歌曲歌词作为密码

信息安全 密码 社会工程学 密码
2021-09-02 10:32:06

我有一个与这个问题稍有相似的问题我熟悉 xkcdcorrect horse battery staple中的示例,但我倾向于将歌词作为密码,因为我的大脑很容易记住歌词。

现在,我想知道由歌词组成的密码至少应该多长时间,才能提供与correct horse battery staple. 棘手的部分是问题的社会工程部分。如果我事先用谷歌搜索歌词,就像这里提到的一个答案,我知道我并没有掩盖我的踪迹。但是,就像我之前提到的,我知道很多歌词,在确定密码之前不需要查找它们。那对我有好处吗?

从本质上讲,我的问题是假设黑客通过社会工程改造了我对 pass-lyrics 的喜爱。如果这是攻击者已知的事实,那么通过歌词应该多长时间,使用包括数字在内的歌词是否也是一种自我伤害?我想后一部分肯定会让社会工程攻击更容易,但对于蛮力攻击更难。

我很清楚我的问题含糊不清,但我所寻找的只是一个基本的经验法则。现在,我正在为相当低风险的帐户使用 pass-lyrics,但我正在尝试思考一些事情,这correct horse battery staple对于我愚蠢的大脑来说并不理想。

Eidt:我不认为它是那个 BBC 问题的重复,因为我正在考虑整行歌词而不是第一个字母,正如一个 asewer 指出的那样,7 个字母覆盖了 65% 的语言,第一个字母字。

4个回答

与任何密码可猜测性/强度问题一样,最重要的因素可能是“谁是攻击者”。

对于不认识您的攻击者进行的在线密码猜测攻击,最重要的因素是确保在帐户锁定开始之前不会猜到您的密码。只要您的密码不在顶部几百个可能的选择,你可能会没事。歌词(尤其是当前不那么流行的歌曲中的歌词)在这里不太可能被猜到。

如果您考虑您拥有帐户的网站已被入侵并且密码数据库被破解的情况,那么您在该系统上的帐户可能会被烧毁,因此在阻止其他帐户的安全性方面受到的影响最大重要的因素是确保您在使用的每个站点上使用唯一的密码。如果您可以通过歌词做到这一点,那么您将不会受到一个密码泄露的影响。

如果您查看攻击者认识您的场景,事情就会变得更加危险,特别是如果您已经披露了您正在使用的方案。创建流行歌曲歌词数据库并将其应用于离线密码相对容易。但是你必须考虑的是,任何认识你的人都可能这样做……这是一个只有你才能做出的风险决定。

该方案的一些实际考虑。在强制使用密码类别(例如特殊字符)的网站上使用它可能会遇到问题。您可能还会遇到对密码长度实施任意上限的网站的问题。

抱歉,但您不是第一个想到这一点的人,所以您可以打赌,这种技术将在某些密码破解软件中实现自动化。在评估这类方案时,最好假设黑客知道您的生成方案。

那么这有多安全呢?好吧,快速搜索一下“Spotify 上的歌曲数量”,这个数字就达到了 3000 万。对一首随机歌曲(https://genius.com/Tim-minchin-3-minute-song-lyrics进行字数统计483 大约是一首歌中的单词数。对于一个四字密码,您可以这样猜测:“thewheels of the”、“wheels of the bus”、“of the bus go”等等(这不是最聪明的猜测方式,您可以将您的短语放入哈希集首先删除重复项)。

请注意,使用更多的词并不会真正增加熵。一首歌有483个词,有482个2词短语,483个3词短语等等。

因此,3000 万 * 500 = 150 亿或 33 位熵,或者比实际随机单词的密码形式安全性低 2048 倍。由于散列集优化,这是对安全性的一个很大的高估。

任何形式的密码管理器都可以解决这个问题。目前,您正试图使密码过于复杂。歌词绝对是密码的一个有趣的想法,单独的长度是相对安全的,但如果你想要一些安全的东西,你可以记住,并且不会引起问题,请使用密码管理器。

这在很大程度上取决于社会工程做得如何。

如果攻击者只知道您正在使用歌词,并且有一百万首歌曲可以随机选择歌词,那么对于低风险帐户来说就足够安全了。

但是您不会随机选择歌曲。我假设您听的大多数歌曲都来自相对较小的流派和乐队。如果攻击者对你喜欢的音乐有详细的了解,那么歌曲的数量将减少到几百首,你的策略将变得非常不安全。

获取这些信息非常容易:如果您的朋友自己不认识您,他可以询问您对音乐的品味。如果您使用 facebook 和 spotify 或 lastfm 分享您听的音乐,它会变得更加容易。

片段的长度不再起重要作用,因为单词的顺序是由歌曲定义的。事实上,如果您只使用完整的句子或行,这将进一步降低安全性。

假设您正在使用 100 首歌曲的完整行,每首歌曲包含 20 行不同的行(副歌行只计算一次),您最终将得到 2000 个不同的密码。

与使用 2 个随机拉丁字母(允许大写和小写)(如“yA”或“UD”)时相比,密码的可能性较小。

总而言之,使用歌曲文本作为密码是个坏主意。