Author

Topic: Diceware- безопасный пароль (Read 205 times)

jr. member
Activity: 104
Merit: 1
December 25, 2019, 02:29:17 PM
#4
Никогда не пользоваться подобными ресурсами и вряд ли начну. Мой пароль не сложный, но и не легкий и я его использую почти везде, однако меня еще ни разу не взламывали.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
December 25, 2019, 01:33:32 AM
#3
Это мне напомнило, как я когда-то при помощи кубика и монетки генерировал 12 слов сида для кошелька. Метод описан на https://github.com/taelfrinn/Bip39-diceware , может кому-то тоже пригодится.
legendary
Activity: 1974
Merit: 4715
December 24, 2019, 09:50:36 AM
#2
Почему Diceware ™?
В Интернете доступно много разных рекомендаций о том, как подобрать ключевую фразу. Некоторые из них хорошие, некоторые плохие, но почти все требуют, чтобы пользователь думал о том, что будет трудно угадать другим. Некоторые не дают указаний о том, как это сделать, другие заставляют вас делать сложные математические вычисления. Напротив, метод Diceware для генерации парольных фраз:

Легок для обучения и использования
Очень безопасный
Очень четкий - мы говорим вам точно, что делать на каждом этапе процесса
Прозрачный - нет фраз, "поверь мне"
Бесплатный - не требуется никакого компьютерного программного или аппаратного обеспечения, только список слов Diceware и обычные кубики

Предписывающий характер метода Diceware очень важен для новых пользователей. Вот опыт одного человека, опубликованный в интернет-группе новостей alt.security.pgp :

«Я просто хотел рассказать личную историю о том, как трудно убедить новичка в том, как важно выбрать безопасный пароль, и заставить его понять, что представляет собой безопасный пароль. Я эксперт в интернет безопасности. Моя сестра, однако, является новичком в этом, только что создала учетную запись . Она живет на среднем западе, а я на западном побережье. В результате мы обмениваемся довольно большим количеством очень личных писем.
Недавно она хотела передать данные своей учетки мужу, чтобы он мог пользоваться ПК. Однако она все еще хотела иметь возможность обмениваться со мной личными сообщениями, которые он не сможет прочитать. Я, конечно, познакомил ее с PGP.
Я прочитал ей обычную лекцию о том, как важно выбрать пароль, который никто другой не сможет легко угадать, и что идеальным паролем будет какое-то неясное и бессмысленное слово, которое будет иметь значение только для нее. Я рассказал ей все о том, как не выбирать дни рождения, юбилеи, имена и тому подобное. Я не предлагал случайную комбинацию букв и цифр, потому что мы не стремились обеспечить "безопасность мирового масштаба", мы просто хотели не пускать ее мужа в наши личные письма. Итак, после того, как она выбрала свой пароль PGP, я решил попробовать взломать его. ПЕРВЫЙ пароль, который я пробовал, сработал! Она была полностью удивлена ​​тем, как легко я его нашел, но это было слово, к которому любой, кто знал ее, имел бы доступ. Итак, после того, как я дал ей еще несколько советов по выбору правильного пароля, я позволил ей попробовать еще раз. На этот раз, мне понадобилось всего 3 попытки, прежде чем я нашел правильное слово. Наконец она сдалась и позволила мне выбрать для нее пароль. "
Если бы она использовала Diceware, самая первая парольная фраза сестры автора была бы абсолютно безопасной и известной только ей. Помните: в криптографии с открытым ключом безопасность вашего сообщения зависит от ключевой фразы получателя . Распространите информацию о Diceware!

Ссылки
Diceware на других языках( есть русский)
http://world.std.com/~reinhold/diceware.html#Diceware%20in%20Other%20Languages|outline

FAQ по Diceware
http://world.std.com/~reinhold/dicewarefaq.html

Методы запоминания
http://world.std.com/~reinhold/dicewarefaq.html#memory


Это смысловой перевод
http://world.std.com/~reinhold/diceware.html
legendary
Activity: 1974
Merit: 4715
December 24, 2019, 09:50:11 AM
#1
Это смысловой перевод
http://world.std.com/~reinhold/diceware.html

Этот метод предлагает лучший способ создать надежную, но легко запоминаемую фразу-пароль для использования с программами шифрования и безопасности. Слабые пароли и фразы являются одним из наиболее распространенных недостатков в компьютерной безопасности. Потратьте несколько минут и научитесь делать это правильно. Представленная здесь информация может быть использована кем угодно. Никаких знаний в криптографии или математике не требуется. Просто следуйте простой инструкции Если вы хотите получить больше информации:   часто задаваемые вопросы (FAQ) , и , пожалуйста , следите за информацией в блоге безопасности Diceware , о последних событиях в области компьютерной безопасности.

Что такое парольная фраза?
Парольная фраза - это набор слов и символов, которые вы вводите на устройстве, чтобы оно точно знало, что человек, набирающий пароль - это вы.  Большинство программ безопасности позволяют вводить парольную фразу вместо короткого пароля для дополнительной защиты от злоумышленников. Некоторые программы также используют вашу фразу-пароль для формирования криптографического ключа для шифрования ваших данных.

Парольные фразы используются в системах безопасности беспроводной сети Wi-Fi, таких как WPA и WPA2, при использовании в режиме персонального общего ключа (PSK). Безопасность обеих систем зависит от длины выбранной вами парольной фразы.

Популярная программа шифрования Фила Циммермана PGP требует, чтобы вы составляли фразу-пароль, которую вы вводите всякий раз, когда подписываете или дешифруете сообщения. Как и версии с открытым исходным кодом, GnuPG .

Популярные программы управления паролями требуют мастер-пароль или пароль для защиты данных, которые они хранят.

Парольные фразы используются с программами шифрования диска, такими как PGPdisk и Apple FileVault. Многим организациям требуется шифрование диска на ноутбуках, чтобы соответствовать нормативным требованиям по защите конфиденциальной информации.

Последние версии наиболее популярных операционных систем, включая Windows 10, MacOS и iOS, позволяют использовать более длинные парольные фразы для идентификации при входе в систему.

Цифровые валюты, такие как BTC, используют парольные фразы для защиты «монет» от незаконного присвоения.

Использование короткой парольной фразы в качестве ответа на обязательный «секретный вопрос» (например, «В каком городе вы родились?») не защищает вас от попыток подобрать ответ, изучив ваши данные в интернете.

Вы должны следовать приведенным здесь инструкциям Diceware ™, чтобы создать ключевую фразу перед настройкой маршрутизатора Wi-Fi, созданием ключа PGP или GPG, открытием новой учетной записи безопасности или настройкой зашифрованного диска или кошелька с криптовалютой, поэтому, когда вас попросят ввести новый пароль, вы будете готовы.

Парольные фразы отличаются от паролей только длиной. Пароли обычно короткие, от шести до десяти символов. Короткие пароли в основном подходят для входа в компьютерную систему, которая запрограммирована на обнаружение нескольких неверных догадок и защиту сохраненных паролей должным образом, но они не безопасны для использования с системами шифрования. Парольные фразы обычно намного длиннее - обычно от 25 до 64 символов (включая пробелы). Их большая длина делает пароли более безопасными. Современные парольные фразы были изобретены Зигмундом Н. Портером в 1981 году.

Выбор хорошей парольной фразы - одна из самых важных вещей, которую вы можете сделать, чтобы сохранить конфиденциальность ваших данных  и сообщений электронной почты.

Пароль должен быть:

Известен только вам
Стойким к перебору, чтобы быть безопасным
Чтобы не подобрал тот, кто хорошо вас знает
Легко запоминаюшийся для вас
Легкий для написания, чтобы вводить без ошибок

Что такое Diceware?
Diceware ™ - это метод выбора парольных фраз, который использует обычные кубики для случайного выбора слов из специального списка, называемого Diceware Word List. Каждому слову в списке предшествует пятизначное число. Цифры от одной до шести, позволяют использовать результаты пяти бросков кубика, чтобы выбрать слово из списка.

Вот краткий отрывок из списка слов английского Diceware:

 16655 clause
 16656 claw
 16661 clay
 16662 clean
 16663 clear
 16664 cleat
 16665 cleft
 16666 clerk
 21111 cliche
 21112 click
 21113 cliff
 21114 climb
 21115 clime
 21116 cling
 21121 clink
 21122 clint
 21123 clio
 21124 clip
 21125 clive
 21126 cloak
 21131 clock

Полный список содержит 7776 коротких слов, сокращений и легко запоминающихся символов. Средняя длина каждого слова составляет около 4,2 символов. Самые большие слова длиной шесть символов. Список на английском языке основан на более длинном списке слов, опубликованном Peter Kwangjun Suk в новостной группе в интернете sci.crypt.   Альтернативный список , под редакцией Alan Beale, содержит меньшее количество американизмов и непонятных слов. И есть списки для многих других языков. Вы также можете скачать список слов Diceware в формате PDF или в формате PostScript .
http://world.std.com/~reinhold/dicewarewordlist.pdf
http://world.std.com/~reinhold/dicewarewordlist.ps

Использование Diceware

Для использования списка Diceware вам понадобится один или несколько кубиков. Кости продаются со многими настольными играми или  отдельно в магазинах игрушек,товаров для хобби, а также в интернете. Можно использовать кости Брайля.  Не используйте компьютерную программу или электронный генератор игральных костей.

Загрузите полный список Diceware , альтернативный список Alan Beale или список на выбранном вами языке и сохраните его на своем компьютере. Распечатайте , если хотите. Затем вернитесь на эту страницу.

Решите, сколько слов вы хотите использовать в вашей парольной фразе. Парольная фраза из пяти слов обеспечивает уровень безопасности намного выше, чем простые пароли, которые используют большинство людей. Мы рекомендуем минимум шесть слов для использования с программами GPG, безопасности беспроводных сетей и шифрования файлов. Парольная фраза из семи, восьми или девяти слов рекомендуется для важных данных, таких как шифрование всего диска, BTC кошелеки и тому подобное. Для получения дополнительной информации см. часто задаваемые вопросы (FAQ) .

Теперь бросьте кубик и запишите результаты на листе бумаги. Напишите числа в строках по пять значений. Создайте столько этих пятизначных строк, сколько нужно слов в вашей парольной фразе. Вы можете бросить один кубик пять раз или пять кубиков один раз, или любую комбинацию между ними. Если вы бросаете несколько кубиков одновременно, читайте их слева направо.

Посмотрите на каждое пятизначное число в списке Diceware и найдите слово рядом с ним. Например, 21124 означает, что вашим следующим парольным словом будет «clip» (см. Выдержку из списка выше).

Когда вы закончите, слова, которые вы нашли, являются вашей новой парольной фразой. Запомните их, а затем либо уничтожьте клочок бумаги, либо храните его в действительно безопасном месте. Это все, что нужно сделать!

Пример
Предположим, вы хотите пароль из шести слов, как мы рекомендуем для большинства пользователей. Вам понадобится 6 раз бросить 5 кубиков или 30 бросков 1 кубика. Допустим, получается как:

 1, 6, 6, 6, 5, 1, 5, 6, 5, 3, 5, 6, 3, 2, 2, 3, 5, 6,
 1, 6, 6, 5, 2, 2, 4, 6, 4, 3, 2 и 6.
Запишите результаты на клочке бумаги строками по пять цифр:

 1 6 6 6 5
 1 5 6 5 3
 5 6 3 2 2
 3 5 6 1 6
 6 5 2 2 4
 6 4 3 2 6
Затем вы просматриваете каждую группу из пяти цифр в списке слов Diceware, находя номер в списке и записывая слово рядом с номером:

 1 6 6 6 5 cleft
 1 5 6 5 3 cam
 5 6 3 2 2 synod
 3 5 6 1 6 lacy
 6 5 2 2 4 yr
 6 4 3 2 6 wok

Ваша фраза будет тогда:

cleft cam synod lacy yr wok

Некоторые советы

Для максимальной безопасности убедитесь, что вы одни и закройте шторы. Пишите на твердой поверхности, а не на блокноте. После того, как вы запомните свою парольную фразу, сожгите свои заметки, размельчите пепел и спустите пепел в унитаз.

Если вы используете парольную фразу для шифрования файлов, мы рекомендуем хранить записанную копию в надежном месте. Если вы этого не сделаете и забудете свою фразу-пароль, ваши файлы будут потеряны навсегда.

Если вы хотите работать с печатной копией списка слов на английском языке, загрузите список слов Diceware в формате PDF или PostScript . Эти файлы имеют 4 столбца и 54 строки на странице. Вы получите аккуратную распечатку на 36 страниц, в которой для первых двух одинаковых  бросков костей содержатся слова на 1 странице. Это делает поиск легким. Если вы предпочитаете более компактную распечатку, вот 11-страничная версия от Патрика Файстхаммеля. Будьте осторожны, чтобы не пометить печатную копию при выборе слов.

Если вам нужно часто составлять парольные фразы, найдите коробку для обуви или коробку для хранения продуктов примерно такого же размера. Поместите пять кубиков в коробку, энергично встряхните их - по крайней мере, десять сильных встряхиваний - и затем опрокините коробку, чтобы все кости скользили вниз к одному краю. Теперь откройте коробку, прочитайте кости слева направо или спереди назад, если несколько выстроятся в ряд. Затем просто найдите соответствующую запись в списке слов. Повторяйте этот процесс, пока у вас не будет достаточно слов для вашей ключевой фразы.

Мы рекомендуем использовать пароль точно в том виде, в котором он был сгенерирован. Если вы хотите более надежную фразу-пароль, выберите дополнительное слово, используя метод diceware.

Поскольку некоторые слова в списке diceware состоят из двух или менее символов, вы можете получить очень короткую фразу-пароль. Если ваша парольная фраза, включая пробелы между словами, имеет длину менее 19 символов, мы рекомендуем начать сначала и создать новую парольную фразу. Вам также следует начать сначала, если ваша парольная фраза - это узнаваемое предложение или фраза на языке, который вы используете. (Эти ситуации крайне редки.)

Посмотрите FAQ по Diceware, чтобы узнать, как запомнить вашу фразу-пароль.
http://world.std.com/~reinhold/dicewarefaq.html#memory

Необязательный материал, который вам не нужно знать
Для дополнительной безопасности без добавления другого слова вставьте один специальный символ или цифру, выбранную случайным образом, в вашу фразу-пароль. Вот как это сделать безопасно: бросьте кубик, чтобы выбрать слово в вашей парольной фразе, бросьте далее, чтобы выбрать букву в этом слове. Бросьте третий и четвертый раз, чтобы выбрать добавленного персонажа из следующей таблицы:


        
    1 2 3 4 5 6
  1 ~ ! # $ % ^
  2 & * ( ) - =
  3 + [ ] \ { }
  4 : ; " ' < >
  5 ? / 0 1 2 3
  6 4 5 6 7 8 9
Для математического расчета, каждое слово в вашей парольной фразе Diceware дает 12,9 бит энтропии, это есть способ измерения безопасности парольной фразы. Пароль из пяти слов для Diceware будет иметь энтропию не менее 64,6 бит; шесть слов будут иметь 77,5 бита, семь слов - 90,4 бита, восемь слов - 103,2 бита. Вставка случайной буквы добавляет около 10 битов энтропии. Все это предполагает, конечно, что вы действительно держите в секрете свою фразу-пароль.

В разделе часто задаваемых вопросов по Diceware вы найдете гораздо больше информации.
http://world.std.com/~reinhold/dicewarefaq.html
Jump to: