Ежедневное вдохновение
Дизайнерское мастерство каждый день.
Работы, отобранные жюри A' Design Award, представленные каждое утро.
Каждое слово выбирается пятью кубиками из списка слов EFF. Наблюдайте за броском.
В 1995 году Арнольд Рейнхольд опубликовал простую, но мощную идею: бросьте пять физических кубиков, найдите полученное пятизначное число в списке слов и повторите, пока не получите парольную фразу. Метод называется Diceware, и его гениальность заключается в наглядности случайности. Вы можете наблюдать за кубиками, проверять результаты бросков и доверять результату, потому что контролируете каждый шаг. В 2016 году Фонд электронных рубежей (EFF) опубликовал улучшенный список из 7 776 тщательно отобранных английских слов: распространённых, различимых, легко пишущихся и устойчивых к путанице.
Пять шестигранных кубиков дают 7 776 равновероятных исходов (6 в пятой степени). Каждый выбор слова из списка EFF, следовательно, несёт log2(7776) = 12,9 бит энтропии. Шесть слов дают 77,5 бит. Семь слов достигают 90,4 бит. Восемь слов обеспечивают 103,4 бита. Эти значения описывают пространство поиска, которое злоумышленник должен перебрать с помощью автоматического подбора. При триллионе попыток в секунду для взлома парольной фразы из шести слов потребуется в среднем 2,4 миллиона лет.
Математика точна, потому что энтропия полностью определяется количеством слов. Добавление одного слова умножает количество возможных комбинаций на 7 776. Парольную фразу Diceware из семи слов в 7 776 раз сложнее взломать, чем фразу из шести слов. Именно этот экспоненциальный рост делает парольные фразы настолько мощными при столь малом количестве компонентов.
Парольная фраза вроде radar clamp trophy pencil bazaar flint содержит 77,5 бит энтропии. По-настоящему случайный пароль эквивалентной стойкости из всех классов символов (заглавные, строчные, цифры, спецсимволы) потребовал бы примерно 12 символов. Критическое отличие: большинство людей могут запомнить шесть обычных слов, прочитав их дважды. Запомнить 12 случайных символов вроде k$9Tm!vX2p#q обычно требует записать их, что создаёт риск физической безопасности. Парольная фраза комфортно хранится в памяти, обеспечивая при этом эквивалентную или большую математическую стойкость.
Каждое слово на этой странице выбирается путём генерации пяти независимых случайных значений от 1 до 6, имитируя пять физических кубиков. Сетка кубиков над парольной фразой показывает точные значения, которые определили каждое слово. Эта прозрачность — основа философии Diceware: источник случайности виден, проверяем и понятен. Ваш браузер создаёт эти значения с помощью crypto.getRandomValues(), Web Cryptography API, определённого W3C. Тот же аппаратный источник энтропии защищает ваши сеансы интернет-банкинга.
Оптимальное количество слов зависит от того, что защищает парольная фраза. Для обычных веб-аккаунтов шесть слов обеспечивают отличную безопасность (77,5 бит). Для ценных аккаунтов — основной электронной почты, менеджеров паролей или ключей шифрования — семь или восемь слов добавляют существенный запас прочности. Для особо конфиденциальных применений десять слов обеспечивают 129 бит энтропии, превышая уровень безопасности 128-битного ключа шифрования.
Diceware — отличное упражнение по теории вероятностей, потому что оно напрямую связывает абстрактные расчёты энтропии с осязаемым результатом. Попросите учеников перейти на /diceware/4 и посмотреть на сетку кубиков. Каждый ученик увидит четыре слова, полученных из двадцати бросков кубиков. Задайте классу вопрос: сколько существует возможных парольных фраз из четырёх слов? Ответ — 7 776 в четвёртой степени (примерно 3,66 триллиона) — обычно удивляет учеников, привыкших думать о паролях как о коротких строках символов.
Для более углублённого упражнения принесите в класс настоящие кубики. Пусть каждый ученик бросит пять кубиков, найдёт слово в опубликованном списке EFF и повторит четыре раза. Сравните физические парольные фразы с цифровыми. Обсуждение того, дают ли физические кубики и цифровые генераторы эквивалентную случайность, открывает путь к концепциям источников энтропии, аппаратной генерации случайных чисел и математическому определению честности. Инструмент не требует регистрации и не обрабатывает данные учеников. Каждая парольная фраза остаётся в браузере ученика.
Генератор Diceware от dice83 работает полностью в вашем браузере. Сервер передаёт эту страницу, включая список слов EFF. Ваше устройство генерирует случайные броски кубиков и выбирает слова локально. Парольная фраза никогда не покидает память вашего браузера. Она не существует больше нигде: ни в логах сервера, ни в базе данных, ни в аналитических системах.
Когда вы делитесь этим инструментом с другом, вы отправляете URL конфигурации, в котором указано только количество слов. Сама парольная фраза отсутствует в общей ссылке. Устройство вашего друга генерирует полностью независимую парольную фразу с помощью собственного генератора случайных чисел. URL содержит конфигурацию инструмента. Ваше устройство хранит секрет.
Поделитесь этим инструментом с друзьями и коллегами. Ссылка содержит только количество слов.
Ежедневное вдохновение
Работы, отобранные жюри A' Design Award, представленные каждое утро.
