Pełne ujawnienie: Pracuję dla firmy, która dystrybuuje takie karty. Ta odpowiedź jest jednak moją osobistą opinią o nich.
Pomysł tych kart jest taki, że niektórzy użytkownicy po prostu bardzo źle zapamiętują hasła lub frazy hasła. Naiwnym podejściem byłoby mówienie użytkownikom: „Po prostu lepiej zapamiętaj hasła”, ale doświadczenie pokazało, że taka rada przynosi efekt przeciwny do zamierzonego w przypadku niektórych użytkowników.
Ich pamięć wydaje się być zaprogramowana na stałe, aby tylko przypominać proste słowa, które prawdopodobnie mają coś wspólnego z ich pracą. Więc ktoś pracujący w fabryce samochodów może zapamiętać słowo takie jak Engine
.
Engine
to oczywiście okropne hasło - zarówno pod względem długości, jak i entropia. Tak więc „Kryptonizer” lub podobnie nazwane karty próbują dodać oba z nich.
Długość jest dodawana przez przedrostek, w tym przypadku 4uR =?
. Natychmiast zwiększa długość hasła o 5 znaków, zmieniając 6-znakowe hasło do 11-znakowego. Nie idealne, ale ulepszone.
Entropia jest dodawana przez zastąpienie każdego znaku losowo wybranym znakiem. Nie do końca zmiana 1: 1, ale wystarczająco blisko. Ponieważ każda karta jest unikalna, nie można zbudować gotowej reguły, jak zmieniać każdą frazę słownikową.
W tym przykładzie Engine
zmieniłby się w 4uR =? 1YFFY1
. Czy to dobre hasło? Prawdopodobnie nie świetny, ale na pewno dużo lepszy niż Engine
.
Problemy z tym schematem
Oczywiście nie jest to doskonały system. Dobrego hasła nie można zastąpić małą papierową kartą. Ponieważ trzy znaki wejściowe są mapowane na jeden znak wyjściowy, wynikowe hasło traci entropię zamiast ją zyskać. Zysk w postaci entropii netto jest taki, że atakujący nie mogą już tak łatwo używać ataków słownikowych. Aby to zrobić, musieliby uzyskać dostęp do mapowania lub przeprowadzić wyczerpujące wyszukiwanie. Jeśli napastnik wie, że taka karta została użyta, może to wykorzystać na swoją korzyść, aby przyspieszyć wyczerpujące wyszukiwanie.
Ponadto oczekuje się, że użytkownicy zatrzymają swoją kartę, a wielu prawdopodobnie pozostawi ją włączoną biurko, pod klawiaturą lub w podobnych złych miejscach. Jeśli zgubią swoją kartę, prawdopodobnie stracą też hasło. Będą potrzebować nowej karty i zmienią również hasło, co nie jest dobre dla użyteczności.
Podsumowanie
Czy to dobry system? Ostatecznie powiedziałbym, że trzeba to oceniać w kontekście tego, do czego jest przeznaczony. Jest to pomoc dla określonej grupy użytkowników, którzy w innym przypadku użyliby bezbożnych, okropnych haseł. Moim zdaniem pomaganie użytkownikom w wyborze nieznacznie lepszych haseł za niewielką cenę to dobra rzecz. Oczywiście nie jest to srebrna kula, która w magiczny sposób rozwiązuje problem przechowywania i generowania danych uwierzytelniających.
Jeśli to możliwe, zawsze używaj menedżera haseł, pozwól mu generować długie hasła o dużej entropii i przechowywać je dla Ciebie w bezpieczny sposób.
Jeśli nie jest to możliwe (np. w przypadku logowania do systemu operacyjnego), polecam albo użycie Diceware, albo utworzenie długiego, bezsensownego zdania, takiego jak TheGreenLightFromOurEyesShinesThroughTheMirrorOfTime .
. Upewnij się tylko, że takie zdanie nie pochodzi z książki lub filmu.