声に出して読む必要があるパスワードのガイドラインはありますか?
私は最近映画 Olympus Has Fallen を見ました。
多くのアクション映画のように、最後にミサイルが発射され、ヒーロー(マイクバニング、ジェラルドバトラーが演じます)は、災害を防ぐために発射を60秒間リコールします。 (ネタバレ!)
それを思い出す方法はパスワードを挿入することですが、Banningにはパスワードがありません。代わりに、彼はそれを持っている国防総省と無線連絡をしています。
そのため、五角形の人はラジオでマニングのパスワードを読んでいます:「リマ、チャーリー、ハッシュタグ...」。しかし、バニングにはハッシュタグが何であるかについての手掛かりがないので、彼は「何ですか?」と叫ぶ。そして、五角形のペルソは繰り返されます:「ハッシュタグ?」そして時間がなくなっている...そして、国防総省の誰かが「シフト3!」と叫ぶ。
そしてアメリカは救われました...
映画が終わった後、私はその場面についてたくさん考えました。実際には、パスワードが大声で読み取られるケースはめったにありません(ほとんどの場合、それが発生した場合、それは人々がパスワードを共有しているためであり、それは別の 問題 です。 。)。
しかし、ここではパスワードを取得する唯一の方法が電話でそれを言うことであり、それは個人的なパスワードではありません-それはミサイルにアクセスできる人が緊急時にのみ使用されるパスワードですダッシュボードを起動します。
今、私はパスワードにさまざまなガイドラインがあることを知っています:それらを作成する方法 覚えやすいが推測するのは難しい 、どのように 混乱する文字を避ける など。しかし、誰かが出てきました電話で読むパスワードのルールは?私は同意します、それは小さなニッチですが、少なくともハリウッドによれば、それは重要かもしれません…
明確にするために、これは「それを読む方法」ではなく、「読み取ることができるが依然として強力なパスワードを選択する方法」です。
[〜#〜] update [〜#〜]:こちらが the scene で、YouTubeで1:30分です。
解決策は簡単で、すでに広く実践されています。パスワードに特殊文字を使用しないでください。
パスワードが大声で読み取られる場合、失敗する可能性のある多くのステップがあります。
- リーダーはパスワードを正しく読み取る必要があります。それは
(または[または{ですか?それは-または_ですか?それはlまたはIまたは1ですか?それは:または;ですか? - 読者は文字を正しく発音しなければなりません。信じられないかもしれませんが、
"が「括弧」と呼ばれていると信じていない人もいます 。 - リスナーはキャラクター名を理解する必要があります。それは読者と同じ問題です。どちらがバックスラッシュか思い出させますか? 「ダッシュ」と聞こえたら何と入力しますか?
- リスナーはキーボードで文字を見つける必要があります。 Shift + 3? ドイツ (
§)または スペイン (')または フランス (3)から世界を救う必要があると想像してください!
ASCII文字セット )には95の印刷可能な文字があります。これは、PCキーボードで見つけることができるすべてです。Macまたはモバイルデバイスでは、一部のASCII文字は入力が難しい場合があります。( フランス語Mac で|を入力してみてください。)n個の印刷可能なASCII文字でランダムなパスワードを生成する場合、 95ん 組み合わせ。パスワードをC文字のみを含む小さな文字セットに制限する場合、可能な限り多くの組み合わせ(つまり、エントロピー)を得るには、パスワードを長くする必要があります。 Cありメートル 長さmのパスワードなので、Cを達成する必要がありますメートル ≥95ん、つまり、m≥n×log(95)/ log(C)。乗法因子のいくつかの値は次のとおりです。
- 大文字と小文字のいずれかと数字のみを使用:m≥1.103 n。 n = 9までは、もう1文字追加するだけで十分です。
l、o、O、0、1を除く、大文字と小文字のいずれかのみの文字を使用する:m≥1.127 n。これで、n = 7まであと1文字で十分です。 n = 8の場合、m = 9では強度がわずかに低下します。- 小文字と数字のみを使用:m≥1.271 n。たとえば、7つの任意のASCII文字の代わりに、この制限付きの9文字が必要になります。n= 8の場合は、m = 11(または、わずかに問題なければm = 10が必要です。強度を下げます)。
l、o、0、1を除く、小文字と数字のみを使用:m≥1.314 n。 n = 7の場合は、m = 10が必要です。n= 8の場合は、m = 11が必要です。- 小文字のみを使用:m≥1.398 m。 8つの任意のASCII文字ではなく、同じ強度を実現するには12文字の小文字が必要です。
この場合、パスワードを電話ですばやく伝える必要があるので、上記の2番目のオプションまたは最後のオプションのいずれかを使用します。または、1つのケースの文字に固執する(パスワードを約40%長くする必要がある)。
多くのシステムは、大文字と小文字が混在したパスワードを課しています。 これは逆効果になることで有名です 。セキュリティのために重要なのはエントロピーであり、このエントロピーのエンコードに使用される文字の選択ではありません。使いやすさのために、文字の選択は適切であり、ある程度まで(パスワードが長くなりすぎるところ)は少ない方が良いです。
マイクロソフトはすでに、プロダクトキーのアルファベットでこのようなことをしています。彼らは特徴的な文字のサブセットを選択し、混乱や不快な言葉につながる可能性のある文字を除外しました。
使用される24は次のとおりです。2346789BCDFGHJKMPQRTVWXY
未使用の12個は:015AEILNOSUZ
ハイフン文字は5つの文字グループを区切るために使用されますが、重要ではありません。
プロダクトキーは、読みやすいようにハイフンで区切られた5つの文字グループに分かれています。各グループの5番目の文字は独立したチェック文字として機能し、5つのグループが正しく入力されたことのみを確認します。 (これは単なるチェックサムであり、そのグループが有効なパスワードの一部であるかどうかを示すものではありません。)
これがあなたに関係するのは、パスワードを生成している場合、これらは話されているか入力されたかにかかわらず完全に明確である可能性があるためです。誰もが「ああ、それともゼロ?」 「二人?発生した問題を引き起こす可能性のあるシンボルはありません。さらに、ケースの問題を回避するために、それらをソフトウェアで大文字に変換します。そして、それらはラテンアルファベットを使用するすべての言語に共通です。
欠点は、可能なシンボルが24個しかない場合、1つの文字で予測できないのは4.8ビットのみであることです。同等のセキュリティを確保するために、パスワードは大文字、小文字、数字、記号を使用できるパスワードの3倍の長さにする必要があります。これに、チェックキャラクター用にさらに20%を追加します。これにより、すべての128ビットパスワードは35文字の長さ、つまり5つのグループからなる7つのグループになります。 (Microsoftの5つのグループスキームは、96ビットの不確実性を提供します。)
ICAO/NATO音声アルファベット は、dやb、nのように、スペルが似ている文字を区別するために主に使用されますおよびm。他のすべての特殊文字は綴ることができず、独自の名前を持っています。
#は、ポンド記号またはハッシュ記号です。&これはアンパサンドなどです。
オーストラリアのアマチュア無線サービス緊急通信には それについて説明するトレーニングマニュアル があります。
アルファベット音声学:アルファ、ブラボー、チャーリー、デルタ、エコー、フォックストロット、ゴルフ、ホテル、インド、ジュリエット、キロ、リマ、マイク、11月、オスカー、パパ、ケベック、ロミオ、シエラ、タンゴ、ユニフォーム、ビクター、ウィスキー、X線、ヤンキー、ズールー。
数字の音声学:ゼロ、ウン、トゥー、トゥーリー、フォーワー、フィイイブ、シックス、セブン、アテ、ニナー。
句読点:フルストップ、コンマ、スラッシュ、ダッシュ、コロン、セミコロン、引用符、引用符なし、大括弧、大括弧を閉じる、アットマーク。
その他のソース 必要なほとんどすべての特殊文字もリストします:
「読み上げる」とは、一連の「音声記号」を順番どおりに発音することです。これらの記号を発音したときに明確にしたい場合。私たち人間がそのようなシステムを持っているのは偶然です。それはwordsと呼ばれます。私が文を話すとき、それは多くの言葉で構成されています。彼らの脳はそのようなことをするために彼らの初期の幼児期から高度に訓練されているので他の人は理解に問題がありません。
したがって、必要なのは、簡単に分解できる単語の素敵な「アルファベット」と、単語を入力した文字に変換するための規則です。 Alpha = A、Bravo = B、Charlie = C ...の規則は、26文字のシンボルのセットであり、それぞれが1文字としてエンコードされています。 26のリストでランダムに生成された各シンボルは、約4.7ビットのエントロピーに相当します(26は2にほぼ等しいため)4.7)、ターゲットセキュリティレベルの適切なエントロピーに到達するために必要な数だけ生成します。核ミサイルの発射を含め、20文字でほとんどの目的に十分対応できます(94ビットのエントロピーです。80ビットを超えるものは本当に良いです)。
別の同様の方法は 有名なもの で、これは「correcthorsebatterystaple」のようなパスワードにつながります。この場合、2048語が含まれていると想定される(コミック内の)「一般的な単語のリスト」があります。これらはあなたのシンボルです。それぞれが11ビットのエントロピーに相当します(2048 = 2であるため)11)、8ワードで88ビットという非常に快適なレベルになります。記号とキーストロークの規則は、次のとおりです。Word全体を入力します。このようなパスワードには、ランダムな文字列よりも覚えやすいという簡単な利点があります。ただし、それらはより多くのキー入力を意味します。
シンボルリストが長いほど、混乱が生じる可能性が高くなります。たとえば、「バッテリーの定番」と言いますが、行の反対側の秘密エージェントは「バットトライストアップル」を理解しています。また、アメリカの核の安全性がフィールドエージェントのスペルスキルに依存しているという考えは望ましくありません。彼は素手で敵のスパイを斬首することについて高度な訓練を受けていますが、「バッテリー」が「バッテリー」ではないことを知っていますか「?パスワード入力フィールドにスペルチェッカーが含まれているようなものではありません...
したがって、「読み上げる」ことができる最良のパスワードは、ランダムな文字のシーケンスであると考える傾向があります。数字のシーケンスも使用できます:数字あたりのエントロピー(3.32ビット)は少なくなりますが、電話回線を通じて一部の低賃金のオペレーターにクレジットカード番号を読み取ることについては何十年にもわたる経験があり、これでうまくいきます。いずれの場合も、すべてのパスワードの場合と同様に、ランダム性が最高になります。各シンボルを他のシンボルとは無関係にランダムで均一な選択にし、エントロピーの目標に到達するために必要なだけ蓄積します。
PGPワードリスト は、音声の区別のために慎重に選択された2×256ワード(2セットはエラー検出方法として使用されます)で構成されます。たとえば、E582 94F2は「最高のイスタンブール冥王星バガボンド」になります。