Outil de ligne de commande pour générer des mots de passe mémorables?

20

Je recherche un outil, une ligne de commande ou une interface graphique pour Linux qui génère des mots de passe mémorables.

Un équivalent de ce que je recherche serait des mots de passe que le trousseau Mac OS X peut générer, quelque chose comme apples12$/fourteen. Quelque chose de fort, mais facilement mémorisé par un utilisateur.

James McMahon
la source

Réponses:

22

Depuis, je suis passé à des phrases de passe de style XCKD pour la plupart de mes mots de passe. Voici un liner de commandlinefu pour générer une phrase secrète:

shuf -n4 /usr/share/dict/words | tr -d '\n'
James McMahon
la source
2
en fait, il y a un problème avec ce one-liner: il peut utiliser des mots comme "le", "eux", "leur" et "fossé", "iris", "il". Voyez-vous le problème? Il y a un chevauchement entre les préfixes et les suffixes, ce qui réduit l'entropie réelle du mot de passe généré et peut conduire à des mots de passe assez faibles si les chaînes ne sont pas assez longues (surtout avec 4 mots). C'est pourquoi les générateurs de mots de passe basés sur des mots utilisent des listes de mots spécialement conçues. Certes, les mots de passe générés avec ce qui précède sont assez bons: 14 caractères minimum dans mes tests, avec une taille médiane de 34. Mais leur entropie n'est pas fiable.
anarcat
Quel est le problème avec les préfixes / suffixes qui se chevauchent? Je peux comprendre votre point sur la longueur, mais vous devrez expliquer l'autre point.
James McMahon
simplifions à l'extrême. vous avez un Dictionnary fait sur trois mots: the, meet theme. normalement, vous vous attendriez à ce que l'entropie soit identique à partir de ces trois mots, mais dans ce cas, vous ne pouvez pas compter themecar il s'agit d'une combinaison des deux autres mots. en effet, themeajoute en fait zéro entropie au mot de passe.
anarcat
Mais le «moi» n'est-il pas distinct du «thème»? J'obtiens que les lettres possibles ajoutent de l'entropie, mais cette approche concerne davantage la taille des mots de passe. Je ne comprends pas comment "le thème du moi" serait plus facile à deviner qu'une séquence sans caractères superposés comme "do ray music"
James McMahon
1
@wbg ma réponse est ici superuser.com/a/1246245/177019
anarcat
11

2020: j'ai posté cette réponse en 2011. Au cours des années qui ont passé, le visage de la cybersécurité et ses exigences ont changé rapidement et énormément. Comme l'a souligné anarcat, pwgen peut ne pas (ou plus) convenir à la sécurisation de systèmes haute sécurité. Il s'attache à décrire les détails techniques sur la façon dont pwgen peut, dans certaines circonstances, utiliser des méthodes non sécurisées de dérivation de mot de passe à partir de l'entropie disponible dans son article . Bien que je ne crois plus à générer des mots de passe pour ensuite essayer de m'en souvenir moi-même, je n'ai pas les aptitudes techniques pour valider, et encore moins garantir le contenu de l'article tel que cité, alors veuillez le lire et tirer vos propres conclusions. Cela dit, je suis convaincu que pwgen suffira pour les systèmes à faible sécurité où l'attaque est très peu probable.

Vous voudrez peut-être vérifier l' pwgenapplication. Je sais qu'il est disponible dans les référentiels Ubuntu, Fedora, Debian et Suse.

Depuis la page de manuel :

Le programme pwgen génère des mots de passe qui sont conçus pour être facilement mémorisés par les humains, tout en étant aussi sécurisés que possible. Les mots de passe mémorisables par l'homme ne seront jamais aussi sûrs que des mots de passe complètement aléatoires. En particulier, les mots de passe générés par pwgen sans l'option -s ne doivent pas être utilisés dans des endroits où le mot de passe pourrait être attaqué via une attaque par force brute hors ligne. D'un autre côté, les mots de passe générés de manière complètement aléatoire ont tendance à être écrits et sont susceptibles d'être compromis de cette manière.

Le programme pwgen est conçu pour être utilisé à la fois de manière interactive et dans des scripts shell. Par conséquent, son comportement par défaut diffère selon que la sortie standard est un périphérique tty ou un canal vers un autre programme. Utilisé de manière interactive, pwgen affichera une série de mots de passe, permettant à l'utilisateur de choisir un seul mot de passe, puis d'effacer rapidement l'écran. Cela empêche quelqu'un de pouvoir "surfer" sur le mot de passe choisi par l'utilisateur.

BloodPhilia
la source
3
Les mots de passe comme «Zei7jool» ou «Oowee6ei» ne me semblent pas très mémorables. Peut-être que je manque un drapeau?
James McMahon
3
@James Ils sont générés selon un algorithme qui met les lettres dans un non-sens, mais parce qu'elles sont logiques dans la linguistique humaine, dans un ordre mémorable. Vous devrez probablement faire un effort similaire pour mémoriser le apples12$/fourteenmot de passe. Essayez-le.
BloodPhilia
1
Il crache une liste géante de mots de passe, choisissez simplement le plus mémorable - il y a des joyaux là-dedans ;-)
virtualeyes
4
Les mots de passe pwgen présentent de graves problèmes de sécurité par défaut et ne sont pas très mémorables. utilisez plutôt diceware ou xkcdpass.
anarcat
1
@anarcat merci! J'accepte que pwgen ne soit peut-être pas la meilleure option (plus), mais je laisserai ma réponse avec l'avertissement que j'ai ajouté pour répondre à vos préoccupations en place à des fins historiques.
BloodPhilia
8

Je recommanderais aux gens d'arrêter d'utiliser pwgen - son principal intérêt était de générer des "mots de passe mémorisables par l'homme", mais il a montré plusieurs vulnérabilités en faisant exactement cela. Et l'utiliser pour générer des chaînes complètement aléatoires n'est pas très utile non plus.

J'ai écrit un article détaillé sur ce sujet, mais en gros, l'essentiel est d'utiliser le programme Diceware (ou, si vous aimez Dice, le système de Diceware réel ) ou xkcdpass . Pour générer des mots de passe mémorables forts, j'utilise généralement des logiciels de dés avec le fichier de configuration suivant:

[diceware]
caps = off
delimiter = "-"
wordlist = en_eff

Exemples:

$ diceware
turkey-eligibly-underwire-recite-lifter-wasp
$ diceware
lend-rubdown-cornflake-tint-shawl-ozone
$ diceware
syndrome-ramp-cresting-resolved-flinch-veneering
$ diceware
alto-badass-eclipse-surplus-rudder-quit

Je désactive les majuscules et les espaces car ils génèrent des bruits audibles distincts qui pourraient être exploités par un attaquant. Le -délimiteur est un moindre mal: il serait préférable de ne pas utiliser de séparateur et la liste de en_effmots est spécialement conçue à cet effet. Mais je trouve plus facile de communiquer et de partager des mots de passe lorsqu'ils ont un séparateur.

Pour générer un mot de passe complètement aléatoire, j'utilise la fonction shell suivante:

# secure password generator or, as dkg puts it:
# high-entropy compact printable/transferable string generator
# a password generator would be pwqgen or diceware
pwg() {
    ENTROPY=${1:-20} # in bytes
    # strip possible newlines if output is wrapped and trailing = signs as they add nothing to the password's entropy
    head -c $ENTROPY /dev/random | base64 | tr -d '\n='
    echo
}

Je mentionne cela parce que je pense qu'il est important de mémoriser moins de mots de passe et de s'appuyer sur un gestionnaire de mots de passe pour stocker de grandes chaînes difficiles à deviner. Plus de détails sur la justification de ces choix sont expliqués dans l'article susmentionné et dans mon examen des gestionnaires de mots de passe .

anarcat
la source
4

Essayez 'gpw'. Il produit des mots de passe tels que ceux-ci: ubsonsin morimplo demenump esselymn kidentst anenterg essonsuf iesssssi bestruss tnestese

Description: Générateur de mots de passe Trigraph Ce paquet génère des mots de passe prononçables. Il utilise les statistiques des combinaisons à trois lettres (trigraphes) tirées des dictionnaires que vous l'alimentez. Ainsi, la prononçabilité peut différer d'une langue à l'autre. Basé sur les idées du générateur de mots de passe de Morrie Gasser pour Multics et du générateur de Dan Edwards pour CTSS. La norme FIPS 181 décrit un
générateur digraphique similaire , dérivé de celui de Gasser.

Thomas
la source
0

sf-pwgen est un outil en ligne de commande qui génère des mots de passe à l'aide du cadre SecurityFoundation dans OS X.

vdm
la source