web-dev-qa-db-ja.com

PINのセキュリティは単語を綴りますか?

説明文

Paypal は、PINを数字パッドで生成することで生成されます(例:[ABC] = 2)は、セキュリティと記憶に優れた方法です(例:B-L-U-E-C-O-W = 2583269

パスワードのセキュリティに関する私の知識は限られており、これに関する情報は見つかりませんでした。これらのPINは完全にランダムではありませんが、少なくともPINが通常保護するもの(わずか4〜8の数値)と他の手段ではそのような限られた試みに対して、(単語によっては)非常に安全であるように思えます†。

†0と1は文字にマッピングされていないため、これらをランダムに散在させる必要があるかもしれません

ご質問

  1. 単語を綴るPINのセキュリティについて何か直接言うことはできますか?

  2. これらの種類のPINに関して調査または攻撃は行われましたか?

2
Klorax

あなたが探しているコンセプトは「エントロピー」とパスワードの選択プロセスです。

PINの場合、人々はよく知られている数字またはパターン(11111066(英国では非常に一般的)、1337(ゲーマー男性に人気)など)を使用する傾向があります。これらはエントロピーが非常に低く、簡単に推測できます。これらはpassword1と同等です。選択プロセスを人間に任せると、デフォルトで覚えやすいものになり、他の多くの人々も使用するようになります。

人々に考えさせるanother PIN=選択プロセスはエントロピーを高めるのに役立ちます。もちろんランダムが最善ですが、プロセスを単語に変換すると選択オプションの範囲が広がります。

数値セットは同じ(8文字0〜9)なので、単純なブルートフォースは同じですが、既知のパターンではプロセスが非常に高速になります。

したがって、ランダムPIN選択は実際には起こり得ない可能性が高く、人々はより良​​い方向へのナッジが必要であることを認識しているPIN選択プロセス、意味のある日付やPINの再利用よりもはるかに優れています。

5
schroeder