Le GUID sono buone password? [chiuso]

StackOverflow https://stackoverflow.com/questions/804456

  •  03-07-2019
  •  | 
  •  

Domanda

Pro:

  1. Non ricordo " buono " password comunque quindi ricordarle non è un problema.
  2. non sembrano password
  3. sono quasi impossibili da indovinare (128 bit di entropia)
  4. facile da generare (scarica il problema "buon PRNG")

Contro:

  1. ???

In particolare; per quanto riguarda le password che i computer inseriscono come per gli accessi ai database in alcune configurazioni.

È stato utile?

Soluzione

Uno svantaggio principale è che non hai necessariamente "128 bit di entropia" come indicato nella domanda originale.

Molti algoritmi GUID contengono informazioni incorporate in schemi prevedibili, ad esempio l'indirizzo MAC del computer, la data / ora o una sequenza incrementale. La crittoanalisi del GUID WinAPI ha mostrato lo stato iniziale che è possibile prevedere fino a 250.000 GUID successivi restituiti dalla funzione UuidCreate

Ad esempio, ho circa il 50% di probabilità di indovinare la prima cifra nella prima posizione del terzo gruppo di cifre poiché sarà 1 (per le guide V1) o 4 (per le guide V4)

Fonte: http://en.wikipedia.org/wiki/Globally_Unique_Identifier

Altri suggerimenti

Contro:

  1. Le scriverai da qualche parte.
  2. Probabilmente li invierai via e-mail o li scriverai di nuovo se devi dirlo a qualcun altro.
  3. Potrebbero essere troppo lunghi per alcuni sistemi.
  4. Sono praticamente impossibili da memorizzare, quindi potresti cambiarli più frequentemente di quanto desideri.

Quindi, a meno che non siano password di sistema che cambiano raramente, dubito che siano buone password.

Con:

Sarebbe quasi impossibile ricordare una stringa alfanumerica di 32 byte.

Se vuoi davvero una password sicura, considera un passphrase . Una lunga passphrase è facilmente ricordabile e molto difficile da forzare.

Con:

  • Alcuni sistemi hanno limiti sulla lunghezza massima delle password. Se stai usando solo cifre esadecimali, ciò può limitare la tua entropia a un minimo di 32 bit.

Qualcuno ha mai bisogno di inserirlo come password? O vuoi usarlo come una volta sola? Perché seriamente, nessuno vuole inserire un GUID in un campo password. Le persone hanno problemi abbastanza com'è, inserendo le chiavi di rete Wi-Fi WEP / WPA2. E la maggior parte delle volte, sono a tempo parziale.

@Miyagi: questo è il congourse più ovvio. Dovranno scriverlo.

Tecnicamente sarebbero buone password Nella vita reale, sarebbero password orribili

Dovresti finire per scrivere le password, utilizzare un gestore di password o un altro modulo per utilizzare effettivamente la password ... in un modo spostando il punto di errore dalla password in un altro aspetto.

Valuta l'utilizzo delle passphrase. Frasi con sostituzioni di determinate lettere o altri caratteri e di numeri, digitandoli con MAIUSC, convertendo i numeri facili da ricordare in sequenze di caratteri ben definite.

Ad esempio bcs19850101bcs sarebbe bcs!(*%)!)!bcs

Contro:

  1. I campi password non sono sempre abbastanza lunghi.
  2. Più difficile da inserire: probabilmente memorizzeresti la password in un programma, non nella tua testa. È un po 'un problema di sicurezza ...

... pro:

  1. Nessuno sarà in grado di forzare la tua password fuori di te.

Le password a grandi numeri casuali sono state già fatte. Si chiamano OTP e sono molto più sicuri di quello che stai suggerendo perché cambiano nel tempo e tendono a essere generati da dispositivi sicuri. Naturalmente questo è rilevante solo se tu stai progettando un sistema di password.

Se si desidera una password sicura che si desidera lasciare a un gestore di password su un sistema simile a UNIX, è molto meglio estrarne una da / dev / random e codificarla in qualcosa di leggibile. per 128 bit di entropia puoi usare qualcosa di semplice come 

head -c 16 /dev/random | openssl enc -a -e

che fornisce una password come 5eqIviKu4pFTqSPnYosVKg==

suicidio non eccessivamente lungo, sicuro, casuale, da ricordare.

Modifica: i vantaggi aggiunti di questo metodo su UUID includono una sicurezza aggiuntiva nel PRNG (/ dev / random) e password più brevi, carenze simili

Di recente ho scritto codice per convertire i primi 64 bit di un checksum in una sequenza di quattro parole inglesi. Questo rende un buon checksum (molto più facile da ricordare di un pasticcio esadecimale), ma non sono sicuro che mi fiderei come password. Se stai proteggendo qualcosa di sicuro, dovresti usare una password complessa che memorizzi e non annoti. In caso contrario, qualsiasi vecchia password lo farà.

Penso che ciò che realmente desideri sia un numero crittograficamente casuale , non un GUID. I GUID e gli UUID non sono casuali - come diceva JohnFx, tendono a incorporare valori rilevabili come l'indirizzo MAC o il timestamp corrente, al fine di garantire unicità.

Invece, dovresti guardare qualsiasi API di crittografia disponibile per te e trovare una fonte di numeri casuali ad alta entropia. Assicurati che la documentazione prometta che l'output è adatto alla crittografia, non solo a un PRNG normale. Ad esempio, / dev / random su sistemi Unix è una buona fonte. Quindi srotola tutti i byte casuali che vuoi.

Personalmente questo sembra un po 'troppo hardcore. Preferirei generare stringhe che contengono un po 'meno entropia per carattere, ma sono più facili da scrivere e ricordare. Ad esempio, ci sono diversi algoritmi che combinano sillabe casuali per creare parole senza senso pronunciabili; separa alcune cifre e punteggiatura e hai una buona password.

Mi piacciono le mie password forti e pronunciabili (prova uno dei siti elencato qui per una demo online, assicurati di scegliere un sito " v2 " per ottenere la guida alla pronuncia).

Con: Non puoi ridigitare, il che significa che dovrai copiare e incollare. Se hai il tuo programma di gestione delle password sul tuo sistema, non è un problema. Ma se finisci su un sistema in cui non lo fai, semplicemente riscrivere la cosa sarà molto difficile.

E poi, dopo aver provato un paio di volte, verrai bloccato ...

La vita potrebbe diventare molto fastidiosa.

Anche se la scrivi, una buona password è qualcosa che puoi digitare in modo coerente senza errori.

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top