Как проверить стойкость пароля?

За хитрость спасибо! Действительно, так надежнее выйдет. Но скомпрометированный пароль я поостерегся бы использовать таким образом.
Я тоже, 17-го, кажется, составил пароль для жесткого доска. Уже помню. Вводил всего два раза. Доставляет иногда повторять его в голове. Фраза лулзова и абсурдна. Хочу заметить, что словарь Ожегова не дает все варианты педежей или множественное и единственное число. Там есть, допустим, слово "скрепка", но нету слов "скрепками" или "скрепкой". Соответственно, можно без потери энтропии несколько видоизменять слово. Допустим, у нас есть слова "вопиющий" "рык" "натурный" "паранджа" "кроить" "гармония" "электробус" "щель" "засечь" "троеборье". Мы не потеряем в энтропии, если чуть изменим фразу: "Вопиющий рык натурной паранджи кроил гармонию, электробус-щель засек троеборье". Энтропия не потеряется из-за специфики словаря. С потерей энтропии можно попробовать поменять слова местами для большей лулзовости. Не факт, что получится, но попробуем: "Вопиющая гармония троеборья, кроившая рык натурной паранджи, засекла щель электробуса, ". В любом случае, энтропия будет больше 128бит, если слова отобраны достаточно случайно. В словаре Ожегова напечатано не менее 40000 слов (исходя из числа слов на странице и количества страниц). При десяти словах, меняемых местами произвольно, достаточно превысить 35000 слов в словаре, чтобы получить более 128 бит энтропии. По поводу потери энтропии при условии неповторения слов и произвольной замены, малость ошибся. Все-таки "полтора" лишних слова компенсируют потерю энтропии (одного слишком мало, двух слишком много). Был сонный и по сонности посчитал COMBINA для десяти слов(в добавок к уже имеющемуся количеству комбинаций), вместо прямого сравнения 50000^10 и COMBIN(50000;10).
Несомненно, таким образом можно научиться запоминать пароли. Лично мне это гораздо сложнее, чем запомнить абсурдофразу. Только вот набивать абсурдофразу сложнее и дольше. Думаю, что метод "верно лошадь скрепка батарея" тоже имеет место быть и вполне может обеспечить достаточную стойкость пароля при правильном применении, обладая лишь одним заметным минусом – длительностью ввода пароля.

2 /comment79707:
Я уже выдвигал альтернативные аргументы. После того как вы изложили подробнее свои, я считаю, что всё упирается в индивидуальные особенности памяти. Они у всех разные. Сложно равнять всех по себе и своему окружению.

Вариантов м.б. масса:

1. Кто-то может вообще не переваривать формулы и однобуквенные сокращения. У него м.б. гуманитарное образное мышление. Возможно, таких большинство даже среди программистов, которые не занимаются фундаментальной математикой. Им проще из ряда слов составить сценку, ассоциативный ряд, рассказ, стихотворение, из которых эти слова можно обратно вытащить в правильном порядке.
2. Кто-то может профессионально работать с формулами и запоминать их, но только если у них существует естественный, а не придуманный смысл. Т.е., например инженер, который пользуется почти всегда только готовыми формулами, а свои выводит редко. Т.е., он запоминает формулу целиком, а если в ней просто переставить символы, она будет вылетать из памяти и вызывать путаницу.

Мем «лошадь-батарея-скрепка» взят из diceware. И придуман он не для специфических гуманитариев, а на основе методик, использовавшихся военными/шпионами. Diceware использует специально подобранный короткий словарь, из коротких запоминающихся слов, в котором на каждое слово приходится примерно 12.8 бит энтропии. Как равномерно выбрать слово из словаря с помощью подручных средств (принципиально без компьютера) — в методике также описано.

Если стоит задача — обучить большую группу разных людей запоминанию пароля со строго рассчитанной энтропией, то подозреваю, что diceware будет для среднестатистического пользователя подходить лучше. Но при этом, возможно будет выделить группу людей, которые быстрее, точнее и аккуратнее запоминают пароли большей битности по каким-то более узкоспецифичным методикам.

Возможно, профессиональный музыкант сможет запомнить рэндомный набор нот необходимой длины, художник — последовательность названий цветов красок, врач — случайно выбранный набор названий костей, органов или лекарств. Хотя для среднестатистического человека — это абсолютно незапоминаемые и ни с чем не ассоциируемые вещи.

На мой взгляд, к минусам метода относится невозможность коррекции под естественный порядок слов. В идеале, словарь должен быть подобен словарю Ожегова (толковым, без перебора всех возможных падежей, родов и чисел), а энтропия должна рассчитываться с учетом возможности замены порядка слов под естественный язык. Большая длина компенсируется запоминаемостью. Программу для подбора слов по словарю уже выкладывали. Осталось только словарь составить.

Запоминаемость, ассоциативные связи, короткие многозначные слова, отсутствие падежей и прочих сложных грамматических форм, сочетаемость почти всех слов между собой — всё это хорошо работает только для английского словаря и соответствующей аудитории. Само по себе это не плюсы английского языка, это его особенности, которые удачно подошли для выбранной задачи. Это как в песнях — на английском любой бред из примитивных базовых слов может казаться осмысленным, если его спеть. Поэтому, аналоги diceware-словаря на других языках оказываются менее удачными.

Выше был приведен пример со словами из словаря Ожегова. Суть не в том, чтобы в языке обязательно отсутствовали сложные грамматические формы. Суть в том, чтобы был словарь "слов-смыслов". А грамматические формы могли добавляться составителем пароля на основе правил языка. Допустим, в словаре есть слово-смысл "скрепка", но нету слов "скрепку", "скрепок", "скрепками", "скрепки", "скрепках", "скрепкой" и т.д. которые являются подмножеством слова-смысла "скрепка", присутствующего в словаре. Тогда составитель пароля может сам изменять слово "скрепка" на любое из перечисленных выше слов, делая яркий и запоминаемый образ. В этом случае русский язык будет работать не хуже английского. Единственный минус – более длинные, в среднем, слова.

В принципе, такой подход тоже может быть перспективным: сделать словарь с запасом по энтропии, чтобы допускать неслучайность фразы за счёт грамматической и синтаксической склейки предложений самим пользователем, как ему удобнее запоминать. Только будет сложно формализовать: одним способом можно склеивать, а вот какой-то другой способ — это уже перебор и выход за пределы допустимого. Но думаю, идея реалистичная и вполне жизнеспособная.

А не Ушакова? Там много устаревших, трудновыговариваемых и труднозапоминаемых слов.

Словарь может быть вообще любой, хоть нецензурной лексики фразеологический. Можно конкатенировать несколько, в том числе иностранные. Правда, даже если скомпилировать словарь на полмиллиона слов, для 256-битной стойкости всё равно потребуется набор из 14 слов (т.е. всего на 3 слова меньше, чем при словаре на 35 тыс. слов).

Думаю, в качестве образца, приемлем вариант словаря Ожегова. В нем есть слова, но не приведены все варианты, образованные от этого слова. В итоге мы можем достаточно свободно менять падеж, число и род слова. При этом категорически нельзя менять саму разновидность части речи. И даже возможность менять слова местами обходится не так дорого. Для 128 бит пароля хватит десяти слов, вместо восьми, при словаре в 35000 слов. При этом четко и легко просчитывается минимальная, гарантированная энтропия. По сути, очень трудно просчитать реальный запас энтропии, который получится за счет различных вариаций "слов-производных" от слов из словаря и манипуляцией ими по правилам языка. Энтропия будет выше, но для её оценки надо иметь очень точную математическую модель языка, адаптированную под среднего пользователя. Так что для применения подхода правила уже готовы, гарантированная энтропия просчитывается. Надо только составить словарь с достаточным набором слов, которые будут проверены на "взаимные пересечения" слов, полученных из слов-смыслов словаря. Тогда можно использовать такой метод для автоматической генерации набора слов-смыслов, из которых будет составлен пароль, в сколь угодно ответственных случаях. Для надежного, "промышленного" решения надо составить свой словарь в удобной для автоматической генерации форме, прошедший необходимую проверку.

Надо полистать словарь Ушакова. Вполне может подойти. У меня только Ожегова лежит на полке. С ним много экспериментировал. Главное требование к словарю – отсутствие вариаций одного слова по родам, числам и падежам.

Менять пароли надо до их компрометации. :-) Могу подсказать ещё пару хитростей: кому-то проще выучить не сразу весь 39-40-символьный пароль (256 бит), а по частям: сначала первые 20 символов, потом вторые. В этом случае сначала меняем старый пароль на стырый+новые_20_символов, а потом, когда выучили, на новые_20_символов+ещё_20_символов. Если беспокоитесь, что забудете — держите 2 слота в LUKS: один со старыми паролями, другой с новыми. Когда новые надёжно выучите, старые слоты можно будет убить.


После того, как выучили, вас не напрягает вводить каждый раз такие длинные пароли? Это ж сколько времени отнимает... Я раньше был неграмотен и использовал пароли, какие сложились. Недостаток энтропии компенсировался их длиной. Когда вводишь больше 100 символов (и так много лет), это сильно напрягает.


А если делать пароль со всеми печатными символами, то будет всего 20. 20 или 160 — разница есть?


Наверное, по diceware и я запомню быстрее, так что моя память — не исключение. Разница в том, что я готов немного поплатиться лёгкостью запоминания в пользу краткости пароля, в то время как другие — нет.

Ранее здесь уже обсуждались методики сопоставления осмысленных слов случайно сгенерированным паролям («фонетический пароль»?) — типа как легче их запомнить. Мой метод по сути такой же. Может быть, можно даже иметь публичную таблицу, по которой из запомненных слов легко восстановить исходный компактный пароль, или даже реализовать это в виде программы. В этом случае, если вы боитесь забыть пароли, фонетический метод будет всегда работать, но, возможно, позже вы выучите и короткую форму того же самого пароля.

Есть задачи, где это критично, а есть задачи, где не критично. Набрать пароль один раз при каждом включении домашнего компьютера – совсем не трудно. Постоянно (много раз в день) использовать такие пароли в работе – затруднительно.

У меня при пересчете символов методом перестановки курсора мышки и устного пересчета насчиталось 85 символов. Подумайте, какая средняя длина слова, если в сумме символов 160. И найдите хоть одно слово, которое больше или равно этой длине. А сам пароль можно делать и без пробелов. Пробелы просто для читабельности были добавлены, иначе люди сломали бы глаза.
Оба метода заслуживают внимания. И решение надо принимать исходя из частоты ввода пароля и личного выбора между легким запоминанием и легким вводом.

$ echo Вопиющая гармония троеборья, кроившая рык натурной паранджи, засекла щель электробуса |sed 's/[[:space:]]//g' |wc -c
151

По-моему, словари diceware имеет смысл сократить в несколько раз. Английский вариант содержит в основном редкоупотребительные слова, и свободно пользоваться им может только носитель языка. В русском варианте тоже слишком много редких или просто корявых слов со смутным смыслом. Ведь замена одиночных символов на слова делается для более ясного образа каждого элемента случайной последовательности, при одновременном увеличении его битности. Уменьшение размера словаря с 8 до 2 тысяч равнозначано уменьшению с 13 бит/слово до 11 бит/слово. 128 битам будет соответствовать не 10 слов, а 12, но при этом все слова будут иметь ясные ассоциации. Это аналогично исключению спецсимволов из последовательности одиночных знаков. sh7nMj4hxT по битности практически эквивалентно fh^Vh$ycs9, но вводится и запоминается намного легче.

На сайте про diceware подчёркивается что для генерации фразы нужен игральный кубик, поэтому программами лучше не пользоваться.

Неправильно считает. У нас десять слов, в самом длинном из них (слове "электробуса") 11 символов. Если все слова удлинить до 11 символов, то в сумме выйдет 110 символов. Но у нас 9 слов короче. Более того, очень интересный результат дает подсчет символов для слова "хук" (вид удара в боксе):
$ echo 'хук' |wc -c
7
Мне тоже верить, что трехсимвольное слово "хук" состоит из семи символов?

На мой взгляд, не стоит слишком сокращать словарь. Даже малый словарь даст рассчитываемую энтропию. Но, его излишнее сокращение даст низкую энтропию, если мы даем возможность составителю пароля произвольно менять местами слова. Для 128 бит и 35000 слов достаточно 10 слов с возможностью менять их порядок произвольно. Для 2000 слов потребуется уже 16 слов с возможностью изменять порядок следования слов. В добавок, наличие только обычных, частоупотребимых слов может сократить лулзовость фраз. Но и такой, короткий словарь должен быть. Если мы не меняем порядок слов, то всё нормально. Чем больше методов, дающих заданную энтропию, тем лучше. Значит, больше людей смогут подобрать метод под себя.

Сейчас дойдём до того, что проще подбрасывать монетку и запоминать последовательность из 128 результатов. Надо только правильную мнемоническую методику придумать.