Loading AI tools
来自维基百科,自由的百科全书
密碼片語,又稱助記詞(英語:passphrase)是幾個英文單字或是資料的組合,用在電腦系統、軟件或是資料的存取控制上。密碼片語在使用上的用法類似認證用的密碼(英語:password),但為了安全性的考量,密碼片語的長度會比較長。密碼片語常用來存取加解密相關的軟件以及系統,也用在相關的機能中,特別是由密碼片語中衍生出加密密鑰的機能。密碼片語英文passphrase的起源是模仿password。一般認為現代密碼片語的概念是由Sigmund N. Porter在1982年所提出[1]。
此條目可參照英語維基百科相應條目來擴充。 (2021年12月10日) |
考慮到書面英語的熵小於每字符1.1位,[2]密碼片語安全性相對較弱。NIST已經估計過23字符短語構成的密碼片語「IamtheCapitanofthePina4」包含45位強度。此處使用的方程式是:[3]
(上述計算並沒有考慮這是輕歌劇皮納福號軍艦中的一句名言。藉助crackstation.net,這個密碼片語可在4秒內被破解,表明這個短語可見於密碼破解數據庫。)
在這種指導原則下,要想實現80位強度,即NIST推薦的高安全性(非軍用級安全性),假定密碼片語包含大寫字母、數字字母混合,則它需要長58位。
取決於每字符分配的熵值,這個方程的適用性還有可爭論的餘地。例如,由五個字母組成的單詞,每個字母包含2.3位的熵,就意味着實現80位強度就只需要35字符的密碼片語。[4]
假如密碼片語中的詞彙或成分可在詞典中找到——尤其是能在輸入法中直接輸入的那些——這樣的密碼片語則更容易遭到字典攻擊。當整個短語能在語錄冊或短語集中找到時,這問題尤其明顯。然而,假使密碼片語含有足夠多的詞語,而且這些隨機選擇的詞語在密碼片語中隨機排列,(在時間和成本上)需要的努力就高得不現實。必須在足夠條件下測試的組合數目使得字典攻擊太難,以至於不可行。這些條件很難滿足,可是選取至少一個在任何詞典都找不到的詞語會顯著增加密碼片語長度。
如果密碼片語由人類選擇,它們通常會偏向於自然語言中特定詞語的頻率。在四個單詞組成的短語中,實際熵很少超過30位。另一方面,用戶選擇的密碼可能還要更弱很多,而鼓勵用戶使用哪怕兩個單詞組成的密碼片語都有可能將熵值從不到10位增加到超過20位。[5]
例如,廣泛使用的密碼學標準OpenPGP要求用戶必須構造一個密碼片語,必須在解密或簽署信息時輸入。在線服務,如Hushmail提供免費的郵件或文件共享服務,但實際顯現的安全性幾乎只取決於用戶所選密碼片語的質量。
有關選擇密碼片語的建議通常包含下列幾點:[6]
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.