Inspirándome en Diceware y los otros generadores de frase de contraseña, tomé un diccionario de 20 mil palabras en inglés y usé un guión para generar errores tipográficos de ellos, lo que dio como resultado 7M de "palabras", dando 22.7 bits de entropía por palabra en comparación con los 12.9 de Diceware. 5 de ellos se convirtieron en parte de mi nueva contraseña maestra (es más fácil de recordar que 9 palabras sin errores tipográficos y es solo un poco más débil). La configuración detrás de los puentes TOR me dio una idea, y pensé en llevar esto al extremo y construir un generador de frase de contraseña con un diccionario tan grande que sea irrompible ... siga leyendo para obtener la letra pequeña.
Para hacer la pregunta obvia, estoy preguntando qué tan efectivo sería esto en la práctica. Si vale la pena el esfuerzo, infectaré a mis amigos y les haré reemplazar las grapas correctas de la batería de caballo con esto.
La idea es que cada usuario tome una copia del diccionario ya grande de palabras comunes en inglés (u otro idioma) como su diccionario personal, y luego agregue sus propias palabras: palabras poco comunes, errores tipográficos, nombres, palabras en otros idiomas. , frases cortas, números, pseudopuertas, cualquier cosa que se les ocurra (es su propio diccionario personal, si no es memorable es su culpa). Por supuesto, los usuarios individuales tendrán dificultades para encontrar palabras suficientes para aumentar la entropía de su diccionario personal por una cantidad significativa, por lo que iríamos y mezclaríamos nuestros diccionarios con los de nuestros amigos para hacerlos más grandes. Agregan algunos de nuestros Palabras a su diccionario y añadimos algunas de las suyas a las nuestras. Habrá un espectro de palabras raras, con una gran parte de las palabras en los diccionarios de muchos usuarios y algunas pocas palabras serán únicas, al menos hasta que las compartas con otras personas.
Al final del día, con toda esta mezcla, es posible que hayamos logrado agregar algunos bits de entropía a nuestro propio diccionario personal. Esto puede haber sido equivalente a 1 palabra adicional de Diceware. Pero se pone un poco mejor si nos fijamos en los ataques dirigidos:
-
Si conocen nuestro diccionario personal, todavía contiene el diccionario estándar, por lo que es al menos tan fuerte como un número equivalente de palabras de Diceware, que ya es seguro *. El principio de Kerckhoff todavía se cumple y la configuración solo puede fortalecerse con el tiempo a medida que se agregan más palabras.
-
Si no conocen nuestro diccionario personal ... Si tenemos una sola palabra rara en nuestra frase de contraseña y no está incluida en el diccionario utilizado por el atacante, nunca adivinarán nuestra contraseña. Para evitar esto, el atacante puede enganchar los diccionarios de otras personas con la esperanza de encontrar uno que incluya nuestras raras palabras. No saben qué palabras son raras, por lo que no tienen forma de filtrar el diccionario combinado. Este diccionario combinado también contendrá muchas más palabras que no están en nuestro diccionario personal y solo ralentizará el ataque del diccionario. Adivinar la entropía se basa en la dificultad de adivinar la frase de contraseña, por lo que en este caso no se basa en nuestro diccionario personal sino en el tamaño (estimado) del diccionario combinado necesario para descifrarlo, y este diccionario combinado sería mucho más grande que nuestro diccionario personal.
* Pero si ya es seguro, ¿por qué agregar más seguridad? podemos obtener suficiente entropía para estar seguros mientras seguimos usando 6, 5 o incluso 4 palabras (con un gran diccionario), que de lo contrario, estaría en o por debajo del umbral de lo que actualmente se considera seguro. Solo es equivalente a Diceware si el diccionario estándar es del mismo tamaño y no se agregan palabras de usuario.
Me refiero a Diceware ya que parece ser el generador de frase de contraseña más popular, o al menos es el que me indicaron.