スマートフォンで簡単に使用できる強力なパスワードを選択するにはどうすればよいですか？

Question

スマートフォンで入力するのは面倒です。特殊文字は最も難しいです。小文字が最も簡単です。しかし、「正しい馬のバッテリーの定番」のような長い文字のパスフレーズでさえ、スマートフォンで入力するのは困難です。

私は通常、コンピューターでLastPassを使用しており、文字、数字、記号を組み合わせた長いパスワードを生成します。例：「5＆8fjmYyb4 ^ Vd2n」。私はこれらのパスワードを読んだりタイプしたりする必要がないので、どんなパスワードでもかまいません。

ほぼすべてのプラットフォームに対応するLastPassアプリがあります（クール）。 Androidの場合、基本的にはWebブラウザです。たとえば http://Amazon.com にログインしたい場合は、資格情報を入力できます。しかし、Amazonにはいくつかのアプリもあります：Kindle、MP3クラウドプレーヤー、App Storeなど。これらのアプリには独自のログイン画面があります。

Amazon Kindle PCソフトウェアを実行するには、LastPassを使用してAmazonパスワードをクリップボードにコピーし、Kindleソフトウェアのログイン画面に貼り付けます。ただし、Android=でアプリをコピーして貼り付けて切り替えるのは簡単ではありません。「5＆8fjmYyb4 ^ Vd2n」と入力するよりも優れていますが、それでも面倒です。

他の2つの明白な例は、TwitterアプリとFacebookアプリです。他にもたくさんあります。

私の電話にはスライド式キーボードが付いているので、数字や小文字に簡単にアクセスできます。大文字といくつかの記号（数字に付いているもの）は、取得が困難です。他の記号は、UIをナビゲートしてそれらを探す必要があるため、非常に困難です。

同様に、KindleにはキーボードとWebブラウザーがあります。どちらも使いづらいですが、場合によってはチケットにすぎません。 Kindle用のLastPassアプリはありません。

理想的には、これらの使いにくいデバイスで簡単に入力できる、強力で覚えやすいパスワードを考え出す方法が欲しいのです。

Thomas Pornin · Answer

あなたは実際に答えの一部をすでに持っています：入力を簡単にするために、小文字だけを使用してください。

ここでの秘訣は、使用する文字数を知ることです。たとえば、40ビットのエントロピー（パスワードのかなり高い目標）が必要な場合、少なくともxの文字を26^バツ > 2⁴⁰（つまり、9文字）。 9文字で十分ですifそれらは均一に、ランダムに、そして互いに独立して選択されます。あなたの頭の中でそれをしようとしないでください、人間の脳はひどいRNGです。代わりに、良いRNGを使用してください（コイン投げ、サイコロ、/dev/urandom...）そして、それが重要なビットです。結果にstick：9つの文字を受け取り、それらを受け入れて学習します。

「簡単に」記憶できるパスワードが必要な場合は、さらに文字が必要です。たとえば、10文字のシーケンスを100個生成し、最も満足できるシーケンスを維持できます。以来26¹⁰ > 100 * 2⁴⁰、40ビットのエントロピーを取得します。

関連する数学の詳細についてはこの質問（暗号固有のstackexchangeサイトにあります）を参照してください。

Piskvor left the building · Answer

うーん、あなたはすでにあなたがすでに考えているようですそれすべて知っている馬。私の経験では、（小文字のパス-フレーズ複数の単語からなる）は、特別なアプリなしで最も簡単なオプションです-各操作で1文字追加されます（特別な文字とは対照的に、複数の操作で1つの文字が得られます）。

それとは別に、 Keepass という名前の（クロスプラットフォーム）アプリがあり、Android（無料、1.5 +、IIRCの場合）にも利用できます）;私はパスワードを前後に渡し、後で消去するクリップボード-したがって、パスワード管理の煩わしさは、パスワードの長さとタイプに依存せず、任意のパスワードの長さを許可します。また、（暗号化された）パスワードファイルをデスクトップと同期するためにDropboxを使用しています。

Rory Alsop · Answer

Blackberryで何をするか（記号を選択するために複数のキーを押したり、大文字と小文字を区別したりするのに悩まされたため）、実際にはわからない長いパスワードを使用しています。キーボードの形状だけがわかります。

大文字または小文字の記号が含まれている可能性があります-実際に確認するために確認する必要があります:-)

（@ThomasPorninの答えに基づいて）私がエントロピーのニーズを満たしていることを確認するために実際に見て、私は良いと思っています-現在のパスワードは16文字です！

D.W. · Answer

Markus JakobssonとDebin Liuはスマートフォンでのパスワード認証への興味深いアプローチを提案しています。彼らの提案は基本的に通常のパスワードを取り、それから最初の4文字を4桁にマッピングすることですPIN標準の電話マッピングを使用して（例：ABC-> 2、DEF-> 3）など）。

彼らのアプローチは4桁のPINを生成します。これには長所と短所があります。

主な利点は使いやすさです。携帯電話から簡単に入力できます。これは多くのユーザーにとって大きなメリットになるでしょう。
主な欠点は、明らかに、セキュリティです。4桁のPINは簡単に推測できます。4桁のPINが適切かどうかは、アプリケーション固有です。。もちろん、4桁のPINを使用してセキュリティを確保するには、攻撃者がパスワードを試行できる速度の制限や、パスワードのランダムな推測を阻止するために、Webサイトでさまざまな手順を実行する必要があります。許可される不正なパスワードの試行回数の制限その論文は、これらの適切な手順を実行すると、多くの目的で適切なセキュリティを提供できると主張しています。

論文を読んで、それがニーズに適しているかどうかについてご意見をお寄せください。

Ben · Answer

この質問が投稿されてからしばらく経っているので、おそらく時代は変わったでしょう。

多くの携帯電話のパスワードマネージャーには、パスワードマネージャーでパスワードを検索し、ボタンを1回押すだけで入力できる特別なキーボードが含まれています。それらの一部はAndroidでもアクセシビリティ機能を利用して、最小限の対話で自動的にそれを行います。

LastPassはこの機能をサポートするアプリの1つだと思いましたが、そうでない場合は、1Passwordがサポートしていること、PasswordBox（おそらくTrueKey）がサポートしていること、KeePassがサポートしているアプリがいくつかあり、さらにいくつかあります。

この機能を使用すると、アプリの切り替えやコピーアンドペースト（パスワードデータベースがすでに開いている場合）を必要とせずに、任意のブラウザーページおよびログインフィールドを持つすべてのアプリでパスワードマネージャーを使用できます。だから今あなたはあなたのパスワードマネージャーに簡単にログインできるようにする必要があるだけです。まれな長いパスワードエントリを処理するか、PINまたは指紋リーダーなどの短いログインをサポートするアプリを見つけてください。ただし、携帯電話が紛失したり、盗まれ、保存されたデータを保護する手段を講じません。