この質問 に似た質問があります。私は xkcd のcorrect horse battery staple
の例に精通していますが、歌の歌詞を非常に簡単に覚える頭脳があるので、パスフレーズとして歌の歌詞に傾いています。
さて、correct horse battery staple
の44ビットに匹敵する「許容可能な」セキュリティレベルを提供するために、歌の歌詞で構成されたパスフレーズは少なくともどれくらいの長さでなければならないのでしょうか。トリッキーな部分は、質問のソーシャルエンジニアリング部分です。私が前に歌詞をググったら、1つの回答が言及されたように here のように、自分の軌跡を隠さないことがわかります。しかし、前に述べたように、私は多くの歌の歌詞を暗記しているので、パスフレーズを設定する前にそれらを調べる必要はありません。それでいいですか?
本質的に、私の質問は、ハッカーがパス歌詞を好きになったことをソーシャルエンジニアリングしたという前提で尋ねられます。それが攻撃者にとって既知の事実である場合、通過歌詞はどのくらいの長さである必要があり、それはまた、数字を含む歌歌詞を使用することによる自発的な傷でもありますか?ソーシャルエンジニアリングによる攻撃の場合、後者の部分は間違いなく簡単になりますが、ブルートフォースの場合はさらに難しくなります。
私は質問の曖昧さをよく知っていますが、私が探しているのは基本的な経験則です。現在、私はかなりリスクの低いアカウントにパス歌詞を使用していますが、何かを考えようとしており、correct horse battery staple
は私の愚かな尻の頭には理想的ではありません。
Eidt:私はそれが問題のそのBBC質問の複製であるとは思いません。ある著者が指摘したように、7文字で言語の65%が単語の最初の文字でカバーされています。
パスワードの推測可能性/強度の質問と同様に、おそらく最も重要な要素は「攻撃者は誰か」です。
オンラインパスワード推測攻撃の場合、あなたを知らない攻撃者による最も重要な要素は、アカウントロックアウトが発生する前にパスワードが推測されないようにすることです。そのため、パスワードがトップにない限り、数百のピックの可能性があれば、大丈夫でしょう。歌詞(特に、現在それほど人気がない曲の歌詞)は、ここで推測されることはほとんどありません。
アカウントを持っているWebサイトが危険にさらされており、パスワードデータベースがクラックされているシナリオを考えた場合、そのシステムのアカウントが焼かれている可能性が高いため、他のアカウントのセキュリティを停止するという点で、最も影響を受けます重要な要素は、使用する各サイトで一意のパスワードを使用することを保証することです。曲の歌詞でそれができれば、1つのパスワードが侵害されても影響を受けません。
攻撃者があなたを知っているシナリオを見る場合、特に使用しているスキームを開示している場合は、事態はより危険になります。人気のある歌詞のデータベースを作成し、オフラインパスワードに適用するのは比較的簡単です。しかし、あなたが考慮しなければならないのは、あなたがそうする可能性が高いことを知っている誰かです...
このスキームに関するいくつかの実用的な考慮事項。パスワードクラス(特殊文字など)を適用するサイトで使用すると問題が発生する場合があります。また、パスワードの長さに上限を課すサイトで問題が発生する場合もあります。
申し訳ありませんが、あなたはこれを最初に考える人ではないので、この手法が一部のパスワード解読ソフトウェアで自動化されることは間違いありません。これらの種類のスキームを評価するときは、ハッカーがあなたの生成スキームを知っていると常に想定するのが最善です。
これはどの程度安全ですか? 「spotifyの曲数」をすばやくグーグルすると、3,000万という数が増えました。ランダムな曲( https://genius.com/Tim-minchin-3-minute-song-lyrics )で単語数を数えると、曲の単語数は約483になります。 4つのワードのパスワードの場合、「the the wheel of the」、「wheels of the bus」、「of the bus go」などのように推測できます(これは推測するのに最も賢い方法ではありません。重複を削除するためのハッシュセット)。
より多くの単語を使用しても、実際にはエントロピーがそれほど増加しないことに注意してください。 1曲には483語、2語句は482、3語句は483と続きます。
つまり、3000万* 500 = 150億、つまり33ビットのエントロピー、つまり実際にランダムな単語のパスワード形式よりも2048倍安全性が低くなります。これは、ハッシュセットの最適化のため、セキュリティの過大評価です。
どのような形式のパスワードマネージャでも、この問題は解決されます。現在、パスワードを複雑にしようとしています。歌の歌詞は間違いなくパスワードにとって興味深いアイデアであり、長さだけでも比較的安全ですが、覚えやすい安全なものが必要で、問題が発生しない場合は、パスワードマネージャーを使用してください。
それは、ソーシャルエンジニアリングがどの程度うまく行われているかに大きく依存します。
攻撃者があなたが歌詞を使用していることだけを知っていて、ランダムに歌詞を選択するための100万曲があった場合、リスクの低いアカウントにとっては十分に安全です。
ただし、ランダムに曲を選択することはありません。あなたが聴く曲のほとんどは、比較的狭いジャンルやバンドの曲だと思います。攻撃者が好みの音楽について詳細な知識を持っている場合、曲の数は数百に減り、戦略は非常に不安定になります。
その情報を取得するのは非常に簡単です。友達があなた自身を知らない場合、友達に音楽に関する好みを尋ねることができます。 Facebookで聴いた音楽を共有してSpotifyやLastFMを使用すると、さらに簡単になります。
単語の順序は曲によって定義されるため、フラグメントの長さはもう大きな役割を果たしません。実際、完全な文または行のみを使用している場合は、セキュリティがさらに低下します。
選択した100曲のフルラインを使用していて、各ラインに20の異なるラインが含まれている場合(リフレインラインは1度しかカウントされません)、最終的には2000もの異なるパスワードが生成されます。
これは、「yA」や「UD」などの2つのランダムなラテン文字(大文字と小文字を許可)を使用する場合よりも可能性の低いパスワードです。
要約すると、songtextsをパスワードとして使用することはお勧めできません。
複数の単語のパスフレーズを使用しているため、パスワードは単純なブルートフォース攻撃の影響を受けないほど十分に大きいです。しかし、ここでの弱点は、曲からランダムな4つの単語を使用していないことですが、曲の順序でそれ自体に意味がある真の文を使用すると思います。自動化スキームを4〜8ワード(*)のセンテンスに制限すると、1曲あたりのワード数は5 *以下になります。一般的な曲では数千以下。攻撃のような自動辞書を考えているので、ここではその意味を考慮していません。しかし、そのパスワード方式を標的型攻撃に耐えさせるには、曲が足りないのではないかと思います。
その意味では、この回答はBBCの回答とそれほど変わりません。パスワードを作成するための最良のパターンは、パターンを使用しないことです。これが、パスワードマネージャーがここで素晴らしい評判を持っている理由です。彼らは、真のランダムパスワードの使用を許可します構築によって、あらゆる攻撃に耐性があります... ゴム製ホース マスターパスワードが弱い場合、パスワードマネージャーに対するローカル攻撃が含まれるシリーズ...
(*)4未満ではパスフレーズが本当に短くなり、8を超えるとすぐに手動で入力するのが面倒になります。
かなり重要なことの1つは、どの曲を選ぶかです。進行中の自動化スキームの種類があるとすると、彼らは上位40種類の曲の歌詞を最初に使用してから、あいまいな歌詞を掘り下げます。繰り返しますが、これはあなたを個人的に攻撃する誰かが物事を変更できる場所です。彼らがあなたの音楽の選択を知っている場合、彼らはその角度を取り、彼らの曲の選択を絞り込むことができます。
各単語の2番目の文字を長いフレーズにしたり、特定の文字を数字に変えたりするなど、曲の歌詞に何らかの基本的な変換を行うことができます。それはあなたを標的とする誰かのリスクをかなり減らすでしょう。
代わりに、センテンス句読点を含むを使用し、そのセンテンスの(大文字の)文字のみを使用することをお勧めします。必要に応じて番号を追加します。単語の問題は、単語が辞書に含まれている可能性があることです。そのため、パスワードは思ったよりもはるかに安全でなくなります。
文章を覚えることは実際にはかなり簡単です。このシステムにより、句読点と非Wordの文字が混在した10個を超える長いパスワードが必要になり、重要な場合は最大15〜20個になります。これはもう少し安全で、覚えやすいでしょう。
必要に応じて、歌詞と一緒に使用することもできます。