"Nem nagyon láttam még olyan oldalt, ahol 20 karakteres jelszót kértek volna."
És? Egy megfelelő bonyolultságú jelszó kikényszerítése szükséges. Jelenleg ez általában a 8 karakter k-n-szám. Ha az általad vázolt megoldás lenn az üdvözítő, akkor az arra illeszkedő szabályt kell kikényszeríteni. Mivel a 4 értelmes szóra mocsoknehéz ellenőrzést adni, ezért maradjunk a minimum 20 karakternél. Erre írtam ami írtam. Az hogy te ilyet még nem láttál, annak speciel köze sincs a témához.
"Olyat viszont nagyon sokat, ahol nincs limit." Ennek meg pláne semmi köze a témához.
Kommenteket írni van idő, egy gyors számolásra nincs?
A múltkori topicban elvégeztem a számolást, nem reagáltál. Akkor is ugyanezt a linket tetted be, akkor is elmondtam: nem értem miért így számol, miért kell az entrópia.
62 k-n-szám karakter van. Egy 8 karakteres jelszó tehát 62^8 féle lehet. Illik egyébként hosszabb jelszót választani, minimum 10 hosszút. Ez 839299365868340224 lehetőség. (18)
Common words szerinte van 2048, vegyünk mondjuk 10ezret. 4-et teszünk egymás mellé, ez tehát 10k ^4, azaz 16db 0. Ez tehát egy jeggyel kevesebb. És akkor még tegyük hozzá azt, hogy a minimum 10 hosszú jelszó az lehet több is, ami eléggé megdobja a lehetőségek számát.
A könnyű megjegyezhetőség marad tehát az egyetlen szempont.
Akkor most próbálj meg 5 ilyen jelszót megjegyezni, aztán nem használni 1 hónapig, majd újra elővenni. Az 5 jelszó 20 értelmes szava sem fog eszedbejutni (ha tényleg random szavak), és akkor még rendezni is kéne őket.
A sokszavas módszer akko jó, ha nem elterjedt, és nem tudja a támadó, hogy te ilyet használsz, ezért nekiáll simán darálni, de mivel bazihosszú, sose végez. Ekkor viszont a bonyolultsági követelmények nem erre vannak szabva, tehát alig fogod tudni használni. Ha elterjed és a támadó szótárral megy neki, akkor már nem is nehezebb törni. Nem mintha számítana, mint mondtam, nem így törnek sehol, nem fogják hetekig pörgetni a jelszavad, pláne hogy van egy valag egyszerűbb megoldás is. Ráadásul elég ritka, hogy egy konkrét személy jelszava lenne az érdekes.
És mielőtt ezzel jössz, a random generált, randomnak kinéző jelszavak sem megjegyezhetőek, de nem is nagyon használ olyat épeszű ember. Ha használsz egy általad megjegyezhető, kellően hosszú szót/kifejezést, kicsit megsózod nem triviálisan, akkor bőven jó vagy. Az egy szó megválasztása persze szintén ne legyen triviális.
Pl.: csErEboga0r
És a legjobb megoldás, ha randomnak is néz ki, és csak te tudod, hogy nem az: pl egy versből képzett jelszó ahol a verset tudod fejből. A képzési algoritmus lehet pl minden szó első betűje, a sorkezdők nagybetűk, a sorvégére a szótagszám.
Előnye hogy (ha nem mondod el senkinek), akkor a képzési algoritmust elég egyszer kitalálni, verset amúgy is tudsz ehhez eleget, megjeyezned edig gyakorlatilag alig kel valamit. És míg az előző két verzió esetén ha látom ahogy gépeled(shoulder surfing), akkor nem nehéz lelesni, hiszen értelmes szavak, nem kell minden karakter látnom, akkor is kitalálható, ellenben ennél nem.
De legfőképp: baromira mindegy, hogy milyen a jeszavad, ha 10-12 karakter, értelmes de nem személyhez köthető szó, akkor a fene se fogja kipörgetni. Ha nem átlagember vagy, és van rá esély hogy a koreaiakat érdekli konkrétan a te jelszavad, akkor megfontolandó a bonyolultabb.
Ha konkrétan a te jelszód kell, akkor is egyszerűbb phising, SE, keylogger, stb módszerrel megszerezni. Egy phising vagy vírusként szétküldött keylogger ráadásul nagy tömegekhez olcsón jut el, a nagy tömegből pedig lesz olyan, aki megkajálja.
Nem mellesleg általában nem is jelszót lopnak, hanem hash-t. Vajon miért.
Aki szerint a gonosz hackerek otthon pörgetik az átlag janik FB jelszavait, azoknak a fóliasapit ajánlom.