密碼片語

(重定向自Passphrase

密碼片語,又稱助記詞(英語:passphrase)是幾個英文單字或是資料的組合,用在電腦系統、軟體或是資料的存取控制上。密碼片語在使用上的用法類似認證用的密碼(英語:password),但為了安全性的考量,密碼片語的長度會比較長。密碼片語常用來存取加解密相關的軟體以及系統,也用在相關的機能中,特別是由密碼片語中衍生出加密密鑰的機能。密碼片語英文passphrase的起源是模仿password。一般認為現代密碼片語的概念是由Sigmund N. Porter在1982年所提出[1]

安全性

考虑到书面英语的小于每字符1.1位,[2]密码片语安全性相对较弱。NIST已经估计过23字符短语构成的密码片语“IamtheCapitanofthePina4”包含45位强度。此处使用的方程式是:[3]

4 位 (字符1) + 14 位 (字符2–8) + 18 位(字符9–20)+ 3 位 (字符21–23) + 6 位 (大小写、数字混合产生的增值) = 45 位

(上述计算并没有考虑这是轻歌剧皮纳福号军舰中的一句名言。借助crackstation.net,这个密码片语可在4秒内被破解,表明这个短语可见于密码破解数据库。)

在这种指导原则下,要想实现80位强度,即NIST推荐的高安全性(非军用级安全性),假定密码片语包含大写字母、数字字母混合,则它需要长58位。

取决于每字符分配的熵值,这个方程的适用性还有可争论的余地。例如,由五个字母组成的单词,每个字母包含2.3位的熵,就意味着实现80位强度就只需要35字符的密码片语。[4]

假如密码片语中的词汇或成分可在词典中找到——尤其是能在输入法中直接输入的那些——这样的密码片语则更容易遭到字典攻击。当整个短语能在语录册或短语集中找到时,这问题尤其明显。然而,假使密码片语含有足够多的词语,而且这些随机选择的词语在密码片语中随机排列,(在时间和成本上)需要的努力就高得不现实。必须在足够条件下测试的组合数目使得字典攻击太难,以至于不可行。这些条件很难满足,可是选取至少一个在任何词典都找不到的词语会显著增加密码片语长度。

如果密码片语由人类选择,它们通常会偏向于自然语言中特定词语的频率。在四个单词组成的短语中,实际熵很少超过30位。另一方面,用户选择的密码可能还要更弱很多,而鼓励用户使用哪怕两个单词组成的密码片语都有可能将熵值从不到10位增加到超过20位。[5]

例如,广泛使用的密码学标准OpenPGP要求用户必须构造一个密码片语,必须在解密或签署信息时输入。在线服务,如Hushmail提供免费的邮件或文件共享服务,但实际显现的安全性几乎只取决于用户所选密码片语的质量。

选择密码片语

有关选择密码片语的建议通常包含下列几点:[6]

  • 足够长,难以猜测
  • 不是来源于文学作品、圣书等处的著名语句
  • 即使非常了解此用户的人也难凭直觉猜测
  • 易于记忆并准确地写出
  • 为获得更佳安全性,用户可使用任何自己认为容易记忆的编码手段
  • 未在不同的网站、应用程序及其他来源重复使用

相關條目

參考資料

  1. ^ Sigmund N. Porter. "A password extension for improved human factors". Computers and Security, 1(1):54-56, January 1982.
  2. ^ Matt Mahoney. Refining the Estimated Entropy of English by Shannon Game Simulation. Florida Institute of Technology. [March 27, 2008]. (原始内容存档于2000-08-18). 
  3. ^ Electronic Authentication Guideline (PDF). NIST. [September 26, 2016]. (原始内容 (PDF)存档于2022-06-14). 
  4. ^ Jesper M. Johansson. The Great Debates: Pass Phrases vs. Passwords. Part 2 of 3. Microsoft Corporation. [March 27, 2008]. (原始内容存档于2008-11-18). 
  5. ^ Joseph Bonneau, Ekaterina Shutova, Linguistic properties of multi-word passphrases页面存档备份,存于互联网档案馆), University of Cambridge
  6. ^ Lundin, Leigh. PINs and Passwords, Part 2. Passwords. Orlando: SleuthSayers. 2013-08-11 [2021-12-12]. (原始内容存档于2018-07-09). 

外部連結