Điểm:0

Tạo mật khẩu thông qua mã hóa AES ECB mạnh đến mức nào?

lá cờ no

Giả sử rằng tôi muốn sử dụng quản lý mật khẩu "người nghèo" hoạt động như sau:

1. Tôi chọn và nhớ một mật khẩu chính duy nhất (ví dụ: "78HK+jm?329");

2a. đối với bất kỳ ngân hàng, trang web nào, v.v. mà tôi cần truy cập, tôi tạo mật khẩu bằng cách mã hóa bằng AES ECB tên của ngân hàng, trang web, v.v. (ví dụ: "bankmyne") sử dụng cùng một mật khẩu chính làm khóa, sau đó tôi dịch văn bản được mã hóa thành mã hóa Base64 (hoặc mã hóa ASCII hex): kết quả sẽ là mật khẩu truy cập thực tế;

HOẶC

2b. tất cả như trong 2a. nhưng thay vì mã hóa tên của ngân hàng, trang web, v.v., tôi mã hóa một chỉ mục lũy tiến (ví dụ: "bankone" là 001, "banktwo" là 002, v.v.) được chú thích trong sổ ghi chép.

Thuật toán tương tự sẽ mạnh đến mức nào? Nó có giống như cách mã hóa "chuẩn" tất cả các mật khẩu đã chọn không? Sẽ 2b. an toàn hơn 2a.?

A. Hersean avatar
lá cờ cr
Không phải là câu trả lời cho câu hỏi của bạn, mà là kiến ​​thức cho suy nghĩ của bạn: Bạn sẽ làm gì khi một trang web không yêu cầu chữ số trong mật khẩu, hoặc giới hạn độ dài của mật khẩu hoặc yêu cầu bạn cập nhật mật khẩu của mình? Bạn sẽ phải ghi nhớ hoặc viết ra các cài đặt tùy chỉnh cho lược đồ của mình cho nhiều trang web.Vì vậy, tại sao không sử dụng mật khẩu chính duy nhất của bạn với trình quản lý mật khẩu? Bởi vì cuối cùng bạn sẽ cần một cái với kế hoạch của mình (bạn không phải là người đầu tiên có ý tưởng này). Sau đó, chỉ cần sử dụng trình quản lý mật khẩu để tạo ngẫu nhiên các mật khẩu độc lập.
kelalaka avatar
lá cờ in
[KDF1 đôi khi được gọi là KDF của người nghèo](https://crypto.stackexchange.com/q/67280/18298). Và, sử dụng trình quản lý mật khẩu....
Điểm:2
lá cờ kr

Kế hoạch của bạn sẽ mạnh mẽ.

AES ECB có khả năng chống lại các cuộc tấn công giả định. Nếu ai đó biết văn bản thuần túy (trong lược đồ của bạn, đó là tên ngân hàng hoặc tên trang web) và biết văn bản được mã hóa, thì không thể khôi phục mật khẩu của bạn.

Xem câu trả lời tại đây:

Do đó, không ai có thể khôi phục mật khẩu thực của bạn và do đó sẽ không thể tạo mật khẩu của bạn cho các trang web khác. Cách duy nhất là vũ phu. Do đó, độ mạnh của mật khẩu của bạn phụ thuộc vào entropy của mật khẩu ban đầu của bạn. Nếu đó là một từ trong từ điển hoặc nó tương đối ngắn, thì brute-forcing có thể thành công.

Nhưng mà: Xem xét điều gì sẽ xảy ra nếu một số trang web yêu cầu bạn thay đổi mật khẩu. Ví dụ. một trang yêu cầu thay đổi mật khẩu 3 tháng một lần, trang khác hàng năm và một số trang có thể yêu cầu ngẫu nhiên, ví dụ: họ có hệ thống xác thực mới và yêu cầu tất cả người dùng thay đổi mật khẩu của họ. Sau đó, bạn sẽ phải truy cập mọi trang web và thay đổi mật khẩu của mình. Ngoài ra, bạn sẽ cần lưu giữ thông tin mật khẩu ban đầu bạn đã sử dụng hoặc đó là "thế hệ" nào (chẳng hạn như đặt lại mật khẩu thứ hai, đặt lại mật khẩu thứ ba). Như những người khác đã nói trong các nhận xét, trình quản lý mật khẩu có thể hiệu quả hơn nhiều so với việc triển khai chương trình của bạn.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.