Kommandozeilen-Tool zum Generieren einprägsamer Passwörter?

19

Ich bin auf der Suche nach einem Tool, einer Befehlszeile oder einer grafischen Benutzeroberfläche für Linux, das einprägsame Passwörter generiert.

Ein Äquivalent von dem, wonach ich suche, wären Passwörter, die der Mac OS X-Schlüsselbund erzeugen kann, so etwas wie apples12$/fourteen. Etwas Starkes, das sich ein Benutzer leicht merken kann.

linux security passwords password-generation James McMahon
quelle

Antworten:

22

Seitdem bin ich für die meisten meiner Passwörter zu Passphrasen im XCKD-Stil übergegangen . Hier ist ein 1-Zeilen- Code von commandlinefu , um eine Passphrase zu generieren:

shuf -n4 /usr/share/dict/words | tr -d '\n'
James McMahon
quelle
2
Tatsächlich gibt es ein Problem mit diesem Einzeiler: Es kann Wörter wie "the", "them", "their" und "moat", "iris", "he" verwenden. Siehst du das problem Es gibt eine Überlappung zwischen Präfixen und Suffixen, was die tatsächliche Entropie des generierten Passworts verringert und zu ziemlich schwachen Passwörtern führen kann, wenn die Zeichenfolgen nicht lang genug sind (insbesondere bei 4 Wörtern). Aus diesem Grund verwenden wortbasierte Kennwortgeneratoren gestaltete Wortlisten. Zugegeben, Passwörter, die mit den oben genannten Methoden generiert wurden, sind ziemlich gut: Mindestens 14 Zeichen bei meinen Tests mit einer mittleren Größe von 34. Ihre Entropie ist jedoch nicht zuverlässig.
Anarcat
Was ist das Problem mit überlappenden Präfixen / Suffixen? Ich kann Ihren Punkt über die Länge verstehen, aber Sie müssen den anderen Punkt erklären.
James McMahon
Vereinfachen wir es auf das Äußerste. Sie haben eine Dictionnary von drei Wörtern aus: the, meund theme. Normalerweise würden Sie erwarten, dass Sie die Entropie für diese drei Wörter gleichermaßen haben, aber in diesem Fall können Sie nicht zählen, themeda es sich um eine Kombination der beiden anderen Wörter handelt. in der Tat, themefügt tatsächlich null Entropie , um das Passwort.
Anarcat
Aber unterscheidet sich "das Ich" nicht von "Thema"? Ich bekomme, dass mögliche Buchstaben Entropie hinzufügen, aber dieser Ansatz ist mehr über die Größe von Passwörtern. Ich verstehe nicht, wie "the me theme" einfacher zu erraten wäre als eine Sequenz ohne überlappende Zeichen wie "do ray music"
James McMahon
1
@wbg meine Antwort ist hier superuser.com/a/1246245/177019
anarcat
11

Möglicherweise möchten Sie die pwgenAnwendung überprüfen . Ich weiß, dass es in den Repositorys von Ubuntu, Fedora, Debian und Suse verfügbar sein wird.

Von der Manpage :

Das pwgen-Programm generiert Passwörter, die für den Menschen leicht zu merken und dabei so sicher wie möglich sind. Passwörter, die sich an Menschen erinnern, werden niemals so sicher sein wie völlig zufällige Passwörter. Insbesondere sollten von pwgen ohne die Option -s generierte Kennwörter nicht an Stellen verwendet werden, an denen das Kennwort durch einen Offline-Brute-Force-Angriff angegriffen werden könnte. Andererseits besteht die Tendenz, dass vollständig zufällig generierte Passwörter aufgeschrieben werden und auf diese Weise kompromittiert werden.

Das Programm pwgen kann sowohl interaktiv als auch in Shell-Skripten verwendet werden. Daher unterscheidet sich das Standardverhalten davon, ob die Standardausgabe ein tty-Gerät oder eine Pipe zu einem anderen Programm ist. Bei interaktiver Verwendung zeigt pwgen eine Reihe von Kennwörtern an, sodass der Benutzer ein einzelnes Kennwort auswählen und den Bildschirm dann schnell löschen kann. Dies verhindert, dass jemand in der Lage ist, das vom Benutzer gewählte Passwort zu "surfen".

BloodPhilia
quelle
3
Passwörter wie 'Zei7jool' oder 'Oowee6ei' scheinen mir nicht sehr einprägsam zu sein. Vielleicht fehlt mir eine Flagge?
James McMahon
3
@James Sie werden nach einem Algorithmus erzeugt, der Buchstaben in eine unsinnige, aber für die menschliche Linguistik logische Reihenfolge bringt. Sie müssen wahrscheinlich ähnliche Anstrengungen unternehmen, um sich das apples12$/fourteenPasswort zu merken . Probieren Sie es einfach aus.
BloodPhilia
1
Es gibt eine riesige Liste von Passwörtern heraus, wählen Sie einfach das denkwürdigste aus - es gibt einige Edelsteine ​​darin
;-)
4
pwgen-Passwörter weisen standardmäßig schwerwiegende Sicherheitsprobleme auf und sind nicht sehr einprägsam. Verwenden Sie stattdessen Diceware oder xkcdpass.
Anarcat
8

Ich würde den Leuten empfehlen, pwgen nicht mehr zu verwenden - das Hauptinteresse galt der Generierung von Passwörtern, an die sich Menschen erinnern können, aber es zeigte mehrere Schwachstellen, die genau dies betrafen. Und es zu verwenden, um völlig zufällige Zeichenfolgen zu generieren, ist auch nicht so nützlich.

Ich habe einen ausführlichen Artikel zu diesem Thema geschrieben, aber im Grunde geht es darum, das Diceware- Programm (oder, wenn Sie Würfel mögen, das eigentliche Diceware-System ) oder xkcdpass zu verwenden . Um sichere, einprägsame Passwörter zu generieren, verwende ich im Allgemeinen Diceware mit der folgenden Konfigurationsdatei:

[diceware]
caps = off
delimiter = "-"
wordlist = en_eff

Beispiele:

$ diceware
turkey-eligibly-underwire-recite-lifter-wasp
$ diceware
lend-rubdown-cornflake-tint-shawl-ozone
$ diceware
syndrome-ramp-cresting-resolved-flinch-veneering
$ diceware
alto-badass-eclipse-surplus-rudder-quit

Ich schalte Kappen und Leerzeichen aus, weil sie deutliche hörbare Geräusche erzeugen, die von einem Angreifer genutzt werden können. Das -Trennzeichen ist ein geringeres Übel: Es ist besser, kein Trennzeichen zu verwenden, und die en_effWortliste wurde speziell für diesen Zweck erstellt. Aber ich finde es einfacher, Passwörter zu kommunizieren und zu teilen, wenn sie ein Trennzeichen haben.

Um ein völlig zufälliges Passwort zu generieren, benutze ich die folgende Shell-Funktion:

# secure password generator or, as dkg puts it:
# high-entropy compact printable/transferable string generator
# a password generator would be pwqgen or diceware
pwg() {
    ENTROPY=${1:-20} # in bytes
    # strip possible newlines if output is wrapped and trailing = signs as they add nothing to the password's entropy
    head -c $ENTROPY /dev/random | base64 | tr -d '\n='
    echo
}

Ich erwähne dies, weil ich glaube, dass es wichtig ist, sich weniger Passwörter zu merken und sich stattdessen auf einen Passwort-Manager zu verlassen, um große Zeichenfolgen zu speichern, die schwer zu erraten sind. Weitere Einzelheiten zu den Gründen für diese Auswahlmöglichkeiten finden Sie in dem oben genannten Artikel und in der Rezension zu meinem Passwortmanager .

Anarkatze
quelle
4

Probieren Sie 'gpw'. Es erzeugt Passwörter wie diese: ubsonsin morimplo demenump esselymn kidentst anenterg essonsuf iesssssi bestruss tnestese

Beschreibung: Trigraph Password Generator Dieses Paket generiert aussprechbare Passwörter. Es verwendet die Statistik der Drei-Buchstaben-Kombinationen (Trigraphen), die aus den Wörterbüchern stammen, die Sie verwenden. Daher kann die Aussprache von Sprache zu Sprache unterschiedlich sein. Basierend auf den Ideen in Morrie Gassers Passwortgenerator für Multics und Dan Edwards Generator für CTSS. Der FIPS-Standard 181 beschreibt einen ähnlichen
Digraphen-basierten Generator, der von Gasser's abgeleitet ist.

Thomas
quelle
1

Eine gute Option, die aufgetaucht ist, seit ich gefragt habe, ist der XKCD-Passwort-Generator von Redacted .

Es ist ein nettes Python-Skript zum Generieren von Passwörtern im XKCD-Stil, das einige erweiterte Optionen wie die Akrostichon-Unterstützung bietet.

James McMahon
quelle
0

sf-pwgen ist ein Befehlszeilentool, das mit dem SecurityFoundation-Framework in OS X Kennwörter generiert.

vdm
quelle