web-dev-qa-db-ja.com

スマートフォンで簡単に使用できる強力なパスワードを選択するにはどうすればよいですか?

スマートフォンで入力するのは面倒です。特殊文字は最も難しいです。小文字が最も簡単です。しかし、「正しい馬のバッテリーの定番」のような長い文字のパスフレーズでさえ、スマートフォンで入力するのは困難です。

私は通常、コンピューターでLastPassを使用しており、文字、数字、記号を組み合わせた長いパスワードを生成します。例:「5&8fjmYyb4 ^ Vd2n」。私はこれらのパスワードを読んだりタイプしたりする必要がないので、どんなパスワードでもかまいません。

ほぼすべてのプラットフォームに対応するLastPassアプリがあります(クール)。 Androidの場合、基本的にはWebブラウザです。たとえば http://Amazon.com にログインしたい場合は、資格情報を入力できます。しかし、Amazonにはいくつかのアプリもあります:Kindle、MP3クラウドプレーヤー、App Storeなど。これらのアプリには独自のログイン画面があります。

Amazon Kindle PCソフトウェアを実行するには、LastPassを使用してAmazonパスワードをクリップボードにコピーし、Kindleソフトウェアのログイン画面に貼り付けます。ただし、Android=でアプリをコピーして貼り付けて切り替えるのは簡単ではありません。「5&8fjmYyb4 ^ Vd2n」と入力するよりも優れていますが、それでも面倒です。

他の2つの明白な例は、TwitterアプリとFacebookアプリです。他にもたくさんあります。

私の電話にはスライド式キーボードが付いているので、数字や小文字に簡単にアクセスできます。大文字といくつかの記号(数字に付いているもの)は、取得が困難です。他の記号は、UIをナビゲートしてそれらを探す必要があるため、非常に困難です。

同様に、KindleにはキーボードとWebブラウザーがあります。どちらも使いづらいですが、場合によってはチケットにすぎません。 Kindle用のLastPassアプリはありません。

理想的には、これらの使いにくいデバイスで簡単に入力できる、強力で覚えやすいパスワードを考え出す方法が欲しいのです。

28
Jay Bazuzi

あなたは実際に答えの一部をすでに持っています:入力を簡単にするために、小文字だけを使用してください。

ここでの秘訣は、使用する文字数を知ることです。たとえば、40ビットのエントロピー(パスワードのかなり高い目標)が必要な場合、少なくともxの文字を26バツ > 240(つまり、9文字)。 9文字で十分ですifそれらは均一に、ランダムに、そして互いに独立して選択されます。あなたの頭の中でそれをしようとしないでください、人間の脳はひどいRNGです。代わりに、良いRNGを使用してください(コイン投げ、サイコロ、/dev/urandom...)そして、それが重要なビットです。結果にstick:9つの文字を受け取り、それらを受け入れて学習します。

「簡単に」記憶できるパスワードが必要な場合は、さらに文字が必要です。たとえば、10文字のシーケンスを100個生成し、最も満足できるシーケンスを維持できます。以来2610 > 100 * 240、40ビットのエントロピーを取得します。

関連する数学の詳細については この質問 (暗号固有のstackexchangeサイトにあります)を参照してください。

11
Thomas Pornin

うーん、あなたはすでにあなたがすでに考えているようです それ すべて知っている馬。私の経験では、(小文字のパス-フレーズ複数の単語からなる)は、特別なアプリなしで最も簡単なオプションです-各操作で1文字追加されます(特別な文字とは対照的に、複数の操作で1つの文字が得られます)。

それとは別に、 Keepass という名前の(クロスプラットフォーム)アプリがあり、Android(無料、1.5 +、IIRCの場合)にも利用できます);私はパスワードを前後に渡し、後で消去するクリップボード-したがって、パスワード管理の煩わしさは、パスワードの長さとタイプに依存せず、任意のパスワードの長さを許可します。また、(暗号化された)パスワードファイルをデスクトップと同期するためにDropboxを使用しています。

Blackberryで何をするか(記号を選択するために複数のキーを押したり、大文字と小文字を区別したりするのに悩まされたため)、実際にはわからない長いパスワードを使用しています。キーボードの形状だけがわかります。

大文字または小文字の記号が含まれている可能性があります-実際に確認するために確認する必要があります:-)

(@ThomasPorninの答えに基づいて)私がエントロピーのニーズを満たしていることを確認するために実際に見て、私は良いと思っています-現在のパスワードは16文字です!

5
Rory Alsop

Markus JakobssonとDebin Liuは スマートフォンでのパスワード認証への興味深いアプローチ を提案しています。彼らの提案は基本的に通常のパスワードを取り、それから最初の4文字を4桁にマッピングすることですPIN標準の電話マッピングを使用して(例:ABC-> 2、DEF-> 3)など)。

彼らのアプローチは4桁のPINを生成します。これには長所と短所があります。

  • 主な利点は使いやすさです。携帯電話から簡単に入力できます。これは多くのユーザーにとって大きなメリットになるでしょう。

  • 主な欠点は、明らかに、セキュリティです。4桁のPINは簡単に推測できます。4桁のPINが適切かどうかは、アプリケーション固有です。 。もちろん、4桁のPINを使用してセキュリティを確保するには、攻撃者がパスワードを試行できる速度の制限や、パスワードのランダムな推測を阻止するために、Webサイトでさまざまな手順を実行する必要があります。許可される不正なパスワードの試行回数の制限 その論文 は、これらの適切な手順を実行すると、多くの目的で適切なセキュリティを提供できると主張しています。

論文を読んで、それがニーズに適しているかどうかについてご意見をお寄せください。

2
D.W.

この質問が投稿されてからしばらく経っているので、おそらく時代は変わったでしょう。

多くの携帯電話のパスワードマネージャーには、パスワードマネージャーでパスワードを検索し、ボタンを1回押すだけで入力できる特別なキーボードが含まれています。それらの一部はAndroidでもアクセシビリティ機能を利用して、最小限の対話で自動的にそれを行います。

LastPassはこの機能をサポートするアプリの1つだと思いましたが、そうでない場合は、1Passwordがサポートしていること、PasswordBox(おそらくTrueKey)がサポートしていること、KeePassがサポートしているアプリがいくつかあり、さらにいくつかあります。

この機能を使用すると、アプリの切り替えやコピーアンドペースト(パスワードデータベースがすでに開いている場合)を必要とせずに、任意のブラウザーページおよびログインフィールドを持つすべてのアプリでパスワードマネージャーを使用できます。だから今あなたはあなたのパスワードマネージャーに簡単にログインできるようにする必要があるだけです。まれな長いパスワードエントリを処理するか、PINまたは指紋リーダーなどの短いログインをサポートするアプリを見つけてください。ただし、携帯電話が紛失したり、盗まれ、保存されたデータを保護する手段を講じません。

1
Ben