正しい文法はパスワードのセキュリティにどのように影響しますか？

一般に、パスワードの検索スペースを狭める可能性のある情報は、そのパスワードの強度を低下させます。したがって、理論的には、文法的に正しいパスワードは、無関係な単語の集まりや意図的な文法エラーがあるものよりも潜在的に弱いと想定することは理にかなっています。ただし、その違いを正確に計算することは非常に困難です。

多くのパスワードクラッキングプログラムでは、複雑なパターンを定義できます。たとえば、人々はしばしばパスワードに数字を含める方法として日付を使用することが観察されています。つまり、password1961またはpassword171067（または米国の日付の場合はpassword101767）であるため、一部のパスワードクラッカーは[dictonary-Word] [year ]および[dictionary-Word] [date]。ここで、年/日付の数値は、有効で「期待される」範囲内の数字に制限されます（つまり、年/日付が現在/最近の期間またはユーザーに関連していると想定します）生年月日など）。同様に、パスワードの調査によると、人々はパスワードコンポーネントの境界に「特殊」文字を配置する傾向があります（例：password：1972）。これは、この形式の数字を使用せず、4または6ではなく3、5、7桁の数字を使用することを検討することをお勧めします。特殊/句読文字を追加する場合は、/ unusual /位置、つまりpasに追加します。 sword1972（もちろん、 'password'は使用しないでください:-(

クラッカーとして、文法を使用する際の課題は、それをモデル化する方法にあります。たとえば、英語の文法は非常に複雑です。これが部分的に自然言語処理がそのような課題である理由です。理論的には、文法を十分な精度で定義でき、十分に大きな辞書があれば、/ valid /文の辞書を作成できるシステムを生成できます。ただし、これは非常に大きな検索スペースを表します。パスワードの文字数が正確にわかっている場合、これは検索スペースの削減に役立ちますが、非常に大きくなります。決定する必要があるのは、ランダムな単語が連結されただけの同様の辞書と比較して、そのような辞書をどれだけ小さくするかです。それはもっと小さくなりますが、実用的な違いを生み出すのに十分小さいかどうかは不明です。文法ベースの辞書が50年の平均検索時間を意味し、ランダムなWord辞書が500年の平均検索時間を表す場合、実際には、どちらのアプローチも有用ではありません（時間を短縮できる他の最適化がない場合）実用的なレベル）。

文法ベースの辞書ではなく、引用、有名な詩、歌の歌詞に基づいて辞書を作成するでしょう。私の理論は、人々がフレーズをパスワードとして使用する場合、そのフレーズは覚えやすいものであり、したがって歌、詩、またはお気に入りの引用に基づいている可能性が高いということです。これはさらに小さな辞書になります。課題は、データベースを構築し、十分に包括的であることを保証することです。引用符、歌、詩などのすべてのデジタルリポジトリがあると、おそらくもっと簡単になるでしょう。

個人的にはあまり気にしません。明らかに、よく知られたフレーズを使用しないことが最善であり、ソーシャルエンジニアリングテクニックを介して誰かが識別できる可能性のあるフレーズを使用しないことが非常に重要です。あなたが軍人である場合、有名な軍の引用/スピーチを使用しないでください、あなたがクリスチャンである場合、聖書からの引用を使用しないでください。基本的に、あなたについて何らかの調査を行う人が検索スペースを狭めるために使用できる可能性があるものは使用しないでください。また、できるだけ長いフレーズを使用することをお勧めします。非常に長い既知の引用は、単純に検索スペースが大きいという理由だけで、ランダムな単語の短いセットよりも強力です。

ランダムな単語のセットを覚えている場合は、それを行います。ただし、それができない場合は、文法的に正しいフレーズを使用しますが、できるだけ長くします。パスワードを覚えることは、おそらくそれが強力であることを保証するために重要であるのと同じくらいです。多くのシステムの最も弱い部分はパスワード回復プロセスであることがよくあります。そのようなプロセスを使用する必要がないように、できる限り多くのことを行う必要があると思います。フレーズを逆の順序（または覚えやすい他のパターン）で入力し、単語の間にではなく特殊文字と数字を挿入します。2、4、6桁などの数字のパターンは避け、引用符やフレーズは避けます。あなたと関連付けます。