Diceware

五个表示数字41256的骰子,在最新的电子前线基金会加密词表中代表"monogram"

Diceware是一种使用普通骰子作为硬件随机数生成器创建密码或其他加密变量的方法。密码中的每个单词,需要掷五次六面骰子。掷骰子出现的1到6的数字将组合成一个五位数,例如43146。然后使用这个数字在密码学词表中查找一个单词。在原始的Diceware词表中,43146对应munch。通过连续生成多个单词,可以随机构建一个长密码。

Diceware词表是任何包含65 = 7003777600000000000♠7776个独一无二的单词的列表,最好是用户能够轻松拼写和记忆的单词。词表的内容不需要以任何方式进行保护或隐藏,因为Diceware密码的安全性在于所选择的单词数量,以及单词表的容量。Diceware已经为中文、英语、俄语、法语、德语、日语、意大利语、西班牙语等30种语言编制了词表。

Diceware密码的不可预测性水平可以很容易地计算:每个单词为密码增加7001129000000000000♠12.9 位元的熵 (即 log 2 ( 6 5 ) {\displaystyle \log _{2}(6^{5})} 比特)。最初,在1995年,Diceware的作者Arnold Reinhold认为五个单词 (7001646000000000000♠64.6 位元) 对于普通用户来说是最小长度。然而,2014年Reinhold开始建议至少使用六个单词 (7001775000000000000♠77.5 位元)。[1]

这种不可预测性水平假设潜在攻击者知道三件事:Diceware被用于生成密码,使用的特定词表,以及组成密码的确切单词数量。如果攻击者拥有的信息较少,熵可能大于7001129000000000000♠12.9 比特/词[2] 根据Diceware作者的建议,上述Diceware熵的计算假设每个单词之间使用一个空格分隔。如果单词只是简单地串联在一起,由于冗余性,计算出的熵会稍微降低;例如,三个单词的Diceware短语"in put clammy"和"input clam my"如果去除掉空格就变成了相同的内容。[3]

电子前哨基金会单词表

在2016年,EFF发布了三个英语Diceware备选词表,进一步强调易记性,并避免使用晦涩、抽象或有其他问题的单词;但缺点是典型的EFF风格的密码短语需要输入更多的字符。[4][5]

片段

原始的Diceware词表包含了7003777600000000000♠7,776种可能的五个骰子组合。一个片段:[6] 

...
43136	mulct
43141	mule
43142	mull
43143	multi
43144	mum
43145	mummy
43146	munch
43151	mung
...

例子

Diceware词表例子:[4]

  • dobbs bella bump flash begin ansi
  • easel venom aver flung jon call

EFF词表例子:[4]

  • conjoined sterling securely chitchat spinout pelvis
  • rice immorally worrisome shopping traverse recharger

参见

参考资料

  1. ^ Brodkin, Jon. Diceware passwords now need six random words to thwart hackers. Ars Technica. 2014-03-27 [2023-07-10]. (原始内容存档于2017-09-30). 
  2. ^ Antonov, Petar; Georgieva, Nikoleta. Security Analysis of Diceware Passphrases. Information & Security: An International Journal. 2020, 47 (2): 276–282 [2023-09-20]. ISSN 0861-5160. doi:10.11610/isij.4719. (原始内容存档于2023-09-20). 
  3. ^ Micah Lee. PASSPHRASES THAT YOU CAN MEMORIZE — BUT THAT EVEN THE NSA CAN’T GUESS. the intercept. [2023-07-10]. (原始内容存档于2023-06-28). 
  4. ^ 4.0 4.1 4.2 Change Your Password: This New Word List Makes the Diceware Method User Friendly. Observer. 2016-09-22 [2016-12-04]. (原始内容存档于2022-10-06). 
  5. ^ EFF's New Wordlists for Random Passphrases. Electronic Frontier Foundation. 2016-07-19 [2016-12-04]. (原始内容存档于2023-06-28). 
  6. ^ Diceware wordlist. world.std.com. [2016-12-04]. (原始内容存档于2016-12-05). 
  • Internet Secrets, 2nd Edition. John R. Levine, Editor, Chapter 37, IDG Books, 2000, ISBN 0-7645-3239-1

外部链接

  • 此漫画图 (页面存档备份,存于互联网档案馆)展示了Diceware密码和一般的密码生成器生成的密码的不同点。
  • 英语Diceware页面 (页面存档备份,存于互联网档案馆)有多语言版的diceware词表和定义
  • 一个diceware多词表密码生成器客户端与完整的源代码
  • 基于Web的diceware应用程序,使用加密安全的getRandomValues()函数 (页面存档备份,存于互联网档案馆
  • EFF的diceware英语词表 (页面存档备份,存于互联网档案馆
  • GitHub上的diceware頁面