Несмотря на популярность парольных менеджеров, никто не отменяет необходимость в реальном запоминании длинных стойких паролей. В крайнем случае, мастер-пароль для самого парольного менеджера ведь надо запомнить.
К сожалению, человеческая память не приспособлена для запоминания абсолютно случайных символов, включая буквы в разных регистрах, цифры и специальные символы. Лучшие профессионалы на чемпионате мира по памяти используют ассоциации и фантазию с выстраиванием сюжета истории, в которой последовательные карты или цифры ассоциируются с различными объектами и действиями. В виде истории можно запомнить очень длинную последовательность событий (случайных символов) с первого-второго раза.
Но существуют более простые методики.
Во-первых, вместо генерации случайных символов можно запомнить несколько слов или длинную последовательность относительно связанных слов (практически та же история с сюжетом). Это обеспечивает достаточную энтропию пароля, то есть стойкость против брутфорса.
Данный метод генерации стал особенно популярным после известного комикса Рэндела Манро о силе паролей:
Автор комикса видоизменяет существующее слово, повышая итоговую энтропию. Помочь в генерации неизвестных (несуществующих) слов для ещё большего повышения энтропии может специальный онлайн-генератор фраз Correct Horse Battery Staple.
Код генератора опубликован на Github, он использует криптографически безопасный генератор случайных чисел , который рекомендует применять вместо стандартного Math.random().
Как вариант, можно придумать или выучить малоизвестное стихотворение, хотя бы нескольких строчек. Большое количество слов должно составить достаточно высокую энтропию в целом, несмотря на относительную слабую энтропию каждого отдельного слова.
Можно упомянуть ещё Diceware — метод генерации парольных фраз с использованием пяти игральных костей (кубиков) в качестве «аппаратного» офлайнового генератора случайных чисел (список слов на русском языке).
Пароль как мелодия
А недавно придумали ещё один интересный метод генерации и запоминания стойких паролей — в виде мелодии. Возможно, многим людям проще запомнить мелодию, чем фразу.
В целом, смысл заключается в использовании символов музыкальной нотации вместо случайного набора абсолютно любых символов. То есть вместо цифр — интервалы, вместо букв — аккорды и т. д.
Вот краткий список доступных символов современной музыкальной нотации для использования в качестве паролей:
- Основной тон: A, B, C, D, E, F, G
- Бемоль/диез: b, #
- Интервалы: 1 → 13, m7, Maj7, sus2, sus4, dim7 и т. д.
- Штриховая линия (бар): |, !, l (строчная L), I (прописная i)
Онлайновый плеер аккордов позволяет послушать, как они звучат. Там же можно посмотреть аккорды известных песен. Если чего то нет в списке, информация доступна в интернете на специализированных сайтах.
В принципе, вместо генерации собственной мелодии-пароля можно использовать существующие. Это обеспечивает дополнительную защиту против забывания. Достаточно просто запомнить, какая конкретно композиция является «донором» для аккордов/нот — и символов пароля. В будущем эту мелодию всегда можно найти в архивах интернета или восстановить по памяти (в случае общеизвестного хита), так что пароль никогда не потеряется, ну а догадаться о таком способе кодирования информации злоумышленникам будет крайне сложно, пока этот метод не интегрирую в John the Ripper и другой софт для интеллектуального брутфорса паролей.
Например, песня Майли Сайрус Flowers представляет чередование пяти аккордов
Am7Dm7GCmaj7
, но это довольно слабый пароль. Другая последовательность аккордов DMaj7|Fsus2|G#9 (Ab9 = G#9)
уже гораздо более стойкая (энтропию можно проверить в сервисе Password Checker от Касперского), но запомнить и воспроизвести её не представляет труда, если один раз сыграть в плеере.Музыкальная нотация для записи мелодии на глиняной табличке из Вавилона (современный Ирак), 1400 г. до н. э., источник
Если подумать, то музыка (пение) изобретено человечеством намного раньше письменности. Так что это даже более органичный для мозга способ восприятия и запоминания информации, чем эти «новомодные и непонятные символы». Ещё несколько поколений назад абсолютное большинство населения Земли было неграмотным. В то же время песням и музыке тысячи лет. Люди узнают знакомые мелодии ещё находясь в утробе матери, этот навык не требует образования. Другими словами, запомнить сложнейший «пароль» способен даже неграмотный человек. Он просто не сможет его записать самостоятельно в современной музыкальной нотации, но сама информация по сути не потеряна, лишь требует расшифровки.
P. S. Если софт для брутфорса начнёт перебирать аккорды как отдельные символы, то энтропию таких паролей придётся считать по иной формуле, исходя из общего количества уникальных аккордов 4017, то есть сочетание двух аккордов даёт 4017² возможных комбинаций, трёх аккордов — 4017³ и т. д. Это уже гораздо более реальные для брутфорса цифры, так что для надёжности в пароль потребуется добавлять и другие символы музыкальной нотации, кроме паролей.
В любом случае, музыка — интересный и необычный формат хранения текстовых данных.