最好是用一个句子或句子的第一个字母作为密码？

Question

哪个更好地掌握了KeePass密码，以防止这两种密码之间的任意类型的暴力行为：

• 用户发明的完整句子如下:我喜欢奶酪汉堡，西红柿和薯条！:)
• 每个小写和大写字母的首字母: Ilcb，tAf!:)

编辑:我的犹豫来自一个事实，那就是这个句子确实很长，但是，它是由真词组成的，可以从字典中摘取。

简短回答:

多亏了@Royce Williams，我可以得出结论，最好的密码生成方法是带有一些字符的随机单词：

鞋，西红柿！餐车

Answer 1

两者都不是--它们通常实际上是等价的。

这是因为：

1. 密码破解者非常了解非随机的、人类可以理解的密码，并且可以(而且确实)高速地模拟这两种子类型。
2. 注入令人难忘的附加序列，如"!“而且“：”也是众所周知的和“可模拟的”，而且
3. 任何一种基于密码的构造技术一旦方法被攻击者知道，其有效熵实际上是相同的。

这里最重要的教训是#3，以及为什么原始的蛮力无关紧要:因为这种方法的有效熵--一个现实世界的攻击者必须完成多少工作--远小于蛮力熵。这是因为攻击者熟知朴素的密码记忆策略的心理。

在您的具体方法中，您只需记住八件事就可以记住密码：

• 事实上，您使用的是密码(这是攻击者的免费程序，因为它们将作为一个类攻击密码)。
• 原始短语(喜欢、食物和哪两种食物，大概大约有四条信息)的粗略含义成分(因为这个短语有语法意义，所以对攻击者来说也很容易)。
• 事实上，您使用或没有使用整个单词与前几个字母(因为这里只有几个选项，这对于攻击者来说并不难用完这两个变体)。
• 两个附加物品的位置和位置(攻击者知道人们倾向于把特殊字符的“额外”东西放在最后)。

如果攻击者在密码心理学的历史上根本不知道任何人都会这么做，你就会处于相当好的状态。但是攻击者非常清楚人们是如何看待密码的，以及他们如何将密码“块”成“可记忆的”组件。(换句话说，您的方法不遵循克尔霍夫原理)。

因此，攻击者只需“残忍地”强迫你的密码在心理上可能有效的熵。攻击者不必强暴所有长度为X的可能字符；相反，它们可以通过只尝试使您更容易记住它们的相同可能性来显着地减少必须猜测的内容。

相比之下，最有效的密码短语是随机密码:5或6个单词，完全是从一个单词列表(例如，20,000个或更多的单词) ( 20,000 ^5或3.2x10^21)中随机抽取的。即使攻击者知道您在构建方法方面所做的一切--确切地知道列表中有多少个单词，以及您选择了多少个单词，以及如何将它们分开，等等--这种巨大的可能性也是抵抗暴力的。你只需要记住五个单词--但它们是如此之多，以至于尝试它们都需要非常、非常长的时间。如果你算一算，你很快就会明白的。

(对“在字典中使用单词”的关注是对旧的密码复杂性要求的遗留问题，这些要求试图阻止人们使用字典中的单个单词。基本原则--避免“猜测性”--是一个很好的原则，但在字典中使用大量随机词是完全可以的)

任何密码系统，如果仅仅基于大量的随机性，就会比没有的密码系统强。