¿Hay una mejor lista de palabras de Diceware?

15

Uso Diceware para generar frases de contraseña y estoy muy contento con la facilidad del proceso y la seguridad de los resultados.

Donde tengo un problema es con la lista de palabras en sí.

  • Contiene palabras problemáticas como "violación" y "negro" que no puedo usar razonablemente en una frase de contraseña que deseo enviar a un tercero.
  • Contiene muchas palabras oscuras como "eagan" y "scurry" que son difíciles de recordar cómo se deletrean.
  • contiene cosas como "dx" y "vh" y "a & p" que no son palabras en absoluto. "a & p13fk93c'sy" es una frase de contraseña válida de Diceware que es tan difícil de recordar como una contraseña generada de forma aleatoria.
  • Contiene muchas palabras muy cortas, por lo que es posible que una contraseña segura de Diceware de seis palabras tenga solo 6 caracteres.

Por supuesto, puedes volver a ejecutar el proceso de generación si obtienes una contraseña incorrecta, pero eso reduce la entropía.

Dado que rechazar contraseñas no adecuadas reduce la entropía, ¿hay listas de palabras alternativas disponibles o hay alguna otra estrategia para garantizar que Diceware solo genere frases de contraseña útiles?

    
pregunta Graham Hill 09.08.2016 - 14:43
fuente

3 respuestas

12

Si bien el sistema de generación de frase de contraseña de Diceware es sólido, no es la primera persona en expresar inquietudes acerca de la lista de palabras predeterminada. Lo bueno es que puedes crear tu propia lista de palabras que funciona con el sistema de Arnold. Eso le da flexibilidad para eliminar palabras ofensivas y reemplazar palabras consideradas demasiado cortas u oscuras.

De hecho, varias organizaciones ya han creado sus propias listas de palabras para usar con Diceware. El más reciente fue el trabajo de Joseph Bonneau para el EFF para desarrollar varias variaciones de listas de palabras que centrarse en mejorar la usabilidad de las frases de contraseña resultantes. Este es realmente un gran trabajo y es el primer lugar al que le señalaría al considerar una alternativa a la lista de palabras predeterminada.

En cuanto a la posibilidad de generar frases de paso cortas con la lista de palabras original, calculé que se eliminaría el 0,00037% de las posibles combinaciones de 5 palabras si rechazara algo más de 14 caracteres (suponiendo que los espacios son palabras separadas). Entonces, si bien no es ideal para reducir la entropía general del sistema, esto tiene un impacto muy pequeño en la seguridad.

Arnold también recomienda separar palabras con espacios, por lo que debe rellenar incluso una frase de contraseña de 6 palabras compuesta de palabras de una sola letra a 11 caracteres.

    
respondido por el PwdRsch 09.08.2016 - 18:13
fuente
5

El creador de Diceware soluciona algunos de estos problemas en las Preguntas frecuentes .

  • Busca las palabras oscuras en un diccionario; esto te ayudará a recordarlos.
  • Las palabras que no son breves están ahí para mantener la frase de paso corta para la comodidad de las personas que tienen que escribir su frase de contraseña varias veces al día.
  • Si tu frase de contraseña tiene menos de 14 caracteres, descártala y saca una nueva; la reducción de la entropía es lo suficientemente pequeña como para no preocuparse.
respondido por el Graham Hill 09.08.2016 - 14:47
fuente
5

Además de las Listas de EFF que PwdRsch menciona en su respuesta, puede buscar listas de palabras de un corpus literario como el Corpus of Contemporary American English , el Brown Corpus , o el Moby Project . Se han analizado lo suficiente como para que pueda encontrar frecuencias de uso para que reduzcan su lista de palabras solo a palabras comunes.

Eso lleva a un par de otras ideas. Si quiere palabras comunes, ¿por qué no encontrar listas de palabras para enseñar idiomas a hablantes no nativos, como la Nueva lista de servicios generales ? O quizás pueda encontrar una lista de palabras enseñadas a los niños en un sitio de recursos de enseñanza de algún tipo (no pude encontrar una lista lo suficientemente larga como gratis).

Es posible que pueda encontrar un análisis de frecuencia de un tipo en las listas de corrector ortográfico para obtener y enfocar una lista desde allí. Algunos diccionarios pueden tener esta información disponible, especialmente por una tarifa; para una opción gratuita, wiktionary tiene listas de frecuencia además de sus índice completo .

Lamentablemente, este tipo de información no es tan fácil de obtener, como lo demuestra el hecho de que las personas aparentemente todavía están haciendo una investigación activa para encontrar palabras frecuentes o memorables. Eso es todo lo que pude encontrar mientras buscaba listas de palabras para un complemento de keepass a la que contribuyo.

    
respondido por el Ben 10.08.2016 - 07:25
fuente

Lea otras preguntas en las etiquetas