如何安全地生成好记的密码？

Question

TL;DR：鉴于“令人难忘”的密码是总密码空间的一个子集，令人难忘的密码生成器有多安全？与随机密码相比，令人难忘的密码的熵有多大？

每当我需要新密码时，我都会使用一些工具来生成那些更容易记住的密码，但我一直想知道这实际上有多安全。

使用xkcd 随机数生成器可能非常糟糕，cat /dev/random也可能非常好，但是生成令人难忘的密码似乎有点棘手。

每当一个程序生成一个令人难忘的密码时，它只使用可用密码空间的一个子集，我不清楚这个空间有多大。当然，在这种情况下，长密码应该会有所帮助，但是如果程序的“难忘”部分太可预测，那么您的密码最终就不是很好。

我知道的一些工具：

• pwgen -- 看起来不错，但密码不太好记
• Mac 密码助手- 生成令人难忘的密码，但我不清楚这是如何工作的。

更新：感谢您对理论密码熵和可记忆性的洞察，但我也在寻找生成这些密码的实际方面。

在实践中如何选择这样的密码，具体来说：pwgen 或 Mac Password Assistant (MPA) 的熵是多少？例如：如果 MPA 有一个非常小的单词数据库并且可以预测地生成密码怎么办？也许这对我来说有点迂腐，但我很好奇是否有人可以对此有所了解。

更新二：虽然这个问题收到了大量关于密码生成的答案，但没有人讨论这些问题的安全性。问题仍然悬而未决，等待答案。

Answer 1

令人难忘的密码生成器有多安全？

对此很容易给出个人和定性的意见，我认为最好寻求一些定量的答案，以某种方式客观地衡量安全程度。

参见维基百科

考虑到书面英语的熵小于每个字符 1.1 位，[2] 密码短语可能相对较弱。NIST 估计 23 个字符的密码短语“IamtheCapitanofthePina4”包含 45 位强度。这里使用的方程是：[3]

4 位（第一个字符）+ 14 位（字符 2–8）+ 18 位（字符 9–20）+ 3 位（字符 21–23）+ 6 位（大写、小写和字母数字加分）= 45位

使用此指南，要实现 NIST 为高安全性（非军事）推荐的 80 位强度，假设密码包含大写字母和字母数字，则密码需要 58 个字符长。根据分配的熵位数，该方程的适用性存在争议。例如，五个字母的单词中的每个字符都包含 2.3 位熵，这意味着只需要 35 个字符的密码即可实现 80 位强度。 [4]

...

密码短语不同于密码。密码通常很短——六到十个字符。此类密码可能适用于各种应用程序（如果经常更改，如果使用适当的策略选择，如果在字典中找不到，如果足够随机，和/或如果系统防止在线猜测等），例如：

• 登录计算机系统
• 在交互式设置中协商密钥（例如使用密码认证的密钥协议）
• 为 ATM 卡启用智能卡或 PIN（例如，密码数据（希望）无法提取的地方）

但是密码通常不能安全地用作独立安全系统（例如加密系统）的密钥，这些系统公开数据以允许攻击者进行离线密码猜测。[需要引用] 密码短语通常更强大，并且在这些情况下显然是更好的选择。首先，它们通常（并且总是应该）更长——20 到 30 个字符或更多是典型的——使得某些类型的蛮力攻击完全不切实际。其次，如果选择得当，它们将不会出现在任何短语或引语词典中，因此这种词典攻击几乎是不可能的。第三，它们的结构可以比密码更容易记住而无需写下来，从而降低硬拷贝被盗的风险。[需要引用]。然而，如果密码短语没有受到身份验证器的适当保护并且明文密码短语被泄露，那么它的使用并不比其他密码好。出于这个原因，建议不要在不同或独特的站点和服务之间重复使用密码。

这个教区的杰夫阿特伍德也发表了他对这个主题的看法，总结如下

密码短语显然比传统的“安全”密码更有用。它们也很可能更安全。即使是像“这是我的密码”这样的天真的最坏情况密码短语也不是那么容易破解，至少与它们的单个单词等价物（例如“密码”）相比。

对用户来说更容易，对黑客来说更难：这完全不费吹灰之力。我已经在我使用的所有系统上全面采用了密码短语。

更新：

由于有几个人提到 XKCD 并且 XKCD 明确提供了图像嵌入的 URL ...