Thuật toán để giáo dân tạo mật khẩu cá nhân là gì

Tôi sẽ dạy cho khán giả về các thuật toán. Tôi muốn cung cấp cho họ một cái để tạo mật khẩu cá nhân duy nhất cho các trang web.

1. Họ có thể bắt đầu với tên miền của trang web và "từ" bí mật của riêng họ.
2. Thuật toán sẽ đủ đơn giản để ghi nhớ. Nếu không, họ có thể phác thảo sơ đồ của tôi ở mặt sau của danh thiếp hoặc thứ gì khác vừa vặn trong ví.

Có những câu hỏi tương tự trên trang web này; đối với tôi, các câu trả lời đã cho thậm chí còn mờ đục hơn cả hàm băm mật mã.

Nhưng một số người đã chỉ ra Chức năng Băm không thể phá vỡ bằng máy tính của con người (HCMU) của Blum, như đã được triển khai đây. Các vấn đề là (a) Blum cho biết sẽ mất một giờ để ghi nhớ thuật toán và (b) Tôi không thể đọc Python.

Có phương pháp nào phù hợp với các tiêu chí này không?

CHỈNH SỬA CHÍNH: Tôi chợt nhận ra rằng mình đang nhận được những câu trả lời sai bởi vì tôi đang hỏi sai câu hỏi.

Mục đích của tôi không phải là cung cấp cho lớp học (người lớn, không phải trẻ em) một thuật toán mật khẩu. Đó là để cho họ thấy làm thế nào để tạo của riêng họ thuật toán. Điều đó có thể giảm thiểu vấn đề "thuật toán bị rò rỉ".

Tôi có thể nói điều gì đó như:

"Bạn có thể sử dụng tên miền.MySecretWord. Đó là một ví dụ tồi, bởi vì [một số lý do rõ ràng]. Một cách tốt hơn sẽ là DomainName.MySecretPhrase.NumberOfLettersInDomainName, nhưng ____

Cuối cùng, tôi sẽ kết thúc với một cái gì đó như

"Lấy các yếu tố này; quyết định xem bạn có muốn thêm bất kỳ yếu tố bổ sung nào không; sắp xếp chúng theo các bước sau, nhưng trước tiên hãy quyết định thứ tự bạn muốn thực hiện."

Điều đó có tốt hơn không?

Không, bởi vì bất kỳ thuật toán dễ nhớ nào cũng sẽ không tuân theo nguyên tắc Kerckhoff. Về cơ bản, bạn sẽ có một thuật toán bí mật mà nếu nó bị rò rỉ, tất cả mật khẩu của bạn sẽ bị lỗi. Rất có khả năng nhiều người sẽ chọn cùng một thuật toán.

Thay vào đó, hãy sử dụng trình quản lý mật khẩu đã được xác thực để hiển thị lượng entropy (có thể xảy ra) và tạo mật khẩu ngẫu nhiên.Bạn vẫn có khả năng dựa vào một mật khẩu (mặc dù có tồn tại trình quản lý mật khẩu hỗ trợ 2FA), nhưng ít nhất bạn chỉ sử dụng mật khẩu đó trên một số thiết bị và ứng dụng hạn chế.

Một kỹ thuật phổ biến là xúc xắc với một trong những Electronic Frontier Foundation mới Danh sách các từ.

Nhưng bạn rõ ràng cần xúc xắc. Và đó là vấn đề, bạn cần một số 'thiết bị' có thể cung cấp mức độ không chắc chắn (entropy) tốt. Bạn có thể chọn các từ một cách ngẫu nhiên, nhưng với cả một lớp học, chúng có thể sẽ chỉ tập trung ở giữa.

Ngoài ra, bạn có thể sử dụng việc sử dụng cách tiếp cận ba từ ngẫu nhiên, hiện được chính phủ Vương quốc Anh khuyến nghị sử dụng tại nhà. Chọn ba từ hoặc số hoàn toàn ngẫu nhiên mà bạn chọn. Một sắc thái là nghĩ ra ba từ mô tả cho một thứ gì đó đáng nhớ, chẳng hạn như con nhện cưng yêu thích của bạn. Bằng cách đó bạn có thể tránh được chi phí của xúc xắc.

Chắc chắn ban đầu không phải là các thuật toán phức tạp, nhưng điều đó sau đó sẽ phụ thuộc vào bạn với tư cách là một giáo viên để bổ sung cơ chế khi bạn thấy phù hợp. Phép đo entropy là một nơi tốt để bắt đầu...