Проблема jonald заключается в определении уровня энтропии. Кроме того, люди очень хорошо убеждая себя они являются случайными, когда они не являются. Обычный домашнее задание эксперимент энтропии спросить 100 людей, чтобы выбрать случайное число в диапазоне от 1 до 10. Обычно 30% + подберет "7" и значительно меньше, чем ожидалось 10% подберут либо 1 или 10. Выбор 1 в диапазоне от 1 до 10 не кажется случайным для большинства людей, так что на subconcious уровне, большинство будет отклонить его от даже будучи кандидатом.

Это не невозможно для человека, чтобы генерировать пароль с достаточной энтропией, однако три основные проблемы остаются:
а) Большинство потерпит неудачу в процессе, и когда они терпят неудачу, они будут иметь средства украдены так что любой метод, который ободряет, что это неэтично.

б) очень трудно количественно утверждать, сколько энтропии ваш человек выбрал ключевая фраза на самом деле имеет. Таким образом, вы выбираете фразу и ваши средства еще не украдены. Является ли это потому, что ключевая фраза является безопасной и он никогда не будет украден или это только потому, что хакер не получил к нему еще и они украдут его в будущем.

в) Огромное количество входов, необходимых, чтобы иметь высокую уверенность в том, что существует достаточно энтропия достаточно высока, что значительное количество пользователей потеряет доступ к своим средствам. Другой способ смотреть на него, если вам нужно запомнить 25 слов вы решили иметь такую ​​же безопасность, как 6 случайных слова, есть ли польза для пропаганды бывших?


Затем с помощью diceware и случайные слова (или какой-либо аналогичной системы). Использование diceware и действительно случайный выбор (то есть катить некоторые кости), 10 простых слов получает вас >128 бит энтропии. Это очень похоже на концепцию, которая электрум использует для семенных слов. Семян является случайным    

Вы, вероятно, может быть очень безопасно, используя меньше случайный слова в сочетании с ключом растяжения. Ключ растяжения очень эффективен при использовании истинно случайных величин с более низкими (но все же полезно) уровней энтропии. Например 5 diceware слов только 64 бит энтропии *. Если ключ является хэш из diceware слов [ключ = Н (набор diceware слов) и атакующий может составить 1 триллион хешей в секунду а время раствора 50% составляет ~ 100 лет. Тем не менее, что может быть близко слишком близко к комфорту и что требование работы может быть повышена по ключу растяжения. Для чего-то вроде холодного бумажника хранений не нужен доступ к югу миллисекунды; поэтому использовать KDF приуроченный взять чуть больше секунды, чтобы закончить. Даже в неоптимизированном JavaScript, что должно означать десятки тысяч итераций. Допустим, 10000. Теперь злоумышленник не может пытаться 1 триллион паролей в секунду. При том же оборудовании, что они могут все еще полные 1 триллион хэшей в секунду, но каждая попытка пароля занимает 10000 хэшей поэтому их пропускная способность упала до всего лишь 100 миллионов паролей в секунду и соответственно время решения 50% было увеличено до одного миллиона лет.

Важно понимать, что ключ растяжения не может "фиксировать" пароли с очень плохой энтропией. Например, если ваш пароль в списке 1 миллион известных взломанных паролей, то злоумышленник найдет его в долях секунды (при условии, что не предварительно вычислен). Используя ключ растяжения остается неэффективная, как эта гипотетическая машина выше, даже с ключом твердения злоумышленника может атаковать 100 миллионов розированных паролей в секунду. Таким образом, время решения увеличивается на 1000ом однако он увеличивается от микросекунд до доли секунды.


Если вы записали большой список, а затем случайным образом выбирается из него, то это будет случайным. Конечно, путем случайного выбора, я не имею в виду эквивалент "выбрать число от 1 до 10" как мы уже знаем, что результаты не будут случайным образом. Вы можете пронумеровать слова в списке, а затем катиться кости, чтобы выбрать слова. Конечно, вы хотели бы большую библиотеку слов. Большие библиотеки означает меньше слов, отобранных для одной и той же энтропии. Вы также хотите, чтобы избежать слов, которые могут быть перепутаны для других слов или трудно запомнить. Вы также хотите, чтобы убедиться, что система чисел имеет равномерное распределение (каждое слово имеет равные шансы быть выбранным). Кроме того, необходимо будет безопасно хранить несколько копий этой системы, и это было бы хорошей идеей для его широкого применения. Это означает, что будет как всмотреться обзор и есть увеличенный шанс, что вы можете найти список слов в будущем. Конечно, если вы потратили много времени, делая все, что ... ну вы просто заново diceware. Он существует с 1996 года и является весьма устойчивым. Может быть, когда-нибудь мне нужно сделать сайт brainwallet используя diceware таким образом люди могут остановить потери монет.

http://world.std.com/~reinhold/diceware.html

* D&T предупреждение. Вы можете использовать только пониженную энтропию пароль, если вы уверены, что уровень ключа растяжения. Для программного обеспечения с открытым исходным кодом вы можете проверить код и, предпочтительно, любая система сделает это ясным и видимым для конечного пользователя. Непрозрачные веб-сайты (т.е. ваш логин для ВСТ) другая история. Вы понятия не имеете, сколько ключ растяжку (если таковые имеются) сайт делает. Таким образом, вы всегда должны считать, что ни одна клавиша растяжения не выполняется. Хотя тема о кошельках мозга я не хочу кого-то с помощью 5 (или меньше) diceware слов для их обмена счета и когда они взломают говоря D&T сказал, что это безопасно. Честно говоря, так как веб-сайты так плохо безопасности, я бы рекомендовал использовать diceware в качестве мастер-пароля для такого инструмента, как LastPass и генерации случайного 20-значный пароль для каждого сайта.