant être découvertes, telles que l'adresse MAC ou l'horodatage actuel, afin de garantir l'unicité.
Au lieu de cela, vous devriez regarder quelle que soit l’API de chiffrement disponible pour vous et trouver une source de nombres aléatoires à entropie élevée. Assurez-vous que la documentation promet que la sortie convient à la cryptographie, et pas seulement à un PRNG normal. Par exemple, / dev / random sur les systèmes Unix est une bonne source. Ensuite, il suffit de dérouler autant d’octets aléatoires que vous le souhaitez.
Personnellement, cela semble un peu trop hardcore. Je préfère générer des chaînes qui contiennent un peu moins d'entropie par caractère, mais qui sont plus faciles à taper et à mémoriser. Par exemple, plusieurs algorithmes combinent des syllabes aléatoires pour créer des mots non-sens prononçables; intercalez des chiffres et de la ponctuation, et vous avez un bon mot de passe.
J'aime mes mots de passe fort et prononcé (essayez l'un des sites répertorié ici pour une démonstration en ligne, veillez à choisir un site "v2". pour obtenir le guide de prononciation).
Con: Vous ne pouvez pas le retaper, ce qui signifie que vous devrez copier et coller. Si vous avez votre programme de gestion de mot de passe sur votre système, ce n'est pas vraiment un problème. Mais si vous vous retrouvez sur un système où vous ne le faites pas, il vous sera très difficile de retaper la chose.
Et après avoir essayé plusieurs fois, vous êtes en lock-out ...
La vie pourrait devenir très ennuyante.
Même si vous l'écrivez, un bon mot de passe est quelque chose que vous pouvez taper de manière cohérente et sans erreur.
