Skrivet av Qn1f3:
Numer kan jag de flesta utantill och tillämpar fraser framför datorvänligt språk(randomiserade strängar). För att det ska vara lätt att tillämpa minneslekar och få ett flöde vid inmatning. En odödlig klassiker är denna strip från xkcd:
xkcd - Password Strength
Den är väldigt bra skriven/ritad, men 4 ord i passfrasen är lite klent numera, idag är det minimum 6 ord i passfrasen för arkiv och annat som kan utsättas för lång attacktid eller parallell attack med motsvarande bitcoin-riggar i datakraft. Kort sagt man behöver ha entropi på 77 - 80 Bit för att ha anständig attackmotstånd idag (runt 3000 år med 1000 miljarder tester i sekunden...) vilket motsvarar 6 slumpvalda ord ur ett ordlista av 7776 ord (ger 77.55 bit entropi). För inloggning där man blir kickad efter ett antal misslyckade försök så kan man ha färre ord, och då kanske 4 ord är lagom (51.7 bit entropi) .
Det finns i strippen ritat men inte uttalat - att man använder skiljetecken mellan orden, men det behöver inte och bör inte vara just mellanslag, och skrivs orden ihop till en enda sammanhängande textsekvens så försvagas det kraftigt.
Det andra man inte kan trycka hårt nog på - att orden väljs _sant slumpmässigt_, helst med fysisk process som tärningskast, eller datamaskinslump med god slumptalsgenerator i botten.
Hjärnan skall aldrig hitta på ordföljden då det är till stor del är förutsägbart (dvs. omedveten önskan att bilda mening som löper bra i munnen samt väldigt selektiv del av sin ordförråd att välja mellan i huvudet just då) vilket försvagar passfrasen mycket kraftigt.
Om man tittar på passordslistorna med passorden i klarspråk från läckta och crackade passordsdatabaser så är det ytterst få funna passfraser över 3 ord i längd och de som finns har gjort misstaget att använda kända citat/boktexter och/eller bygga orden i menings-form...
'correct horse battery staple' är heller inget man skall använda sig av
(hmm, undra hur många av just denna som faktiskt har använts 'skarpt' och sedan läckt ut i databas-läckor?
...... faktiskt bara 3 st unika enligt https://api.pwnedpasswords.com/range/abf7a med de 5 första värdena i SHA1-hashet som argument i slutet av adressen och man fortsätter sökningen i listan som kommer tillbaka i browsern med abf7aad6438836dbe526aa231abde2d0eef74d42 för just sha1-summan av 'correct horse battery staple', men faktiskt ingen med 'correct-horse-battery-staple' med dd606cd49bbbd06b4c2606fc2449f8fb87975786 som SHA1-hash, medans 'correcthorsebatterystaple' med sha1-hashet bfd3617727eab0e800e62a776c76381defbc4145 fanns i 120 fall.)