GUIDs sind gute Passwörter?

Vorteile:

  1. Ich kann mich nicht erinnern, "gute" Passwörter trotzdem so die Erinnerung an Sie ist nicht ein Problem.
  2. Sie nicht so Aussehen, wie Passwörter
  3. Sie sind verdammt nahe unmöglich zu erraten (128 bits der Entropie)
  4. einfach zu generieren (entlastet die "guten PRNG" problem)

Nachteile:

  1. ???

Insbesondere, was für Passwörter, die Computer eingeben, wie bei Datenbanken, logins auf einigen setups.

  • Ich glaube nicht, dass ein beschissen PRNG machen ein gutes Passwort... egal in welchem format.
  • wo sind Sie mit dem Passwort ? es gibt Längenbeschränkungen in den Orten; auch die Komplexität der Regeln verletzen könnte -!@£% etc
  • IIRC die meisten Systeme haben gute PRNG für GUIDs und ich habe noch nie ein system gefunden, das würde nicht nehmen Sie eine GUID als ein Passwort.
  • Es gibt Systeme, die alles zu akzeptieren, was Sie geben in das Feld Kennwort das Kennwort, sondern nur die ersten n Zeichen. Längere Passwörter werden automatisch abgeschnitten, bevor die überprüfung. Ich bin sicherlich nicht sagen, das sind gute Systeme, sondern nur, dass es Sie gibt!
  • guter Punkt, Ein verwandter Punkt ist, dass Systeme, die MD5-Passwort auch kürzen Sie die info, nur auf eine andere Art und Weise
  • Punkt 3 ist nicht korrekt. Typische GUIDs enthalten Informationen über Zeit und Ort (in der Regel MAC-Adresse), die Sie geschaffen wurden, an.
  • Mehrad: warum nicht? Was konkret macht Ihnen schlechte Passwörter?
  • Huh? Mit MD5(Passwort) ist eine schreckliche Idee für die Gründe wurden ausführlich behandelt, die anderswo, aber es funktioniert nicht abschneiden, nichts.
  • ein MD5-hash ist 128 bit lang, unter der Annahme einer 60 Buchstaben alphabet, dass etwa 20-22 Buchstaben lang. Also, wenn Ihr Kennwort mehr als 22 Buchstaben lang MD5 verliert information, denn es gibt mehr Passwörter als MD5-Ausgänge, so dass MD5 (von a bruit-force-attach-Sicht) hat den gleichen Effekt wie das kürzen der Passwort.
  • Schauen Sie dies auf security.stackexchange.com ich bin sicher die wurde hier schon beantwortet und das ist technisch off-topic.

InformationsquelleAutor BCS | 2009-04-29
  1. 25

    Einer großen con ist, dass Sie nicht unbedingt "128-bit-Entropie -" wie bereits in der ursprünglichen Frage.

    Viele GUID Algorithmen haben die Informationen in diese eingebettet in wiederkehrende Muster, zum Beispiel die MAC-Adresse des Computers, Datum/Zeit, oder eine inkrementelle Sequenz. Kryptoanalyse der WinAPI GUID hat gezeigt, gegeben der Anfangszustand kann man Vorhersagen, bis zum nächsten 250,000 GUIDs zurückgegeben von der Funktion UuidCreate

    Zum Beispiel habe ich über eine 50% - chance zu raten, die erste Ziffer in der ersten position zu der Dritten Gruppe von Ziffern, da es entweder 1 (für V1 guids) oder 4 (für V4-guids)

    Quelle: http://en.wikipedia.org/wiki/Globally_Unique_Identifier

    • Guter Punkt. Jetzt wenn nur, wenn Sie bekommen können, um den ursprünglichen Zustand aus meinem computer vor 6 Monaten. 🙂
    • Nun, eine Möglichkeit, das zu tun, wäre reverse Engineering es aus Ihrem eigenen Passwort erzeugt, dass die gleichen computer und Algorithmus.
    • Das würde bedeuten, dass sollte man sich die random-Variante, nicht wahr? Nicht ganz 128 bit, aber in der Nähe, mit guten random number generator.
    • Tatsächlich schlägt er nur mit einem random string generator anstatt zu versuchen, Schraube es auf eine GUID-generator, der entwickelt wurde, für einen völlig anderen Zweck.
    • Sehr gute Punkte. GUIDs wurden entwickelt, einzigartig zu sein und nicht willkürlich zu sein und sicher. Es gibt ganz unterschiedliche Methoden zu erstellen, die zufällige Daten.
    • Mehr details von Eric Lippert hier
    • Ich Stimme mit BCS, ein hacker muss nicht der erste Staat, Sie haben einen hash übereinstimmen. Was vielleicht eher interessant ist, ob GUIDs erzeugen gute hashes, d.h. gibt es einige seltsame Mathematik, die bedeutet hashes produziert von GUIDs sind mehr wahrscheinlich zu kollidieren?

    InformationsquelleAutor JohnFx
  2. 13

    Nachteile:

    1. Schreiben Sie Sie nach unten irgendwo.
    2. Sie werden wahrscheinlich per E-Mail, oder schreiben Sie Sie wieder, wenn Sie brauchen, um zu sagen, jemand anderes.
    3. Sie vielleicht zu lang für bestimmte Systeme.
    4. Sie sind praktisch unmöglich zu merken, so dass Sie möglicherweise ändern Sie häufiger dann gewünscht.

    So, es sei denn, Sie sind system-Passwörter, die sich selten ändern, ich bezweifle, dass Sie gute Passwörter.

    • Siehe Punkt 1 und Kommentar zu Miyagi Coder. Ich am Ende mit diesen Fragen trotzdem.
    • So lösen Sie das Problem - erzeugen Sie sichere Passwörter, die Sie sich erinnern können - qu1ckr8dducck!
    • Vereinbart. Nehmen Sie den ersten Buchstaben von jedem Wort in einem Satz, Zitat oder Lied-Lyrik, und verwenden Sie diese. Zum Beispiel "ist das, das Reale Leben ist das nur fantasy gefangen in einem Erdrutsch" wird ittrlitjfcial .. leicht zu merken für Sie, aber ein bisschen schwieriger zu knacken. Fügen Sie in einem persönlichen Regel (capitilaze der 2. Brief, ändern Sie die erste in einen 4 oder das erste e in eine 3, etc..) und Sie haben ein gutes Passwort! iTtrlitjfci4l
    • Frage mich, wie viele Menschen haben iTtrlitjfci4l wie ein Passwort, 3 Jahre später 🙂
    • Mist, ich habe vergessen, über diesem Kommentar. Ich sollte wohl meine banking-Passwort jetzt 🙁
    InformationsquelleAutor Bravax
  3. 8

    Con:

    Wäre es fast unmöglich, sich zu erinnern ein 32-byte alphanumerische Zeichenfolge.

    • Ich erinnere mich nicht an meine Passwörter Weg. Ich lasse ein e-Wallet oder mein browser damit umgehen.
    • 32 bytes, sicher? Angenommen, Sie sind schriftlich als hex. Das ist ziemlich sinnvoll, denke ich.
    InformationsquelleAutor Miyagi Coder
  4. 5

    Wenn Sie wirklich wollen, ein Sicheres Passwort zu wählen, sollten Sie einen passphrase statt. Eine lange passphrase leicht zu merkenden und nur sehr schwer zu brute-force.

    • Siehe Kommentar zu "Die Unbekannte"
    • Fair genug - ich Neige dazu, verwenden, Texte von Lieblingsliedern. Gah, mein Geheimnis ist enthüllt! >.<
    • Nicht, solange du nicht bekannt, welche Art von Musik Sie hören.
    InformationsquelleAutor Bayard Randel
  5. 4

    Con:

    • Einige Systeme haben Grenzen auf die maximale Länge von Passwörtern. Wenn Sie nur mit hex-Ziffern diese können beschränken Sie Ihre Entropie zu vielleicht so wenig wie 32 bit.
    InformationsquelleAutor Greg Hewgill
  6. 1

    Hat jemand jemals brauchen werden, geben Sie es als ein Passwort? Oder möchten Sie verwenden es als eine einmalige Sache? Weil ernsthaft, niemand will geben Sie eine GUID ein passwordfield. Menschen, die Schwierigkeiten haben, genug, wie es ist, die Eingabe von WEP - /WPA2-wifi-Netzwerk-Schlüssel. Und die meisten der Zeit, sind die one-Timer.

    @Miyagi: das ist die offensichtlichste con natürlich. Sie haben, um es aufzuschreiben.

    InformationsquelleAutor pyrocumulus
  7. 1

    Technisch wären Sie gute Passwörter
    Im wirklichen Leben, Sie würde schrecklich sein, Passwörter

    Würden Sie am Ende haben, notieren Sie sich die Passwörter, verwenden Sie einen Passwort-manager, oder irgendeiner anderen form tatsächlich die Passwort - ... in einer Weise bewegen, die Fehler zeigen das Passwort auf einen anderen Aspekt.

    Erwägen Sie die Verwendung von Passphrasen. Sätze mit Substitutionen für bestimmte Buchstaben oder andere Zeichen und zahlen, indem Sie mit der VERLAGERUNG, Umwandlung von leicht zu merkenden zahlen in definierten Sequenzen von Zeichen.

    Beispielsweise bcs19850101bcs wäre bcs!(*%)!)!bcs

    • Ist, dass Sie Ihren Geburtstag im Passwort? jk.
    • auch mit einem system wie, dass, würde ich noch vergessen, den Satz oder bald erschöpft Sätze, die ich erwarten kann, sich zu erinnern.
    • Ich bin bereit zu übernehmen, die physische Sicherheit von meinem computer, so werde ich Sie ignorieren die Probleme von jemand extrahieren Sie das Formular Passwort mein Passwort-manager
    • vielleicht sollten Sie überlegen, einige der Behandlung für Gedächtnisverlust dann?
    • Nicht Gedächtnisverlust. Mehr ein Versagen des Gedächtnisses zu gewinnen!
    • Außer, dass, wenn jemand weiß, dass Sie Ihr Passwort nur Buchstaben und Ziffern mit Scheiße gedrückt, und Sie haben nur 36 möglichen Zeichen - nicht besser als die 36, die wie normale Ziffern.

    InformationsquelleAutor The Unknown
  8. 1

    Nachteile:

    1. Passwort-Felder werden nicht immer lange genug.
    2. Schwieriger zu geben - Sie würde wahrscheinlich bewahren Sie das Kennwort an einem Programm, das nicht in Ihren Kopf. Das ist ein bisschen ein Sicherheits-problem...

    ... Vorteile:

    1. Niemand wird in der Lage sein zu zwingen, Ihr Passwort aus dir raus.

    Big-Zufallszahlen-Passwörtern getan haben, bevor. Sie heißen OTPs, und sind viel sicherer als das, was Sie vorgeschlagen sind, weil Sie im Laufe der Zeit ändern, und neigen dazu, erzeugt werden durch sichere Geräte. Dies ist natürlich nur relevant, wenn Sie entwerfen ein Passwort-system.

    • Bad guy mit der großen Kanone: Sag mir dein Passwort!!! Zu mir: 1CF92C3-CFD3-4a9.... Kein warten, es ist 5A6E6559-AC - ... Ähhh.. sorry, ich kann mich nicht erinnern!
    • Sicherlich, in den "Bad guy mit big gun" - situation, werden Sie WOLLEN, um ihm zu sagen Ihr Passwort... Wie sinnvoll ist die Daten, wenn du tot bist?
    • Ich werde ihm geben das Kennwort, oder in der Lage sein, ihn davon zu überzeugen kann ich nicht, egal, was er macht. OTOH habe ich keine Passwörter lohnt sich der Kauf der Kugel.
    InformationsquelleAutor Artelius
  9. 1

    Wenn Sie wollen, ein Sicheres Kennwort, dass Sie möchten, zu verlassen, um ein Passwort-manager auf einem UNIX-ähnlichen system, Sie sind viel besser, nur zieht man aus /dev/random, und Kodieren Sie Sie in etwas lesbares. für 128-bit-Entropie-Sie können etwas einfaches wie

    head -c 16 /dev/random | openssl enc -a -e

    gibt ein Passwort wie 5eqIviKu4pFTqSPnYosVKg==

    nicht unangemessen lange, sichere, zufällige, Selbstmord zu versuchen, sich zu erinnern.

    Edit: Hinzugefügt Vorteile dieser Methode gegenüber UUID zusätzliche Sicherheit in der PRNG (/dev/random) und kürzere Passwörter, ähnliche Defizite

    • Passt besser in das PW-Feld, aber abgesehen davon, ungefähr das gleiche wie eine GUID. +1
    • Das ist eher der Nähe, um die GUID/UUID, da eine der Varianten erzeugt werden können zufällige Zahl. Etwas kürzer (da base64 drückt 6 bits pro char, standard-UUID verwendet, hex, 4 bits pro char), aber nicht sehr Verschieden.
    • Dieser empfiehlt /dev/urandom
    • Während es wahr ist, dass /dev/urandom wird höhere Qualität Entropie ist es möglich, die drain-pool und block Ihre Bewerbung, wenn Sie erzeugt eine Menge von Entropie.
    InformationsquelleAutor cobbal
  10. 1

    Ich schrieb vor kurzem code zu konvertieren, die ersten 64 bits der Prüfsumme in eine Sequenz von vier englischen Wörter. Dies macht eine gute Prüfsumme (viel leichter zu merken, als eine hex-Chaos), aber ich bin mir nicht sicher, ob ich ihm Vertrauen, wie ein Passwort. Wenn Sie den Schutz etwas sicherer, sollten Sie ein Sicheres Kennwort, das Sie sich einprägen und nicht aufschreiben. Wenn nicht, dann irgendein altes Passwort zu tun.

    InformationsquelleAutor Norman Ramsey
  11. 1

    Ich denke, was Sie eigentlich wollen, ist eine kryptografisch zufälligen Anzahl, nicht eine GUID. GUIDs und UUIDs sind nicht zufällig -- wie JohnFx sagte, Sie neigen dazu, zu übernehmen auffindbar Werte wie die MAC-Adresse oder aktuelle Zeitstempel, um zu garantieren Einzigartigkeit.

    Stattdessen sollte man sich ansehen, was der crypto-API zur Verfügung, um Sie und finden Sie eine Quelle von hoher Entropie Zufallszahlen. Stellen Sie sicher, dass die Dokumentation verspricht die Ausgabe ist geeignet für die Kryptographie, nicht einfach nur ein normaler PRNG. Zum Beispiel /dev/random auf Unix-Systemen ist eine gute Quelle. Dann einfach ausrollen, wie viele zufällige bytes, wie Sie wollen.

    Persönlich scheint das ein wenig zu hardcore. Ich würde eher zu erzeugen strings, die ein bisschen weniger Entropie pro Zeichen, aber sind einfacher zu geben und zu erinnern. Zum Beispiel gibt es mehrere algorithmen zu kombinieren, zufällige Silben zu erstellen aussprechbar Unsinn Worte; einstreuen, einige Ziffern und Satzzeichen, und du hast ein gutes Passwort.

    • Eine MAC-Adresse könnte eine erkennbare Wert, aber ich glaube nicht, dass ein timestamp ist. Bei den meisten könnte ein Angreifer in der Lage sein, zu erraten, der Tag, den Sie erzeugt, den GUID - (noch relativ einfach zu verhindern), aber das lässt immer noch 860 Milliarden (UUID v1 verwendet .0001ms Abständen die Werte überprüfen. Und viele GUID-Generatoren verwenden, andere Samen Quellen, die sind unmöglich für einen Angreifer zu entdecken in der Praxis--wie der "ursprüngliche Zustand" des Systems.
    • Dies ist true zu einem gewissen Grad, aber Kryptographen paranoid sind und nicht möchten, dass Ihre Zufallszahlen zu haben jede Spur von Struktur oder Berechenbarkeit zu Ihnen. (Netscape die erste SSL-Implementierung, die gebrochen war, weil es verwendet die IP-Adresse und Datum/Uhrzeit als Teil der RNG-seed.) Nicht der Missbrauch einer UUID. Verwenden Sie einfach eine API, die gemeint wurde, um zu produzieren, wirklich zufällige zahlen.
    InformationsquelleAutor Jens Alfke
  12. 0

    Ich mag meine Passwörter starke und pronouncable (versuchen Sie eine der Websites hier aufgelistet für eine online-demo, sicher sein zu Holen, eine "v2" - Website, um die Aussprache-guide).

    • Das würde mehr helfen, wenn ich könnte, Zauber ohne Rechtschreibprüfung 🙁
    InformationsquelleAutor Joachim Sauer
  13. 0

    Con: Sie können nicht geben, was bedeutet, dass Sie haben zu kopieren und einzufügen. Wenn Sie Ihren Passwort-management-Programm auf Ihrem system, nicht wirklich ein problem. Aber wenn Sie am Ende auf einem system, wo man nicht einfach eintippen, was sehr schwierig sein wird.

    Dann, nachdem Sie versuchen ein paar mal, die man Sie gesperrt ....

    Leben erhalten konnten, sehr ärgerlich.

    Selbst wenn Sie es aufschreiben, ein gutes Passwort ist etwas, das man geben kann, konsequent ohne Fehler.

    InformationsquelleAutor Yishai
Schreibe einen Kommentar