4個隨機單詞密碼生成器

我一直在考慮我在WordList中使用哪些單詞. 將來我可能會選擇使用較短的單詞.

diceware密碼生成器

錯誤：哇! 您的瀏覽器沒有GetRandomValues（）函數. 這意味著骰子可以滾動 不會在策略上安全!
請嘗試另一個瀏覽器. 否則，以自己的風險繼續前進.

骰子卷的數量：

2 3 4 5 6 7 8

關於diceware

由於缺乏“熵”或隨機性，密碼較弱是計算機安全性的一個很大的缺陷. 例如，您在密碼中使用了多少次寵物，親戚或街道的名稱，或者數字“ 1”? 不是很隨機，是? ��更糟糕的是，如果在服務之間重複使用密碼，則會增加您的安全風險. 這不是理論上的，這已經發生了.

事實是，人類在記住字母和數字的隨機組合方面很糟糕，但我們很擅長記住單詞的短語. 那是二木軟件的來源.

此Diceware Web應用程序基於原始建議，其中虛擬骰子滾動了5次，而5位數字用於查找單詞表. 4個骰子卷給您4個隨機單詞，這對於人類來說很容易記住，但熵很高，這使它們難以破解.

diceware密碼常見問題解答
原始diceware Word列表（此實現使用不同的WordList. ）
用於密碼生成和其他加密應用

Diceware是Arnold Reinhold的商標.

經常問的問題

常見問題：為什麼不使用1Password或Bitkeeper或類似的東西?

一定會隨意這樣做. 1Password是一個很棒的產品，我強烈推薦它. 也就是說，沒有理由不能與密碼管理器同時使用diceware. 但是我也碰巧喜歡密碼，我記得. 🙂

如果您想要絕對最高級別的密碼安全性，請考慮使用strongbox. 關於strongbox的一件整潔的事情是它帶有內置的diceware客戶端!

常見問題解答：diceware的一些好用例?

智能電視：Diceware非常適合在智能電視上或任何其他鍵入非alphanumerics的環境中輸入密碼.
工作/共享計算機：假設您使用的是您不擁有的計算機，並且想登錄個人帳戶. 您可能不想在該計算機上安裝1Password，因此，如果您使用diceware生成了該帳戶的密碼，則在鍵盤上輸入要容易得多.

常見問題解答：diceware的一些不良用例?

在任何情況下，攻擊者都可以獲取加密密碼的副本並使用大量的開裂嘗試，您都不應使用diceware. 一個不好的情況 – 可能是最壞的情況 – 使用二心軟件是確保您的比特幣錢包，因為所有比特幣節點都有比特幣分類帳的副本，並且攻擊者可以嘗試嘗試破解錢包的密碼.

常見問題解答：我應該在密碼中添加數字或感嘆號?

不，不要那樣做. 簡短的答案是，長度使您的密碼比特殊字符更安全. 但是不要從我這裡拿走它，從那個讓我們經歷密碼地獄的人那裡拿走它，併後悔的每一分鐘.

此後，NIST已在很長的文檔中發布了新密碼創建指南，但在此處很好地總結了.

常見問題解答：這會保護我免受網絡釣魚攻擊?

不，即使是世界上最好的密碼也不會保護您. 但是，擁有該服務獨特的密碼將有助於減輕危害. 兩個因素身份驗證也將幫助您.

常見問題解答：我可以分享這個應用嗎?

當然! 這是您的朋友可以掃描的方便QR碼：

是的，我用自己的QR碼生成器創建了它. 在科技行業中，我們稱這種狗食為. 🙂

“我不敢相信您正在通過互聯網發送密碼!“

寒意. 我不是. 密碼是在您的瀏覽器中生成的，不要放棄（除非您自己複製它們）.

常見問題解答：這些骰子卷在密碼上是否安全?

是的，只要我們在JavaScript中使用getRandomValues（）函數，並且您相信您的瀏覽器和計算機尚未受到損害或篡改. 請記住，攻擊者不太理論的攻擊將使計算機上的隨機數發生器妥協，以使任何被加密（或生成的passkeys）的任何東西都會懷疑是否會受到較少激烈的加密分析.

常見問題解答：Diceware方法的安全程度?

如果您想要絕對最差的密碼安全性，請繼續前進並在任何地方使用相同的密碼，以便在破解一項服務時，攻擊者可以妥協您擁有的每個帳戶. （請不要那樣做）

如果您想要絕對的最佳安全性，請為每種服務選擇一個完全隨機的充電器的密碼.

如果您想要提供中等安全性的道路方法中間. 我為像我的父母這樣的人寫了它，他們可能會與密碼經理鬥爭，或者在試圖將其Apple密碼輸入Apple TV中，或者希望密碼登錄其Mac時，他們實際上可以記住和不必寫下.

本文有點過時，但是帶有diceware密碼的熵（隨機性）很重要，可以向NSA提出挑戰.

常見問題：是可用的來源?

是的! 您可以在https：// github上獲取副本.com/dmuth/diceware

實際上，如果您不願意在網站上生成密碼（即使密碼實際上是由瀏覽器中的JavaScript生成的），我鼓勵您下載源並在本地運行該密碼.

如果您想在本地運行diceware，只需下載源並使用此命令在python中運行一個網絡服務器： Python -M SimpleHttpserver 8000. 然後，您將能夠在http：// localhost：8000/.

常見問題解答：有沒有辦法自動滾動骰子?

就在這裡. 附加”?debug = n“ to url以自動滾動骰子n次.

常見問題：有沒有辦法跳過骰子動畫?

是的. 附加”?skip_animation“到URL以不顯示骰子動畫

常見問題：您能告訴我更多有關單詞列表的信息嗎?

對於5個骰子的捲，我現在正在使用EFF. 針對旨在提高可用性的原始列表，已經大大提高了不損害安全性.

我開始使用原始WordList，但其中包含許多符號，標點符號，數字和2個字母單詞. 我想嘗試使用更長的單詞，沒有非字符字符的其他單詞列表，並且單詞更常用. 因此，我嘗試了彼得·諾維格（Peter Norvig）的1/3百萬最常用單詞的清單.

常見問題：每個單詞擲出多少個骰子?

默認值為5個骰子，允許每卷7,776個不同的單詞. 雖然我在代碼中有一些調試掛鉤，以便您可以在每個單詞中以6個骰子和7個骰子（分別為46,655和279,935個可能的單詞）運行Diceware，但使用的單詞變得更加晦澀，這使得它們更難記住，所以我不確定這是一件好事. 但是就目前而言，如果有渴望.

常見問題解答：支持空白的操作?

就是現在! 整個項目可以在未連接到Internet的機器上下載和執行. 我能夠將代碼上傳到AWS S3存儲桶，然後通過CloudFront可用.

常見問題：網絡服務器該應用程序的安全性如何?

我曾經在個人網絡服務器上託管此應用. 從那以後，我將應用程序轉移到AWS中 – HTML，JavaScript和CSS位於S3存儲桶中，並且內容通過AWS證書經理提供的SSL證書通過CloudFront免費提供。. S3存儲桶在上面啟用了CloudTrail，因此我對在該存儲桶上執行的所有動作進行了審核跟踪.

常見問題解答：說到審核步道，您是否保留了訪問此網站的任何訪問日誌?

一定不行. 我不想知道誰在使用此應用. 更重要的是，如果未保留日誌，則意味著對手也不知道.

常見問題解答：這項工作會在tor上工作嗎?

是的，我測試了! 只需確保您進入NoScript插件並啟用此網站的JavaScript.

常見問題：為什麼您更改WordList?

我一直在考慮我在WordList中使用哪些單詞. 將來我可能會選擇使用較短的單詞.

元

你還建造了其他任何東西嗎?

是的! 我已經建立了一些您可能會發現有趣的東西：

Fastapi HTTPBIN -HTTP端點用於測試您的應用
死去的簡單QR碼生成器 – 無廣告. 沒有註冊. 沒有垃圾郵件. 只是QR代碼，您想要它們.
SEPTA統計數據 – 費城公共交通的統計數據
Splunk實驗室 – 在30秒內站起來
TARSPLIT-在文件邊界上拆分TARBALL
Vagrant的Docker-替換Mac的Docker桌面.
. 或者只是在我的github周圍戳!

誰建造了這個? / 接觸

我叫道格拉斯·穆斯（Douglas Muth），我是賓夕法尼亞州費城的軟件工程師.

電子郵件發送給道格.Muth在gmail dot com或dmuth dot org的dmuth
Facebook和Twitter
LinkedIn
在Github開發問題