Điểm:2

Thuật toán để giáo dân tạo mật khẩu cá nhân là gì

lá cờ bo

Tôi sẽ dạy cho khán giả về các thuật toán. Tôi muốn cung cấp cho họ một cái để tạo mật khẩu cá nhân duy nhất cho các trang web.

  1. Họ có thể bắt đầu với tên miền của trang web và "từ" bí mật của riêng họ.
  2. Thuật toán sẽ đủ đơn giản để ghi nhớ. Nếu không, họ có thể phác thảo sơ đồ của tôi ở mặt sau của danh thiếp hoặc thứ gì khác vừa vặn trong ví.

Có những câu hỏi tương tự trên trang web này; đối với tôi, các câu trả lời đã cho thậm chí còn mờ đục hơn cả hàm băm mật mã.

Nhưng một số người đã chỉ ra Chức năng Băm không thể phá vỡ bằng máy tính của con người (HCMU) của Blum, như đã được triển khai đây. Các vấn đề là (a) Blum cho biết sẽ mất một giờ để ghi nhớ thuật toán và (b) Tôi không thể đọc Python.

Có phương pháp nào phù hợp với các tiêu chí này không?

CHỈNH SỬA CHÍNH: Tôi chợt nhận ra rằng mình đang nhận được những câu trả lời sai bởi vì tôi đang hỏi sai câu hỏi.

Mục đích của tôi không phải là cung cấp cho lớp học (người lớn, không phải trẻ em) một thuật toán mật khẩu. Đó là để cho họ thấy làm thế nào để tạo của riêng họ thuật toán. Điều đó có thể giảm thiểu vấn đề "thuật toán bị rò rỉ".

Tôi có thể nói điều gì đó như:

"Bạn có thể sử dụng tên miền.MySecretWord. Đó là một ví dụ tồi, bởi vì [một số lý do rõ ràng]. Một cách tốt hơn sẽ là DomainName.MySecretPhrase.NumberOfLettersInDomainName, nhưng ____

Cuối cùng, tôi sẽ kết thúc với một cái gì đó như

"Lấy các yếu tố này; quyết định xem bạn có muốn thêm bất kỳ yếu tố bổ sung nào không; sắp xếp chúng theo các bước sau, nhưng trước tiên hãy quyết định thứ tự bạn muốn thực hiện."

Điều đó có tốt hơn không?

Điểm:4
lá cờ in

Không, bởi vì bất kỳ thuật toán dễ nhớ nào cũng sẽ không tuân theo nguyên tắc Kerckhoff. Về cơ bản, bạn sẽ có một thuật toán bí mật mà nếu nó bị rò rỉ, tất cả mật khẩu của bạn sẽ bị lỗi. Rất có khả năng nhiều người sẽ chọn cùng một thuật toán.

Thay vào đó, hãy sử dụng trình quản lý mật khẩu đã được xác thực để hiển thị lượng entropy (có thể xảy ra) và tạo mật khẩu ngẫu nhiên.Bạn vẫn có khả năng dựa vào một mật khẩu (mặc dù có tồn tại trình quản lý mật khẩu hỗ trợ 2FA), nhưng ít nhất bạn chỉ sử dụng mật khẩu đó trên một số thiết bị và ứng dụng hạn chế.

DocWriter avatar
lá cờ bo
Thuật toán bị rò rỉ sẽ thất bại như thế nào nếu nó phụ thuộc một phần vào một từ bí mật được chọn bởi mỗi cá nhân?
Maarten Bodewes avatar
lá cờ in
Bởi vì từ bí mật đó dường như không có đủ tính ngẫu nhiên để chống lại một cuộc tấn công tìm kiếm từ điển tiêu chuẩn/tấn công vũ phu/tấn công kỹ thuật xã hội có chủ đích.
DocWriter avatar
lá cờ bo
Được chứ. Nhưng yêu cầu cả lớp "sử dụng trình quản lý mật khẩu đã được xác thực" sẽ không giúp tôi dạy họ về các thuật toán. Tôi nên làm gì thay thế?
Maarten Bodewes avatar
lá cờ in
Thay vào đó, bạn có thể chuyển sang tạo mật khẩu ngẫu nhiên và các thuật toán được sử dụng cho điều đó.
Điểm:2
lá cờ cn

Một kỹ thuật phổ biến là xúc xắc với một trong những Electronic Frontier Foundation mới Danh sách các từ.

Nhưng bạn rõ ràng cần xúc xắc. Và đó là vấn đề, bạn cần một số 'thiết bị' có thể cung cấp mức độ không chắc chắn (entropy) tốt. Bạn có thể chọn các từ một cách ngẫu nhiên, nhưng với cả một lớp học, chúng có thể sẽ chỉ tập trung ở giữa.

Ngoài ra, bạn có thể sử dụng việc sử dụng cách tiếp cận ba từ ngẫu nhiên, hiện được chính phủ Vương quốc Anh khuyến nghị sử dụng tại nhà. Chọn ba từ hoặc số hoàn toàn ngẫu nhiên mà bạn chọn. Một sắc thái là nghĩ ra ba từ mô tả cho một thứ gì đó đáng nhớ, chẳng hạn như con nhện cưng yêu thích của bạn. Bằng cách đó bạn có thể tránh được chi phí của xúc xắc.

Chắc chắn ban đầu không phải là các thuật toán phức tạp, nhưng điều đó sau đó sẽ phụ thuộc vào bạn với tư cách là một giáo viên để bổ sung cơ chế khi bạn thấy phù hợp. Phép đo entropy là một nơi tốt để bắt đầu...

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.