@nikka: Vad tror du om den här setupen och vad har den för nackdelar?
Jag tror att XKCD:s seriestripp om lösenord har gjort mer för lösenordssäkerheten än någon annan enskild instruktion eller publikation!
Det finns dock en attack som vi måste ha i åtanke när vi följer XKCD:s rekommendation. Att XKCD inte lyfte denna aspekt i seriestrippen är inte så konstigt, eftersom alla aspekter inte kan få plats i några enstaka serierutor. Attacken som jag tänker på är ordlisteattacken. När vi använder ord som förekommer i ordlistor, kan den som vill knäcka vårt lösenord göra det enklare än genom att testa varje enskild teckenkombination. Vi kan samtidigt göra ordlisteattacken orimligt svårt att genomföra genom att välja ett tillräckligt långt lösenord. Det är alltså en god idé att följa XKCD-rekommendationen, så länge det totala lösenordet blir långt.
Det som jag förespråkar i artikeln, "lösenstrunt", är en variation på XKCD-rekommendationen. Genom att använda totalt nonsens (t.ex. primhoppiwestapoffopaff, läs prim-hoppi-westa-poffo-paff) får vi långa lösenord där inte varje enskilt delord förekommer i någon ordlista. Givetvis går det även att gå en kompromissväg mellan totalt lösenstrunt och XKCD-modellen.
Är lösenstruntmodellen helt säker då? Måste attackeraren testa varje enskild teckenkombination för att knäcka ett lösenstrunt? Nej. Inte ens lösenstruntmodellen är så säker. I och med att vi kan läsa upp lösenstruntet följer det våra språkliga regler för kombinationer av bokstäver. Om det finns ett system som vi kan kombinera ihop bokstäver efter när vi bygger lösenstruntet, finns det också ett system som attackeraren kan kombinera ihop bokstäver för att knäcka lösenstruntet.
En omdiskuterad funktion i lösenordshanteraren Lastpass är möjligheten att skapa lösenord (lösenstrunt) som är uttalbara. Då kombinerar Lastpass ihop en nonsenssträng som ändå blandar vokaler och konsonanter på att uttalbart vis. När Lastpass har ett system för att kombinera ihop lösenstruntet, finns det också ett system för att knäcka det.
Detta innebär dock inte att uttalbara lösenstrunt är dåliga. Så länge vi kan skapa tillräckligt långa lösenstrunt blir de fullständigt oknäckbara i praktiken. Längden är det viktiga. Den enda gången jag inte använder lösenstrunt är på undermåliga webbplatser där jag enbart kan ange exempelvis tolv tecken. Då genererar jag i stället en totalt slumpmässig teckenkombination. Annars använder jag alltid långa lösenstrunt.