web-dev-qa-db-fra.com

Comment générer des mots de passe faciles à taper sans sacrifier la sécurité?

Comment générer un mot de passe facile à saisir mais sans sacrifier la sécurité? Un exemple de mot de passe facile à taper mais qui sacrifie la sécurité (j'imagine) serait qwe123! @ #.

Pour cette question, nous utiliserons une politique de mot de passe assez laxiste mais standard. Disons:

  • 8+ caractères
  • Au moins 1 majuscule
  • Au moins un numéro
  • Au moins 1 symbole

J'espère que cela supprimera un peu l'aspect "convivialité" du vieil adage "La sécurité au détriment de la convivialité se fait au détriment de la sécurité". Je suis conscient qu'un gestionnaire de mots de passe ou quelque chose comme ça serait une solution plus idéale, mais tout le monde n'est pas prêt à intégrer quelque chose comme ça.

** Après avoir lu toutes les réponses et commentaires ici. Mon intention initiale pour "facile à taper" était quelque chose dans le sens de l'un près de l'autre sur le clavier ou en alternant les mains avec des transitions douces entre les deux, c'est pourquoi j'ai accepté la réponse que j'ai faite. Cela dit, les autres réponses (et celle acceptée) m'ont fait réaliser que j'y pensais mal.

passwordsusability
31
Pants

Avertissement: J'interprète littéralement "facile à taper" dans cette question pour signifier des caractères consécutifs ou des modèles de frappe similaires, ce qui est différent des mots de passe "faciles à retenir". Je le signale parce qu'aucune des autres réponses ne semble interpréter la question de cette façon.

Comment générer des mots de passe faciles à taper sans sacrifier la sécurité?

Réponse courte: Ne vous embêtez pas.

La raison en est que cela n'en vaut pas la peine, sauf si vous êtes une dactylo extrêmement lente. Je viens d'essayer une expérience où j'ai choisi deux mots de passe, les deux étaient faciles à retenir et l'un est (apparemment) beaucoup plus facile à taper que l'autre. Afin de mesurer plus facilement le timing avec mon chronomètre, j'ai tapé les deux mots de passe 3 fois et comparé:

Option 1: (12 secondes pour le taper 3 fois)

This password is easy to remember
This password is easy to remember
This password is easy to remember

Option 2: (10 secondes pour le taper 3 fois)

1234qwerasdfzxcv7890yuiohjklnm,.
1234qwerasdfzxcv7890yuiohjklnm,.
1234qwerasdfzxcv7890yuiohjklnm,.

Je l'ai en fait essayé plusieurs fois et le temps indiqué ci-dessus était mon dernier ensemble de 3 pour chacun. Les deux premières fois, j'ai foiré le mot de passe "facile à taper" parce que j'allais trop vite et que je heurtais d'autres clés.

Ma conclusion: il est probable que si vous choisissez une phrase secrète facile à mémoriser, elle ne sera pas beaucoup plus lente à taper qu'une phrase apparemment plus "facile à taper". (Ma moyenne était de 3,3 secondes contre 4,0 secondes.) Ajoutez à cela la probabilité légèrement plus élevée qu'un mot de passe facile à taper puisse se retrouver dans une liste de dictionnaires, et je me déroberais.

13
TTT

Obligatoire "Utiliser un gestionnaire de mots de passe!". Mais vous semblez déjà en être conscient. Continuons.

Il existe un certain nombre d'astuces. D'après mon expérience, "facile à retenir" et "facile à taper" signifie généralement "mots anglais complets"; mes doigts/cerveau ont beaucoup plus de facilité avec les mots qu'avec des séquences arbitraires de caractères. Deux systèmes qui me viennent à l'esprit sont:

Diceware

Prenez-vous une copie des listes de mots Diceware [ Article ], [ large_wordlist.txt ] et lancez des dés! Cette liste de 65= 7 776 mots uniques ont été soigneusement sélectionnés pour être faciles à retenir. Wikipedia donne ces exemples comme mots de passe typiques pour les diceware:

  • conjoined sterling solidement chitchat spinout bassin
  • riz immorally inquiétant shopping chargeur de traversée

Aussi: XKCD obligatoire préconisant des mots de passe de ce style.

Phrase de passe

Je préconise que nous abandonnions le mot de passe de la langue anglaise - car cela encourage les gens à penser en termes de mots simples - et à l'exception de quelques banques particulièrement débiles, tous les systèmes acceptent maintenant les espaces dans les mots de passe, alors pourquoi ne pense pas en termes de "phrases de passe"?

Une astuce intelligente dont j'ai entendu parler est de définir une phrase secrète qui représente un objectif de vie personnelle que vous souhaitez atteindre ou un fait dont vous souhaitez vous souvenir. A) puisque vous tapez votre phrase secrète plusieurs fois par jour, c'est un rappel naturel de faire la chose, et B) une fois que vous avez accompli la chose, vous avez une raison naturelle de changer votre phrase secrète! Voici des exemples qui voudraient naturellement changer après un mois environ:

  • "mettre à jour $% sur mon 401 (k)"
  • "moins de 10 fumées/jour"
  • "Le bébé de Sandy est attendu le 24 août"
  • "Planifiez le 80e anniversaire de Grampa"

[ps. J'attends la guerre des flammes sur cette suggestion. Ma réponse générique: utilisez une phrase de passe plus longue!]

36
Mike Ounsworth

Chaque jour, je dois taper mon mot de passe des centaines de fois. J'ai donc conçu un mot de passe "facile à taper", en suivant ces suggestions (basées sur ma propre expérience):

1) Mieux si je n'ai pas à utiliser les doigts "pinky" (ils se fatiguent après une longue utilisation). Je suggère d'éviter tout caractère ou symbole à l'extrême gauche ou à l'extrême droite du clavier. Pour cette raison, il ne faut pas utiliser autant de lettres majuscules (vous devez utiliser votre petit doigt pour la touche Maj, n'est-ce pas?).

2) Les lettres majuscules doivent pouvoir être saisies avec votre main droite (si vous êtes droitier) ou avec l'index et le majeur de votre main gauche. La raison en est qu'il est facile (pour moi) d'utiliser le décalage vers la gauche que vers la droite (car il est plus éloigné du centre). Essayez ceci: Shift + q semble ajouter de la pression à votre main, par rapport à Shift (main gauche) + P (main droite).

3) Si vous pouvez taper votre mot de passe d'une seule main, c'est mieux. Parfois, j'ai une de mes mains occupée, et taper Shift + 7 avec une seule main peut ne pas être aussi confortable. Je dirais que si vous allez utiliser des lettres majuscules, essayez de les garder près de la touche Maj.

4) Les lettres adjacentes sont faciles à taper (par exemple: hj dans un clavier QWERTY) mais sont généralement plus faciles à faire une erreur (jh au lieu de hj). Ma suggestion ici est d'essayer de ne pas utilisez des caractères adjacents au milieu ou à la fin du mot de passe pour éviter les erreurs.

5) Le flux est également important. J'ai trouvé qu'il est facile de taper quelque chose lorsque toutes les lettres/chiffres/symboles se déplacent d'un côté à l'autre (comme jouer du piano). Si vous commencez à gauche et que vous finissez à droite du clavier (ou vice-versa). Il peut également être plus facile de taper d'une seule main. Par exemple: 9641 vs 9164 (avec la main droite)

6) Si vous alternez les mains pendant la frappe, c'est plus facile (à mon humble avis). Par exemple: "jspenro" vs "jkustwp". Essayez de garder jusqu'à 2 caractères par main. La plupart des mots anglais sont comme ça (les mains alternent naturellement).

7) Pas si important, mais si vous êtes capable de le taper sans le regarder un plus. Un de mes mots de passe, je ne le connais même pas, mais je peux le taper très rapidement (comme je ne le répète pas dans ma tête), je laisse juste mes mains le faire pour moi: Mémoire procédurale

Les points ci-dessus fonctionnent pour moi, mais ils peuvent ne pas fonctionner pour les autres. Si vous cherchez un mot de passe facile à saisir par vous-même, essayez mes suggestions. Sinon, respectez ce qui a déjà été suggéré: utilisez un gestionnaire de mots de passe.

8
lepe

Les mots de passe du dictionnaire sont le chemin à parcourir. Wikipedia suggère que rendre une stratégie prévisible n'est peut-être pas la meilleure solution, mais dans ce cas, elle l'est.

De Wikipedia Information Theory/Entropy :

Par exemple, l'entropie d'un tirage au sort est de 1 shannon, tandis que pour m lancers, il s'agit de m shannons. En général, vous avez besoin de log2 (n) bits pour représenter une variable qui peut prendre l'une des n valeurs si n est une puissance de 2. Si ces valeurs sont également probables, l'entropie (en shannons) est égale au nombre de bits. L'égalité entre le nombre de bits et de shannons n'est valable que si tous les résultats sont également probables

Donc, si tout est également probable, je suis tout aussi susceptible de mettre "a" ou "2" ou "<" pour une valeur, alors les options et la longueur sont tout ce qui compte. Cela dit, il y a beaucoup plus de mots que de lettres + chiffres + symboles dans n'importe quelle langue. Assez pour qu'un mot de passe de 4 mots l'emporte facilement sur un mot de 10 caractères.

Pour montrer la différence:

26 lettres dans l'alphabet, 10 chiffres, peut-être 15 symboles = ~ 50 options. Mot de passe à 10 caractères = 9,76 x10 ^ 16 options. Si notre ordinateur devine 4 millions par seconde, une estimation grossière et généreuse, nous sommes à environ 775 ans pour deviner le mot de passe. Assez sécurisé. Et, nous pouvons nous souvenir confortablement d'environ 7 caractères, 10 est faisable, en particulier grâce à la répétition de style mot de passe.

C'est avec 10 caractères, tous également pondérés en probabilité, ce qui est raisonnable car il est probable que ce soit du charabia que nous devrons avoir le dos droit de la main pour nous souvenir initialement.

À partir de ce:

1) La longueur du mot de passe est importante dans ce cas. Chaque personnage augmente considérablement la sécurité. Un mot de passe plus long est toujours mieux. Si, par exemple, nous avons réduit notre mot de passe à 7 caractères, nous sommes à un temps maximum maigre de 2,25 jours pour craquer avec 50 options pour chaque caractère.

2) Mais disons que si je crée un mot de passe comme le décrit la bande dessinée XKCD, rien n'empêche quiconque de lancer un dictionnaire avec un mot de passe comme "souvenez-vous des bois perdus d'éléphants". Dites si j'utilise John the Ripper, qui a ~ 3000, avec une option pour faire chaque pluriel ou pour couper un s s'il se termine par un, alors peut-être ~ 6000 mots. S'il y a 4 mots dans mon mot de passe alors 6000 ^ 4 possibilités = 1,3 x10 ^ 15, 10 ans

Assez sécurisé. Et, John the Ripper ne voulait pas vraiment casser le mot de passe:

agrafe de batterie de cheval correcte

Jean l'éventreur utilise des mots de passe courants. Si commun que seul le "cheval" apparaît réellement là-dedans. Disons que si j'utilise suffisamment de mots inhabituels que les dictionnaires de crackers n'anticipent pas, la dernière option est une attaque de dictionnaire légitime.

Si j'utilise le dictionnaire par défaut de Fedora, avec un très complet 500 000 mots, pour un mot de passe à 4 mots, il y a 6,25 x10 ^ 22 possibilités que nous sommes à environ 0,5 milliard d'années de temps de fissuration. Mais il n'est pas farfelu de dire que cela pourrait être réduit à au plus 25% de sa taille, surtout si des mots courants comme `` bonne alimentation de la batterie pour chevaux '' sont utilisés. Donc, 125 mille possibilités. Pourtant, 2,44 x 10 ^ 20, ce qui représente environ 2 millions d'années.

Et si nous pouvions le réduire à% 1? Donc 5000 mots. C'est 6,25 x 10 ^ 14 possibilités, presque le même nombre qu'avec l'attaque de John the Ripper, environ 5 ans max. Est-il vraiment possible de le réduire à 1%? Probablement pas si les mots les plus courants ne sont pas utilisés.

Mais cela dépend aussi des délimiteurs d'espaces. Si j'ai

azkaban_P0tter * flubber st @ ple Ensuite, nous avons détruit la première égalité de bits dans la conversation des shannons, mais ajouté une quantité insurmontable de variables même si l'attaquant anticipe complètement cette tactique.

De plus, si un dictionnaire plus petit, disons 200 000, pouvait être utilisé, le réduire à 1% est toujours maximum 45 jours, et éviter les mots les plus courants et utiliser différents délimiteurs de mots augmenterait considérablement cette durée, et lancer un ou deux mots dans une autre langue si c'est facile.

7
flerb

Jetez un oeil à ce post, je pense qu'il est très lié à ce que vous avez demandé ici:

XKCD # 936: mot de passe complexe court ou longue phrase de passe du dictionnaire?

De plus, c'est une question très théorique, je veux dire que chacun trouve des choses différentes plus difficiles à taper, je suppose que "qwe123" est en effet "facile à taper" mais certains diront que leurs noms/choses qu'ils aiment sont aussi des mots de passe "faciles à taper" . Vous pouvez également interpréter "facile à taper" à "facile à retenir", c'est ce que vous voulez dire (?)

À mon avis, un mot de passe facile à taper sans sacrifier la sécurité est d'abord long, et que quelque chose auquel vous seul pouvez penser (et si vous utilisez les méthodes que vous mentionnez à l'intérieur, cela augmenterait la sécurité du mot de passe bien sûr) .

3
MercyDude

Je passais par la même pensée dans mon esprit et je suis venu avec asdff3F#, asdffF3#, asdff9F(, asdffF9(, etc.

J'ai considéré ce qui suit:

  1. Nous plaçons les doigts de la main gauche sur asdf, l'utilisation des mêmes caractères pour les alphabets nous aidera à ne pas déplacer la main gauche.
  2. Utiliser le petit doigt droit pour cliquer sur shift.
  3. Le déplacement est minimum si l'on déplace le majeur de l'une ou l'autre main (je peux atteindre 3 avec le majeur gauche et 9 avec le majeur droit).
0
Karanam Bharadwaj Sharma