Ce este un algoritm pentru laici pentru a crea parole personale

O să predau un public despre algoritmi. Aș dori să le ofer una pentru a crea parole personale unice pentru site-uri web.

1. Ar putea începe cu numele de domeniu al site-ului și propriul „cuvânt” secret.
2. Algoritmul ar fi suficient de simplu pentru a fi memorat. În caz contrar, ei ar putea să-mi schițeze diagrama de flux pe spatele unei cărți de vizită sau altceva care se potrivește într-un portofel.

Există întrebări similare pe acest site; răspunsurile date erau, pentru mine, chiar mai opace decât un hash criptografic.

Dar mai mulți au indicat Funcția Hash Unbreakable Hash (HCMU) a lui Blum, așa cum a fost implementată Aici. Problemele sunt (a) Blum a spus că va dura o oră pentru a memora algoritmul și (b) nu pot citi Python.

Există vreo metodă care să corespundă acestor criterii?

EDITARE MAJORĂ: Îmi vine în minte că primesc răspunsuri greșite pentru că pun întrebarea greșită.

Intenția mea nu este să dau clasei (adulților, nu copiilor) un algoritm de parolă. Este pentru a le arăta cum creează propriile lor algoritmi. Acest lucru ar putea atenua problema „algoritmului scurs”.

As putea spune ceva de genul:

„Ați putea folosi domainname.MySecretWord. Acesta este un exemplu prost, pentru că [mai multe motive evidente]. O modalitate mai bună ar fi DomainName.MySecretPhrase.NumberOfLettersInDomainName, dar ____

În cele din urmă, aș încheia cu ceva de genul

„Luați aceste elemente; decideți dacă doriți să adăugați elemente suplimentare; aranjați-le urmând acești pași, dar mai întâi decideți ordinea în care doriți să le urmați.”

E mai bine așa?

Nu, pentru că orice algoritm ușor de memorat ar eșua principiul lui Kerckhoff. Practic, ai avea un algoritm secret care, dacă ar fi scurs, toate parolele tale ar eșua. Foarte probabil, mai mulți oameni ar alege aproximativ același algoritm.

În schimb, utilizați un manager de parole validat care arată cantitatea (probabilă) de entropie și generează parole aleatorii.Te-ai baza în continuare pe o singură parolă după toate probabilitățile (deși există manageri de parole activați 2FA), dar cel puțin ai folosi-o doar pe un număr limitat de dispozitive și aplicații.

O tehnică comună este Diceware cu una dintre noile Fundații Electronic Frontier liste de cuvinte.

Dar clar ai nevoie de zaruri. Și asta e treaba, ai nevoie de un „dispozitiv” care poate oferi un grad bun de incertitudine (entropie). Ai putea alege cuvintele la întâmplare, dar cu o întreagă clasă de copii, probabil că se vor grupa în mijloc.

Alternativ, puteți utiliza utilizarea trei cuvinte aleatorii se apropie, care este acum recomandat de guvernul Regatului Unit pentru uz casnic. Alege trei cuvinte sau numere total aleatorii la alegere. O nuanță este să te gândești la trei cuvinte descriptive pentru ceva memorabil, cum ar fi păianjenul tău preferat. Astfel poți evita cheltuiala zarurilor.

Nu sunt inițial algoritmi complecși, desigur, dar asta ține apoi de tine, ca profesor, să concretizezi mecanica după cum crezi de cuviință. Măsurarea entropiei este un loc la fel de bun ca oricare pentru a începe...