Dicewareは長いパスフレーズよりも安全ですか？

パスワードは覚えやすく、推測しにくいものである必要があります。 AviDがかつて述べたように 、ユーザビリティを犠牲にしてセキュリティを確保すると、セキュリティが犠牲になります。パスフレーズは、最初はランダムに見えるかもしれませんが、ユーザーにとって何らかの意味があるため、覚えやすいです。使いやすさを見ると、パスフレーズの方が優れています。サイコロや単語のリストが必要ないので、パスフレーズを自分で考えて覚えやすくなります。

ただし、サイコロとランダムな単語のリストを使用すると、ほぼ完全にランダムなパスワードになります。ユーザーへのリンクはなく、ほとんどの場合（真にランダムでない限り）パスフレーズはユーザーに関連するもので構成されていました。

オンラインのパスワードチェッカーは、コンピューターがパスワードを推測するのがどれほど難しいかを確認することしかできません。この場合、文章（またはこの場合はパスフレーズ）は別の人間が簡単に推測できる可能性があります。あなたの例では、ダイスウェアが生成するパスワードの長さはパスフレーズよりも短いですが（ただし、現在のセキュリティ標準と比較すると非常に長いです）、自分で言ったように、必要に応じてより長いパスワードを作成できます。

私はダイスウェアが常に優れているとは言いませんが、それは間違いなくよりランダムであり、特定の場合に優れているパスフレーズと同じ長さを持つことができます。

Dicewareの方がパスワードよりも「優れている」と言及するその陳述には、理論的な正当性が添付されていないため、評価が困難になります。しかし、私はそのような正当化の1つを思い付くことができます：ダイスウェアはサイコロを使ってランダムにパスフレーズを生成するための手順を備えており、これは生成された出力が少なくともを持っていることを保証します最小量のエントロピー（推測が困難）。ログ以来₂（6）は約2.6であり、ダイスウェアはサイコロ1回転あたり少なくとも2.6ビットのエントロピーを提供します。

一方、「ブルーライトが小さなバニーから湖に輝く」のような長い自然言語のパスフレーズがパスワードクラッカーにとってどれほど難しいかを推定する明確な方法はありません。人々は通常、それが長いと自動的に強くなるのでそれを想定しますが、それは真実ではありません。 このArs Technica非常に長いパスフレーズの解読に関する記事 は、その点で非常に有益です。

[ケビンヤング]はセキュリティ研究員のジョシュダスティンと力を合わせ、クラッキングデュオはすぐにオンラインで見つかったより長い単語の文字列を試すことに専念しました。彼らは小さく始めました。彼らはUSA Todayから1つの記事を取り、選択フレーズを分離して、パスワードクラッカーに入力しました。数週間以内に、彼らはウィキペディアの全内容と Project Gutenberg の最初の15,000作品を含むように情報源を拡大しました。ほぼ即座に、Stratforからのハッシュと、数か月間クラックされずに残っていたその他のリークが減少しました。そのようなパスワードの1つは「crotalus atrox」でした。それは西部のダイヤのガラガラヘビの学名であり、 このWikipediaの記事 の厚意によりWordリストに掲載されました。成功は、ヤングとダスティンにとってはひらめきのようなものでした。

ダスティン氏は、「人間にとってはコンピュータにとって意味のある力ずくではなく、人間が使うものに基づいてこれらの長いパスワードを作成するため、人間を使ってみましょう」と考えた。 「私は基本的にウィキペディアで記事を書いた人を使って言葉をまとめました」

ほとんどすぐに、かつて頑固なパスワードの洪水が明らかになりました。 「あなたの顔がまた見えるか？」 （36文字）、「最初は言葉だった」（29文字）、「創世記から啓示まで」（26）、「何も覚えていない」（24）、「thereisnofatebutwhatwemake」（26）、「givemelibertyorgivemedeath」（26 ）、および「eastofthesunwestofthemoon」（25）。

手順が強力なパスフレーズを与える理由についての健全な理論なしに、長いパスフレーズを無邪気に選ぶだけの場合、それらはあなたが考えもしなかったいくつかの攻撃に対して脆弱かもしれません。一方、ダイスウェアを破壊することは、少なくとも25以上のダイスの目を推測するのと同じくらい難しいため、ダイスウェアはブルートフォース以外には何の影響も受けません。

以下の2つのパスワード例の強度を比較するためにzxcvbnを使用しましたが、パスフレーズはDicewareパスワードよりも安全であるように見えました。

ここで、私は詳細に述べたポイントを繰り返します 別の質問に対するこの回答 ：

• パスワード強度メーターは、パスフレーズが弱いことを最終的に証明できます。
• ただし、メーターがモデル化していない攻撃に対してパスフレーズが脆弱になる可能性があるため、そのようなメーターはパスフレーズが強力であることを証明できません。

たとえば、 zxcvbn —これは全体的に優れたツールですが、実際に使用するために設計されたわけではありません—このパスフレーズの数世紀を推定しています。

password:   Am i ever gonna see your face again?
guesses_log10:  31.35342
score:  4 / 4
function runtime (ms):  5
guess times:
100 / hour:   centuries (throttled online attack)
10  / second: centuries (unthrottled online attack)
10k / second: centuries (offline attack, slow hash, many cores)
10B / second: centuries (offline attack, fast hash, many cores)

しかし、これは上記のArs Technica記事の引用から取ったものなので、知っています実生活でひび割れている。 zxcvbnの見積もりが間違っているという独立した証明があります。

zxcvbnの分析により、cleft cam synod lacy yr wokにguesses_log10値26.22025が与えられます。これは、技術的にはAm i ever gonna see your face again?の推定値よりも弱いです。しかし、25のサイコロを投げることで生成した5ワードのダイスウェアパスフレーズの場合、少なくともログがあることを独立して証明します。₂（6）×25 = 64.5ビットのエントロピー（対応するguesses_log10値は19.4に近くなるため、zxcvbnは間違いなくその強さを過大評価しています）。

あなたのパスフレーズBlue Light shines from the small Bunny onto the Lake.については、それがあなたの直感以外に強い理由についての独立した議論はありません。それは、あなたがそれをStack Exchangeに投稿したという事実によって損なわれます（したがって、次のように使用できます） Arsの記事で説明されているような攻撃の入力）。多分それは強いかもしれませんが、Dicewareのようなシステムが具現化する哲学は、あなたはパスワードの強さを直感に基づくべきではなく、最小限のエントロピー保証を与える実際のランダムな手順に基づいてはならないということです。

Diceware（tm）は、いくつかの目標を満たすことを目的としています。

セキュリティユーザビリティ規定

セキュリティは、ランダムなワード選択によって実現されます。他の人が指摘しているように、リストまたは単語からランダムに選択されたパスフレーズのエントロピーは簡単に計算できます：（パスフレーズの単語数）* log2（リストの単語数）。サイコロを使用すると、コンピューターの乱数ジェネレーターの品質に関する懸念がなくなります。

単語を短くすることで、使いやすさが向上します。ダイスウェアワードの最大長は5文字です。これにより、特にモバイルデバイスで、Dicewareパスフレーズを正確に入力しやすくなります。また、パスワードで保護されたシステムの多くは、許可されるパスフレーズの長さを制限しています。 NISTのパスワードガイドラインの新しいバージョンであるSpecial Publication 800-63Bでは、最大64文字を許可することを推奨していますが、多くのシステムではこれより少ない文字数を許可しています。完全な英語辞書など、はるかに大きなリストから生成された長いパスフレーズは、NISTの制限を超えることさえあります。

規範性。 StackExcangeを読んでいる場合、実際には安全なパスフレーズを作成するのに十分に技術的に優れている場合があります。多分。ただし、安全なパスワードを作成するために他の多くのユーザーに依存している場合、一般的なガイダンスを使用してすべてのユーザーが安全なパスワードを発明する可能性はわずかです。ダイスウェアは完全に規範的です。誰もが指示に従って強力なパスフレーズを作成できます。