Wymawialne hasla

Czy wie ktos gdzie moglbym znalezc algorytmy, lub gotowe
opracowania realizacji generowania tzw. pronounceable
passwords? Cos takiego jak jest np. na hp-ux'ach.

TIA

slawek-

To chyba nie jest specjalny problem.
Najlatwiej jest mieszac losowo na przemian samogloski i spolgloski.
Jest to system wymawialny i latwo zapamietywalny.
Ocywiscie w ten sposob oslabia sie jakosc hasel poprzez oczywiste
zmniejszenie liczby kombinacji.

WAREDEKI
CUDOGIPA
LAMANERY

itp itd

mozna dolozyc do tego cyferki lub znaki typu #$% itd. Utrudni to lamanie ale
utrudnia tez zapamietywanie i przekazywanie hasel

WAREDE#2
CUDOGI$7
LAMANE%3

prawda, ze wyglada znacznie mniej przyjemnie
Z drugiej strony jesli daje sie trudne haslo i mozliwosc jego zmiany mozna
sie liczyc z tym, ze za jakis czas cywilbanda zmieni wiekszosc hasel na ALA,
MISIO, FAFIK i temu podobne trudne do zlamania cuda.

perlu :)

Mider

Czy wie ktos gdzie moglbym znalezc algorytmy, lub gotowe
opracowania realizacji generowania tzw. pronounceable
passwords? Cos takiego jak jest np. na hp-ux'ach.

TIA

slawek-

Jesli chodzi o wymiawialne hasla to ja proponuje jeszcze co innego, a
mianowicie generator hasel. Troszeczke nietypowy.

User wpisywalby dane typu:
"jestem super facet"
i otrzymywal by wygenerowane jakims tam algorytmem haslo postaci
AfAik123#2q1 (powiedzmy).
W zasadzie byloby przez niego pamietane - jesli jednak by zapomnial to
zawsze pamieta ze "jestem super facet" i znowu wygeneruje sobie to samo
haslo.

Tyle ze moze haslo nie powinno byc tak trudne.
Kiedys korzystalem z takiego cudu
generowal hasla postaci:
trzy_litery.dwie_cyfry.znak.dwie_cyfry
np.

lub
men.33.[.10
(proste do zapamietania!)

proste ale nie sa wymawialne. mmmmh.

[...]
Najlatwiej jest mieszac losowo na przemian samogloski i spolgloski.
Jest to system wymawialny i latwo zapamietywalny.
[...]

perlu :)

Pozdrawiam: Artur Urbanowicz

sub randomChar {

                          'n','p','q','r','s','t','v','w','x','z' );
  $type = int( $type );
  return sprintf( "%c",rand(26)+97 ) if !$type;

}

  my( $i,$passwd );
  my( $charType ) = rand(2) + 1;

  my( $badFirstChar ) = 'qvxy';
  my( $badChar ) = 'qvx';

  do {
    $passwd = &randomChar( $charType );
  } while ( index( $badFirstChar,$passwd ) != -1 );
  $lastChar = $passwd;

  for( $i=1; $i<=$length-1; $i++ ) {
    $char = &randomChar(++$charType);
    if( ( index($badChar,$char) != -1 ) ||
        ( $lastChar =~ m/j/ && ($char =~ m/i/ || $char =~ m/y/) )  ) {
      $i--; $charType--;
    } else {
      $passwd .= $char; $lastChar = $char
    }
  }
  $passwd

}

}

| [...]
| Najlatwiej jest mieszac losowo na przemian samogloski i spolgloski.
| Jest to system wymawialny i latwo zapamietywalny.
| [...]

np w
| perlu :)

Gotowy program (w Perlu oczywiscie) zalaczam ponizej. Zalecam
jeszcze dodanie slownika zakazanych wyrazow, poniewaz niektore hasla
wygenerowane w proponowany przez Ciebie sposob sa nie tylko latwo
wymawialne, ale i obrazliwe!

slawek-

Moze to jest i mysl. Tyle, ze trzeba by bylo wyprodukowac odpowiedni
algorytm mieszajacy i ograniczyc minimalna dlugosc lancucha sluzacego do
generowania hasla.

Mider

User wpisywalby dane typu:
"jestem super facet"
i otrzymywal by wygenerowane jakims tam algorytmem haslo postaci
AfAik123#2q1 (powiedzmy).
W zasadzie byloby przez niego pamietane - jesli jednak by zapomnial to
zawsze pamieta ze "jestem super facet" i znowu wygeneruje sobie to samo
haslo.

Program faktycznie bomba. Uwzglednia nawet mieszanke niewymawialna czyli
zlepki lite ji jy.
Osobiscie dodalem jeszcze blokade mieszanki ij np: WUMENZIJ co prawda da sie
ona wymowic, ale co wlasnie przetestowalem, rodzi sporo nieporozumien :). Ta
dwuliterowka zlewa sie w jedno i. Wewnatrz wyrazu nie ma to specjalnego
znaczenia, chociaz moge sobie wyobrazic slowo MIJLIJDA, gdzie ij zlewa sie
takze w srodku wyrazu.
Proponuje wymienic linie

if( ( index($badChar,$char) != -1 ) ||
        ( $lastChar =~ m/j/ && ($char =~ m/i/ || $char =~ m/y/) )  ) {

na

if( ( index($badChar,$char) != -1 ) || (($lastChar =~ m/J/ && ($char =~m/I/
|| $char =~ m/Y/)) || ($lastChar =~ m/I/ && $char =~m/J/))){

Przepraszam jesli kopnalem sie w liczbie nawiasow :)

Nie zmienia to postaci rzeczy, ze program dziala znakomicie.

Mider

Gotowy program (w Perlu oczywiscie) zalaczam ponizej. Zalecam
jeszcze dodanie slownika zakazanych wyrazow, poniewaz niektore hasla
wygenerowane w proponowany przez Ciebie sposob sa nie tylko latwo
wymawialne, ale i obrazliwe!

[...]
if( ( index($badChar,$char) != -1 ) || (($lastChar =~ m/J/ && ($char =~m/I/
|| $char =~ m/Y/)) || ($lastChar =~ m/I/ && $char =~m/J/))){
[...]

  if( $char =~ m/[qvx]/i || "$lastChar$char" =~ m/[jiy][ij]/i ) {

Moderatorowi pl.comp.security obiecuje, ze nie bede sie rozwodzil
tutaj nad reszta skryptu, ktory swiadczy, ze jego autor znal
co prawda C, ale o Perlu wiedzial niewiele. Ogladane po latach
wprawki sprawiaja zalosne wrazenie - chyba to znacie?

Pozdrawiam: autor Urbanowicz

A z tym slownikiem to chyba jednak zrobie.
Wiecie jakie haslo mi sie wygenerowalo?

"hujuva"

...no extra

pozdrawiam

slawek-

Osobiscie dodalem jeszcze blokade mieszanki ij np: WUMENZIJ co prawda da
sie
ona wymowic, ale co wlasnie przetestowalem, rodzi sporo nieporozumien :).

pozdrawiam

slawek-

He he jesli chodzi o przejzystosc zapisu to jest on w znacznej mierze
uzalezniony od czasu spedzonego nad perlem :)
Najwazniejsze, ze skrypt dziala

EOT

Mider

Oczywiscie mozna to zapisac w bardziej przejrzysty sposob:

 if( $char =~ m/[qvx]/i || "$lastChar$char" =~ m/[jiy][ij]/i ) {

Tak. Ja u siebie wycialem q,x,v a poniewaz moj skrypt uzywa takze cyfr
wycialem z listy cyfre 0 (zero) i litere o.
To ostatnie zabezpieczenie wprowadzilem dla tego, ze uzywam duzych liter do
losowania hasla a na Windozie 0 i O wyglada bardzo podobnie :(.

Mider

| Osobiscie dodalem jeszcze blokade mieszanki ij np: WUMENZIJ co prawda da
sie
| ona wymowic, ale co wlasnie przetestowalem, rodzi sporo nieporozumien :).

A np. literki q,x,v? Tez sa dosc niebezpieczne...

pozdrawiam

slawek-

Troche informacji o zgodnym z normami generatorze latwo wymawialnych
hasel jest na http://www.enigma.com.pl/enigma/produkty/gen_hasl.htm

Propozycja z losowaniem na przemian spolgloski i samogloski, choc
interesujaca zaweza znaczaco przestrzen hasel, a tym samym ulatwia
potencjalne ataki.

Anna Zugaj

JPnPropozycja z losowaniem na przemian spolgloski i samogloski, choc
JPninteresujaca zaweza znaczaco przestrzen hasel, a tym samym ulatwia
JPnpotencjalne ataki.

http://www.enigma.com.pl/enigma/produkty/#kontrola_dostepu

"Generator haseł generowanie i wspomaganie dystrybucji
   (wydruk na nalepkach) dużej liczby dobrych haseł"

Niezle. To juz karteczka z haslem obok klawiatury nie wystarcza? ;-

Czy wasz program sprzedawany jest standartowo z takim samym slownikiem ???
Ogromnie jestem ciekaw jaka byla by skutecznosc waszego generatora jesli
slownik i algorytm tworzenia hasel stal by sie jawny.

Mider

Troche informacji o zgodnym z normami generatorze latwo wymawialnych
hasel jest na http://www.enigma.com.pl/enigma/produkty/gen_hasl.htm

Propozycja z losowaniem na przemian spolgloski i samogloski, choc
interesujaca zaweza znaczaco przestrzen hasel, a tym samym ulatwia
potencjalne ataki.

Anna Zugaj