読みやすいパスワードのセキュリティ

正確に答えるのは難しい質問です。ここではTheodore T'so 's pwgen （v2.07）実装のみを参照します（_pwgen -A0_）

これらの発音可能なパスワードでは、単一の文字ではなく、「 phonemes 」を「記号」として使用します（英語のバイアス）pwgenで、音素は1文字または2文字にすることができます。 40が定義されており（_pw_phonemes.c_に）、25は単一の文字（az、 "q"を除く）、15はペア（diphthongs）、平均文字数音素は1.375です（子音/母音の交替により使用中の1.425に近い）。

音素はランダムに結合されていません。これはもちろんトリックです。pwgenには、（大まかに）次のように、最終結果を発音可能にするルールがあります。

1. 一部の音素はWordを開始できません（2つの音素を除く）
2. 一部の音素は母音をたどることができません（13母音音素、8音素を除く）
3. 子音を選んだら次に母音を選ぶ
4. 母音を選択したこと：前の母音の後、二母音で、またはランダムに（60％）次の子音を選択
5. そうでなければ、次の母音を許可します
6. 二重母音（2文字）を最後の文字として選択することはできません（最も明白な副作用は、qが二重母音「qu」としてのみ表示されるため、パスワードが「q」で終わることはありません。）

（あなたがそれに基づいて順列の正確な数を公式化できるなら、よくやった！）

[a-z]パスワードの「記号」は1文字です。発音可能なパスワードの場合、1文字または2文字の音素です。

長さがNの[az]パスワードの場合、シンボルごとに4.7ビット（lg2(26)）があり、その推定エントロピーはシンボルごとに_26^N_または2^(4.7*N)です（4.7ビットあたり-キャラクター）。

音素の場合、シンボルごとに5.3ビット（lg2(40)）があり、長さnのパスワードの推定エントロピーは_40^n_または2^(5.3*n)（3.9ビット/文字）。 m記号の音素パスワードは、（上記のルールによる逸脱を無視して）平均1.375m文字になります。

2つのタイプのパスワード（平均して同じ長さn = 1.375mを持つ）の最大エントロピーの推定は、26^(1.375m)および_40^m_によって概算できます 前者はより速く成長します ^*、そしてあなたの主張を証明します（長さnの発音可能な単語の数は明らかに26 ^ n未満です）

最低限、この方法で作成された発音可能なパスワードは、同等のエントロピーを得るために、ストレート[a-z]ランダムパスワードよりも約20％長くする必要があります。推定される利点は、発音可能はおそらく覚えやすいことを意味するので、人間にとっては、長いパスワードは実際には覚えやすくなります。

発音能力による制約により、これはさらに制限されます。

数値の差を見積もるのはよりトリッキーです...うまくいけば、これは「1桁の」近似です。 pwgenの40音素は次のように分類されます。

_20 CONSONANT
 5 CONSONANT DIPTHONG
 2 CONSONANT DIPTHONG NOT_FIRST
 5 VOWEL
 8 VOWEL DIPTHONG
_

_{（ディフトンは、ソースではスペルミスです）。}

上記の規則に基づいて（そして少しの経験的証拠を使用して）、3〜4個の音素（約5文字）パスワードの計算を（大幅に）概算します。パスワードの〜80％は[〜＃〜] c [〜＃〜]onsonant /[〜＃〜] v [〜＃〜]owel音素、つまり_C V C [V ...]_または_V C V [C ...]_、残りの〜20％には母音ペアがあります。例： _C V V C_（子音音素のペアは禁止されています。ただし、特に音素「ng」が原因で、出力文字に出現する場合があります）。 （ここでの問題は、音素から文字数を計算すると問題が扱いにくくなることです。これは単なる順列の問題ではなく、正確な答えが疑われる順列の順列を計算する必要があります）。

最も頻繁な配置を計算して妥当な見積もりを取得するには：

_c v c v = 25*13*27*13   = 114075
v c v   = 13*27*13      =   4563
c v c   = 25*13*27      =   8775
v c v c = 13*27*13*27   = 123201
c v v c = 25*13*5*27    =  43875
v c v v = 13*27*13*5    =  22815
v v c v = 13*5*27*13    =  22815
                         -------
                          340119
_

ここでのマジックナンバーは次のとおりです。NOT_FIRSTのない25の子音（二母音を含む）、27の子音（二母音を含む）、13の母音（二母音を含む）、母音をたどることができる5つの非ディフトン母音

経験的データは、真の数が約15％高いことを示していますが、より多くの順列が含まれている場合、それらは5文字の長さを超え始め、膨らんだ答えを与えます。

ランダムな5文字の[a-z]パスワードには約11.9Mの順列があり、これはその3％未満です。

次に、大まかな概算として、エッジケースを無視し、記号のペアを一度に考慮することにより、長さn文字のpwgen読みやすいパスワードについて、

_P = 767 ^ (n/(2*1.4))
_

ここで、767は_( 27*13 + 13*27 + 13*5 )_、シンボルペアの順列_c v_、_v c_、_v v_、ペアのシンボルの場合は2を超え、1.4は文字長nを音素。 （推定数1.4を累乗すると、この式は小さな変更に対して多少敏感になります。）

767（有効なシンボルのペア）は約2.8文字を消費し、9.6ビット（log2(767)）の有効エントロピー、1文字あたり3.4ビットを消費します。 [a-z]の4.7ビットと比較すると、これらのパスワードを同等の強度、つまり3分の1にするには、全体で約1.35の係数が必要です。

比較のために、pwgen出力でランダムな大文字と小文字の混在を許可すると、1文字あたり最大4ビットに戻るため、長さnのpwgenパスワード（_-A0_なし）は同じ長さ（〜4.7）の[az]パスワードよりも小さい。

（実証的な証明のために、pwgenは長さが> = 5の場合にのみ発音可能な音素を使用することに注意してください。）

パスワードとして使用するには、least50ビットのエントロピー（たとえば、[a-zA-Z0-9] + ASCII句読点、文字あたり6.5ビット。）これは、_pwgen -A0_パスワードの長さが15〜16文字（文字あたり〜3.4ビット）で実現できます。これは、の倍数です同等の長さのパスワードを持つ長さ。

N len語の数（26 ^ n）> n len個の発音可能な語の数> n len個のパスフレーズの数> n len個の英語の語の数。

すべて当てはまります（「n len英語の単語」とは、単一の単語をパスワードとして使用することを意味すると思います）。パスフレーズは、効果を発揮するにはかなり長くする必要があります。おそらく、1文字あたり2ビットです（例：40kワード、平均長8、非関連ワード-関連ワードは低い）。 RFC2289 で使用されているような短い単語の辞書スタイルスキームを修正し、文字あたり最大3ビットを達成しました。

^* Wolfram graph 26^(1.375n) versus 40^nまたはキャッシュされているlog plot 26^(1.375n) versus 40^n for n [0,16]を試してください here