Es "el momento de agregar una palabra", dice Arnold Reinhold, el creador de Diceware, en su blog (3/2014). A partir de ahora, recomienda utilizar frases de 6 palabras (o 5 palabras con un carácter adicional elegido y colocado al azar). Las razones indicadas incluyen que predijo la probabilidad de un cambio en 2014 en 1995, y que "las pandillas criminales de hoy probablemente tengan acceso a más poder de cómputo que la NSA"
Hay evidencia y hay sugerencias ( Wikipedia (por otra parte ..) y stackexchange (mi comentario sobre la respuesta de Goldberg ) que hay (¿leves?) debilidades en las listas de palabras de Diceware (no en el método). Comprender la evidencia en " Mejorar el sistema de generación de frase de contraseña memorable de Diceware " está más allá de mis capacidades matemáticas. Sin embargo, entiendo que el tiempo de recuperación promedio de una oración de 4 palabras puede reducirse porque las oraciones de ~ 22 caracteres son las más probables Y si el recuento de caracteres de la frase de contraseña se conoce de alguna manera, incluso el tiempo de recuperación exhaustivo puede reducirse.
Sin embargo, Arstechnica mentiones 3/2014 (actualización) un correo electrónico recibido de Gosney en el que habría escrito "Dado que actualmente no hay herramientas que combinen tres o más palabras, no sabemos con certeza cuánto más lento sería < a href="http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/"> comparado con sus 25 grietas de monstruos de GPU . "
¿Realmente no hay herramientas y medidas de rendimiento disponibles para descifrar frases de Diceware de 3 palabras o más? He intentado encontrar medidas y solo puedo encontrar pruebas basadas en gramática del principio de recuperación de frases.
Se agregó en 2 pasos después de las respuestas de Thomas Pornin y Arnold Reinhold
Arnold Reinhold reconoce la debilidad de una lista de palabras (las palabras de Diceware pueden ejecutarse juntas, "actuar" y "ión" forman "acción"). Arnold Reinhold: "Ahora recomiendo que los usuarios de Diceware pongan un carácter de espacio entre cada palabra, lo que elimina completamente este problema". Sin embargo, ¿cuál es una nueva fórmula para calcular la entropía de una frase de contraseña cuando no se usan espacios?