为什么 EFF 的 unique-prefix-wordlist 有这么长的单词

信息安全 密码 密码
2021-09-02 23:09:23

不久前,EFF发布了与 diceware 一起使用的新词表,以创建带有“更好”词的密码短语。

一种变体是“短词列表(具有唯一的三个字符前缀的词) ”。他们写了这份清单

最后,我们将发布另一个简短列表 [.txt],其中包含一些使单词易于输入的附加功能:

  • 每个单词都有一个唯一的三字符前缀。这意味着未来的软件可以在用户输入前三个字符后自动完成密码短语中的单词
  • 所有单词的编辑距离至少为 3。这意味着未来的软件可以更正用户密码中的任何一个拼写错误(在许多情况下不止一个拼写错误)。

我们添加了这些功能,希望它们将来可能被专门设计用于利用它们的软件使用,但今天不会提供显着的好处,所以这个列表主要是个人的概念验证用户。软件开发人员可能会发现此列表的有趣用途。

但他们为什么希望软件开发人员实现自动完成功能呢?难道他们不能只告诉用户“记住整个世界,但只需输入前三个字符”即可获得相同的效果——不损失安全性,但密码更短?

另外,我注意到列表中包含的单词viperfish看起来非常多余——较短的单词viper在它的位置上不是也一样好用吗?同样,mapmaker可能只是mapcapsule可能是capolder可能是old他们为什么不为给定的三字母前缀选择最简单、最短的英语单词,有什么原因吗?

1个回答

使用cap,old和 (大概)viper会破坏编辑距离保证。

我想用户不想只输入前三个字母 - 输入单词可以减少脑力劳动。还有另一种常见的方案,您可以使用较长的单词序列,并且只包含每个单词的第一个字母:您喜欢哪种方法很大程度上取决于口味。

其它你可能感兴趣的问题
上一篇GET 请求需要 CSRF 保护 下一篇TLS1.2 AES 128 CBC 加密数据大小