自動生成されるパスワードで避けるべき文字
-
09-06-2019 - |
質問
いくつかのパスワードを生成する必要がありますが、相互に混同される可能性のある文字を避けたいと考えています。避けるべき文字の明確なリストはありますか?私の現在のリストは
il10o8B3Evu![]{}
他に混同しやすい文字のペアはありますか?特殊文字については、数字キーの下にあるものに限定するつもりでしたが、これはキーボードの国籍によって異なることは承知しています。
ライダーの質問として、パスワードを「単語に似た」ものにしたいのですが、そのための推奨アルゴリズムはありますか?
ありがとう :)
解決
Steve Gibson が自分の作品に使用している文字セットは次のとおりです。 「パーフェクトペーパーパスワード」 システム。これらは「避けるべき文字」ではなく「許可すべき文字」ですが、あなたが望むものにとってはかなり合理的であるように思えます。
64 文字の標準セット
!#%+23456789:=?@ABCDEFGHJKLMNPRS
TUVWXYZabcdefghijkmnopqrstuvwxyz
88 文字の大きなセット
!"#$%&'()*+,-./23456789:;<=>?@ABCDEFGHJKLMNO
PRSTUVWXYZ[\]^_abcdefghijkmnopqrstuvwxyz{|}~
発音可能なパスワードについては、アルゴリズムについては詳しくありませんが、以下を参照してください。 APG そして パワージェン 出発点として。
他のヒント
私の推奨する方法は、3 文字、4 文字、および 5 文字の単語の単語リストを取得することです。次に、それらのうち少なくとも 2 つを選択し、各単語の間にランダムな 2 桁の数字または特殊記号 (%&*@#$) を配置します。必要に応じて、単語ごとに最大 1 文字をランダムに大文字にすることができます。
強度要件に応じて、覚えやすく、伝えやすい次のようなパスワードが得られます。
- レモン%デスク
- ペーパー&ボーイ32ハット
時々、興味深い単語や不適切な単語の組み合わせが出てくることに注意してください (想像力を働かせてください)。私は通常、提示されたパスワードが気に入らない場合に新しいパスワードを生成できるボタンを用意しています。
原則として、人々がその名前をよく知っているシンボルのみを使用してください。米国標準キーボードでは ~`'/\^ は避けます。
これはあなたの主な質問よりもライダーの質問に答えたと思います。..
幸運を!
読む 安全なパスワードの選択.
そこからの興味深い情報が 1 つあります。より安全なパスワードを設定するには、パスワードの中央に数字と特殊文字を含めてください。クラックプログラムは最初にそれらをチェックし、より早く終了します。
ジムの答えに追加するには、単語リストを使用して、特定の文字をランダムに記号 (A は @、O は 0 (ゼロ)、S は 5) に置き換えたり、単語から母音を削除したりすることもできます。 。
- ln%デスク
- p@per&b0y32H@t
まだ人間が読める範囲はほとんどあります。
別のオプションとして、パスワードを印刷するために、courier のような等幅/ターミナル フォントを使用することもできます。そうすることで、似たようなキャラクターがより区別しやすくなるはずです。
数年前、海外のクライアントのために、私はランダムで安全なパスワードを生成し、クライアントによって文書にメールマージされ、40 か国の受信者に郵便で送信される必要がありました。文書でどのような書体を使用するか分からなかったので、スティーブ・ギブソンのような文字のリストを使用しました。 64文字 類似したグリフ間の混乱を避けるために設定されています。
結果のパスワードを発音しやすくし、覚えやすくするために、子音と母音を組み合わせ、子音の二重文字 (sh、th、wh など) をいくつか追加しました。
(英語または受信者の言語で) 不適切な言葉や不快な言葉が生成される可能性を減らすために、連続する英字を 2 文字に制限し、その間に数字または句読点を挟みました。
Es4tU$sA6
wH@cY8Go2
今、自分のやり方を振り返ってみると、不適切性のアルゴリズムに改善の余地があったことに気づきました。上記のルールをそのまま使用すると、文字の代わりに数字や句読点が使用されるため、いくつかの攻撃的な単語が可能になります。
人間が判読できるパスワードとして、私は最近、以下に非常によく似た PHP スクリプトを使用しました。うまくいきました。確かに、パスワードは (辞書攻撃を受けやすいため) 信じられないほど安全になるわけではありませんが、記憶可能なパスワード、または少なくとも読み取り可能なパスワードの場合はうまく機能します。ただし、この関数はそのまま使用すべきではなく、説明のためのものです。
function generatePassword($syllables = 2, $use_prefix = true)
{
// Define function unless it is already exists
if (!function_exists('arr'))
{
// This function returns random array element
function arr(&$arr)
{
return $arr[rand(0, sizeof($arr)-1)];
}
}
// Random prefixes
$prefix = array('aero', 'anti', 'auto', 'bi', 'bio',
'cine', 'deca', 'demo', 'dyna', 'eco',
'ergo', 'geo', 'gyno', 'hypo', 'kilo',
'mega', 'tera', 'mini', 'nano', 'duo',
'an', 'arch', 'auto', 'be', 'co',
'counter', 'de', 'dis', 'ex', 'fore',
'in', 'infra', 'inter', 'mal',
'mis', 'neo', 'non', 'out', 'pan',
'post', 'pre', 'pseudo', 'semi',
'super', 'trans', 'twi', 'vice');
// Random suffixes
$suffix = array('dom', 'ity', 'ment', 'sion', 'ness',
'ence', 'er', 'ist', 'tion', 'or',
'ance', 'ive', 'en', 'ic', 'al',
'able', 'y', 'ous', 'ful', 'less',
'ise', 'ize', 'ate', 'ify', 'fy', 'ly');
// Vowel sounds
$vowels = array('a', 'o', 'e', 'i', 'y', 'u', 'ou', 'oo', 'ae', 'ea', 'ie');
// Consonants
$consonants = array('w', 'r', 't', 'p', 's', 'd', 'f', 'g', 'h', 'j',
'k', 'l', 'z', 'x', 'c', 'v', 'b', 'n', 'm', 'qu');
$password = $use_prefix?arr($prefix):'';
$password_suffix = arr($suffix);
for($i=0; $i<$syllables; $i++)
{
// selecting random consonant
$doubles = array('n', 'm', 't', 's');
$c = arr($consonants);
if (in_array($c, $doubles)&&($i!=0)) { // maybe double it
if (rand(0, 2) == 1) // 33% probability
$c .= $c;
}
$password .= $c;
//
// selecting random vowel
$password .= arr($vowels);
if ($i == $syllables - 1) // if suffix begin with vovel
if (in_array($password_suffix[0], $vowels)) // add one more consonant
$password .= arr($consonants);
}
// selecting random suffix
$password .= $password_suffix;
return $password;
}
私の大学院(電気工学、技術者)では、すべてのコンピュータ アカウントが、標準の Linux ユーティリティによって生成されたと思われるパスワードで初期化されていました。これらは、各音節に 3 つの小文字を含む 3 つのランダムな音節で構成されています。その結果、かなり安全でありながら (およそ数十億の組み合わせが考えられます)、非常に明白なので、10 年以上経った今でもそれらのパスワードの一部を使用しています。ジェームズの例は、これを示す優れた例です。
ネットワーク セキュリティの専門家からの、パスワード全般に関するコメント:それらは次のようないくつかの理由からひどいものです。
一般に、特に知っている場合は、ソーシャル エンジニアリングや攻撃ソフトウェアによって簡単に破られます。 何でも あなたのターゲットについて。
例 1: 最近、パスワードで保護された技術文書を改訂する必要がありました。日付を見ると、当時常駐していたテック ライターが誰であるかがわかり、頭に浮かんだ最初の単語を入力し、すぐにドキュメントのロックを解除しました。
例 2: 標準のパスワード クラッキング プログラムを使用すると、クラッカーはユーザーが提供した辞書を操作する一連のルールを指定できます。特定の文字を $ymb01$ に置き換えたり、1337 などに変換したりすることは簡単です。
「安全な」パスワードはそうではありません。ほとんどの人が覚えておく必要があるパスワードの数が膨大であることを考えると、「a4$N!8_q」のような「強力な」パスワードを「覚えておく」最も一般的な方法は、それを紙に書いて保存することです (最悪の場合、パスワードを保存することもできます)。テキストファイル)。'言っ途切れる。
本当に必要なら 安全な 認証、 多要素 (または 二要素) は業界で認められたメカニズムです。「2 つの要素」は通常、 持っている (アクセスカードなど)およびあなたが 知る それを有効にするもの (PIN など)。どちらか一方がなければ機能しません。両方が必要です。
一方で、本当に必要なセキュリティのレベルを考慮してください。何を守っているのですか?「悪者」はどれほどそれを手に入れたいと思っているのでしょうか? もし手に入れた場合、どのような結果が生じるのでしょうか?「その@Secret!」十分すぎるほどです。:-)
私は単語リストのアプローチが好きではありません。たとえば、OSX の /usr/share/dict/words には、4 文字の単語が 5110 個あります。そのうちの 2 つを区切り文字とともに使用すると、最大 600M の組み合わせが生成されます。しかし、強力な乱数ジェネレータで文字セットを直接使用した場合、88^9 通りのパスワード (3.16e+17 の組み合わせ) が考えられることになります。
いずれにせよ、このシステムに対する攻撃は乱数生成器に対するものである可能性が高いため、暗号的に強力な乱数生成器を使用していることを確認してください。PHP の標準の rand 関数を使用すると、数千のパスワードを登録およびリセットして RNG 状態をサンプリングし、残りの RNG 状態を予測することで攻撃され、攻撃者がテストする必要があるパスワードの数が減ります。
最初のアプローチは、ほとんど有効な英語の音節を生成し、それらを混合してから text->l33t 変換を行うことかもしれません。世代別の自然言語文法については研究が進められているので、そのうちの 1 つが役に立つかもしれません。
例えば。ah ul ing はすべて有効な音節か、それに近い音節です...それらを混ぜる -> Ingulah...l33t it -> 1ngu4h。それは最高ですか?いや。しかし、少なくとも半発音可能であり (l33t を話す場合)、計算的にはより安全です。
発音可能なパスワードの生成に興味がある場合は、次の場所に C# ポートがあります。http://www.hoogervorst.ca/arthur/?attachment_id=1708
コード内には、詳細を学ぶための役立つリンクがあります。http://www.multicians.org/thvv/gpw.html
幸運を。ジェームス
function random_readable_pwd($length=12){
// special characters
$sym="!\"§$%&/()={[]}\,.-_:;@>|";
// read words from text file to array
$filename="special.txt";
if (!file_exists($filename)) { die('File "'.$filename.'" is not exists!'); }
$lines = file($filename);
foreach ($lines as $line_num => $line) {
$line=substr($line, 0, -2);
$words[].=$line;
}
// Add words while password is smaller than the given length
$pwd = '';
$ran_date=date("s");
while (strlen($pwd) < $length){
$r = mt_rand(0, count($words)-1);
// randomly upercare word but not all in one time
if ($ran_date % 3 == 0) $words[$r]=ucwords($words[$r]);
$pwd .= $words[$r];
//randomly add symbol
if ($ran_date % 2 == 0) $pwd .= $sym{mt_rand(0,strlen($sym))};
$ran_date++;
}
// append a number at the end if length > 2 and
// reduce the password size to $length
$num = mt_rand(1, 99);
if ($length > 2){
$pwd = substr($pwd,0,$length-strlen($num)).$num;
} else {
$pwd = substr($pwd, 0, $length);
}
return $pwd;
}