Seitdem bin ich für die meisten meiner Passwörter zu Passphrasen im XCKD-Stil übergegangen. Hier ist ein 1-Liner von commandlinefu, um eine Passphrase zu generieren:
shuf -n4 /usr/share/dict/words | tr -d '\n'
2020:Ich habe diese Antwort im Jahr 2011 gepostet. In den vergangenen Jahren haben sich das Gesicht der Cybersicherheit und die Anforderungen daran schnell und enorm verändert. Wie von anarcat darauf hingewiesen wurde, ist pwgen möglicherweise nicht (mehr) für die Sicherung von Hochsicherheitssystemen geeignet. In seinem Artikel beschreibt er die technischen Details, wie pwgen unter Umständen unsichere Methoden der Passwortableitung aus verfügbarer Entropie verwenden kann. Obwohl ich nicht mehr daran glaube, Passwörter zu generieren, um sie dann selbst zu merken, habe ich nicht die technische Fähigkeit, den Inhalt des zitierten Artikels zu validieren, geschweige denn zu bürgen, also lesen Sie ihn bitte und ziehen Sie Ihre eigenen Schlussfolgerungen. Trotzdem bin ich davon überzeugt, dass pwgen für Systeme mit niedriger Sicherheit ausreicht, bei denen Angriffe sehr unwahrscheinlich sind.
Vielleicht möchten Sie sich den pwgen ansehen Anwendung. Ich weiß, dass es in den Repositories von Ubuntu, Fedora, Debian und Suse verfügbar ist.
Aus der Manpage:
Das Programm pwgen generiert Passwörter, die so gestaltet sind, dass sie sich Menschen leicht merken können und gleichzeitig so sicher wie möglich sind. Für Menschen einprägsame Passwörter werden niemals so sicher sein wie völlig zufällige Passwörter. Insbesondere sollten von pwgen ohne die Option -s generierte Passwörter nicht an Orten verwendet werden, an denen das Passwort über einen Offline-Brute-Force-Angriff angegriffen werden könnte. Andererseits neigen vollständig zufällig generierte Passwörter dazu, aufgeschrieben und auf diese Weise kompromittiert zu werden.
Das Programm pwgen ist so konzipiert, dass es sowohl interaktiv als auch in Shellscripts verwendet werden kann. Daher unterscheidet sich sein Standardverhalten je nachdem, ob die Standardausgabe ein tty-Gerät oder eine Pipe zu einem anderen Programm ist. Interaktiv verwendet, zeigt pwgen einen Bildschirm voller Passwörter an, sodass der Benutzer ein einzelnes Passwort auswählen und den Bildschirm dann schnell löschen kann. Dadurch wird verhindert, dass jemand das gewählte Passwort des Benutzers „über die Schulter surfen“ kann.
Ich würde den Leuten empfehlen, pwgen nicht mehr zu verwenden - sein Hauptinteresse bestand darin, "für Menschen erinnerbare Passwörter" zu generieren, aber es zeigte mehrere Schwachstellen, wenn es genau das tat. Und es zu verwenden, um völlig zufällige Zeichenfolgen zu generieren, ist auch nicht so nützlich.
Ich habe einen ausführlichen Artikel zu genau diesem Thema geschrieben, aber im Grunde geht es darum, das Diceware-Programm (oder, wenn Sie Dice mögen, das eigentliche Diceware-System) oder xkcdpass zu verwenden. Um starke einprägsame Passwörter zu generieren, verwende ich im Allgemeinen Diceware mit der folgenden Konfigurationsdatei:
[diceware]
caps = off
delimiter = "-"
wordlist = en_eff
Beispiele:
$ diceware
turkey-eligibly-underwire-recite-lifter-wasp
$ diceware
lend-rubdown-cornflake-tint-shawl-ozone
$ diceware
syndrome-ramp-cresting-resolved-flinch-veneering
$ diceware
alto-badass-eclipse-surplus-rudder-quit
Ich schalte Großbuchstaben und Leerzeichen aus, weil sie deutliche hörbare Geräusche erzeugen, die von einem Angreifer ausgenutzt werden könnten. Die - Trennzeichen ist ein kleineres Übel:Besser wäre es, kein Trennzeichen und die en_eff zu verwenden Die Wortliste wurde speziell für diesen Zweck entwickelt. Aber ich finde es einfacher, Passwörter zu kommunizieren und zu teilen, wenn sie einige haben Trennzeichen.
Um ein völlig zufälliges Passwort zu generieren, verwende ich die folgende Shell-Funktion:
# secure password generator or, as dkg puts it:
# high-entropy compact printable/transferable string generator
# a password generator would be pwqgen or diceware
pwg() {
ENTROPY=${1:-20} # in bytes
# strip possible newlines if output is wrapped and trailing = signs as they add nothing to the password's entropy
head -c $ENTROPY /dev/random | base64 | tr -d '\n='
echo
}
Ich erwähne das, weil ich glaube, dass es wichtig ist, weniger auswendig zu lernen Passwörter und verlassen Sie sich stattdessen auf einen Passwort-Manager, um große Zeichenfolgen zu speichern, die schwer zu erraten sind. Weitere Einzelheiten zu den Gründen für diese Entscheidungen finden Sie im oben genannten Artikel und in meinem Passwort-Manager-Bericht.