GUIDs sind gute Passwörter?
Vorteile:
- Ich kann mich nicht erinnern, "gute" Passwörter trotzdem so die Erinnerung an Sie ist nicht ein Problem.
- Sie nicht so Aussehen, wie Passwörter
- Sie sind verdammt nahe unmöglich zu erraten (128 bits der Entropie)
- einfach zu generieren (entlastet die "guten PRNG" problem)
Nachteile:
- ???
Insbesondere, was für Passwörter, die Computer eingeben, wie bei Datenbanken, logins auf einigen setups.
- Ich glaube nicht, dass ein beschissen PRNG machen ein gutes Passwort... egal in welchem format.
- wo sind Sie mit dem Passwort ? es gibt Längenbeschränkungen in den Orten; auch die Komplexität der Regeln verletzen könnte -!@£% etc
- IIRC die meisten Systeme haben gute PRNG für GUIDs und ich habe noch nie ein system gefunden, das würde nicht nehmen Sie eine GUID als ein Passwort.
- Es gibt Systeme, die alles zu akzeptieren, was Sie geben in das Feld Kennwort das Kennwort, sondern nur die ersten n Zeichen. Längere Passwörter werden automatisch abgeschnitten, bevor die überprüfung. Ich bin sicherlich nicht sagen, das sind gute Systeme, sondern nur, dass es Sie gibt!
- guter Punkt, Ein verwandter Punkt ist, dass Systeme, die MD5-Passwort auch kürzen Sie die info, nur auf eine andere Art und Weise
- Punkt 3 ist nicht korrekt. Typische GUIDs enthalten Informationen über Zeit und Ort (in der Regel MAC-Adresse), die Sie geschaffen wurden, an.
- Mehrad: warum nicht? Was konkret macht Ihnen schlechte Passwörter?
- Huh? Mit MD5(Passwort) ist eine schreckliche Idee für die Gründe wurden ausführlich behandelt, die anderswo, aber es funktioniert nicht abschneiden, nichts.
- ein MD5-hash ist 128 bit lang, unter der Annahme einer 60 Buchstaben alphabet, dass etwa 20-22 Buchstaben lang. Also, wenn Ihr Kennwort mehr als 22 Buchstaben lang MD5 verliert information, denn es gibt mehr Passwörter als MD5-Ausgänge, so dass MD5 (von a bruit-force-attach-Sicht) hat den gleichen Effekt wie das kürzen der Passwort.
- Schauen Sie dies auf security.stackexchange.com ich bin sicher die wurde hier schon beantwortet und das ist technisch off-topic.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Einer großen con ist, dass Sie nicht unbedingt "128-bit-Entropie -" wie bereits in der ursprünglichen Frage.
Viele GUID Algorithmen haben die Informationen in diese eingebettet in wiederkehrende Muster, zum Beispiel die MAC-Adresse des Computers, Datum/Zeit, oder eine inkrementelle Sequenz. Kryptoanalyse der WinAPI GUID hat gezeigt, gegeben der Anfangszustand kann man Vorhersagen, bis zum nächsten 250,000 GUIDs zurückgegeben von der Funktion UuidCreate
Zum Beispiel habe ich über eine 50% - chance zu raten, die erste Ziffer in der ersten position zu der Dritten Gruppe von Ziffern, da es entweder 1 (für V1 guids) oder 4 (für V4-guids)
Quelle: http://en.wikipedia.org/wiki/Globally_Unique_Identifier
Nachteile:
So, es sei denn, Sie sind system-Passwörter, die sich selten ändern, ich bezweifle, dass Sie gute Passwörter.
Con:
Wäre es fast unmöglich, sich zu erinnern ein 32-byte alphanumerische Zeichenfolge.
Wenn Sie wirklich wollen, ein Sicheres Passwort zu wählen, sollten Sie einen passphrase statt. Eine lange passphrase leicht zu merkenden und nur sehr schwer zu brute-force.
Con:
Hat jemand jemals brauchen werden, geben Sie es als ein Passwort? Oder möchten Sie verwenden es als eine einmalige Sache? Weil ernsthaft, niemand will geben Sie eine GUID ein passwordfield. Menschen, die Schwierigkeiten haben, genug, wie es ist, die Eingabe von WEP - /WPA2-wifi-Netzwerk-Schlüssel. Und die meisten der Zeit, sind die one-Timer.
@Miyagi: das ist die offensichtlichste con natürlich. Sie haben, um es aufzuschreiben.
Technisch wären Sie gute Passwörter
Im wirklichen Leben, Sie würde schrecklich sein, Passwörter
Würden Sie am Ende haben, notieren Sie sich die Passwörter, verwenden Sie einen Passwort-manager, oder irgendeiner anderen form tatsächlich die Passwort - ... in einer Weise bewegen, die Fehler zeigen das Passwort auf einen anderen Aspekt.
Erwägen Sie die Verwendung von Passphrasen. Sätze mit Substitutionen für bestimmte Buchstaben oder andere Zeichen und zahlen, indem Sie mit der VERLAGERUNG, Umwandlung von leicht zu merkenden zahlen in definierten Sequenzen von Zeichen.
Beispielsweise bcs19850101bcs wäre bcs!(*%)!)!bcs
Nachteile:
... Vorteile:
Big-Zufallszahlen-Passwörtern getan haben, bevor. Sie heißen OTPs, und sind viel sicherer als das, was Sie vorgeschlagen sind, weil Sie im Laufe der Zeit ändern, und neigen dazu, erzeugt werden durch sichere Geräte. Dies ist natürlich nur relevant, wenn Sie entwerfen ein Passwort-system.
Wenn Sie wollen, ein Sicheres Kennwort, dass Sie möchten, zu verlassen, um ein Passwort-manager auf einem UNIX-ähnlichen system, Sie sind viel besser, nur zieht man aus /dev/random, und Kodieren Sie Sie in etwas lesbares. für 128-bit-Entropie-Sie können etwas einfaches wie
gibt ein Passwort wie
5eqIviKu4pFTqSPnYosVKg==
nicht unangemessen lange, sichere, zufällige, Selbstmord zu versuchen, sich zu erinnern.
Edit: Hinzugefügt Vorteile dieser Methode gegenüber UUID zusätzliche Sicherheit in der PRNG (/dev/random) und kürzere Passwörter, ähnliche Defizite
/dev/urandom
/dev/urandom
wird höhere Qualität Entropie ist es möglich, die drain-pool und block Ihre Bewerbung, wenn Sie erzeugt eine Menge von Entropie.Ich schrieb vor kurzem code zu konvertieren, die ersten 64 bits der Prüfsumme in eine Sequenz von vier englischen Wörter. Dies macht eine gute Prüfsumme (viel leichter zu merken, als eine hex-Chaos), aber ich bin mir nicht sicher, ob ich ihm Vertrauen, wie ein Passwort. Wenn Sie den Schutz etwas sicherer, sollten Sie ein Sicheres Kennwort, das Sie sich einprägen und nicht aufschreiben. Wenn nicht, dann irgendein altes Passwort zu tun.
Ich denke, was Sie eigentlich wollen, ist eine kryptografisch zufälligen Anzahl, nicht eine GUID. GUIDs und UUIDs sind nicht zufällig -- wie JohnFx sagte, Sie neigen dazu, zu übernehmen auffindbar Werte wie die MAC-Adresse oder aktuelle Zeitstempel, um zu garantieren Einzigartigkeit.
Stattdessen sollte man sich ansehen, was der crypto-API zur Verfügung, um Sie und finden Sie eine Quelle von hoher Entropie Zufallszahlen. Stellen Sie sicher, dass die Dokumentation verspricht die Ausgabe ist geeignet für die Kryptographie, nicht einfach nur ein normaler PRNG. Zum Beispiel /dev/random auf Unix-Systemen ist eine gute Quelle. Dann einfach ausrollen, wie viele zufällige bytes, wie Sie wollen.
Persönlich scheint das ein wenig zu hardcore. Ich würde eher zu erzeugen strings, die ein bisschen weniger Entropie pro Zeichen, aber sind einfacher zu geben und zu erinnern. Zum Beispiel gibt es mehrere algorithmen zu kombinieren, zufällige Silben zu erstellen aussprechbar Unsinn Worte; einstreuen, einige Ziffern und Satzzeichen, und du hast ein gutes Passwort.
Ich mag meine Passwörter starke und pronouncable (versuchen Sie eine der Websites hier aufgelistet für eine online-demo, sicher sein zu Holen, eine "v2" - Website, um die Aussprache-guide).
Con: Sie können nicht geben, was bedeutet, dass Sie haben zu kopieren und einzufügen. Wenn Sie Ihren Passwort-management-Programm auf Ihrem system, nicht wirklich ein problem. Aber wenn Sie am Ende auf einem system, wo man nicht einfach eintippen, was sehr schwierig sein wird.
Dann, nachdem Sie versuchen ein paar mal, die man Sie gesperrt ....
Leben erhalten konnten, sehr ärgerlich.
Selbst wenn Sie es aufschreiben, ein gutes Passwort ist etwas, das man geben kann, konsequent ohne Fehler.