И да и нет. Там было много дискуссий в безопасности.SE на эту тему. Начнем с цитаты из ответа Джеффа Голдберга:
То, что комикс XKCD не передает эффективно, это то, что выбор слов должен быть (равномерно) случайным. Если вы попросите людей выбирать слова наугад, вы получите сильный уклон для конкретных существительных. Такие предубеждения могут и будут использоваться.
Это прямо здесь, вероятно, самый важный удар по схеме XKCD. Люди ужасны, когда придумывают что-то случайное. « Я бросаю любить своих замечательных собак и кошек », безусловно, достаточно "долго", но ни в коем случае не непредсказуемо.
(Кроме того, Джефф также указывает, что схема XKCD на самом деле не оригинальна для Рэндалла Манро:
Общая идея «XKCD-подобных» паролей восходит по крайней мере к одноразовым паролям S/Key начала 1980-х годов.
)
Ответ, получивший наибольшее количество голосов, напоминает нам о том, что нам нужно знать, против чего мы защищаем:
Одна из многих причин, почему нет единого совета по поводу паролей, заключается в том, что все сводится к проблеме моделирования угроз. От чего именно ты пытаешься защищаться?
Например: пытаетесь ли вы защитить себя от злоумышленника, который специально нацелен на вас и знает вашу систему для генерации паролей? Или вы просто один из миллионов пользователей в какой-то утекшей базе данных? Вы защищаетесь от взлома паролей на основе графического процессора или просто от слабого веб-сервера? Вы на хосте заражены вредоносным ПО?
Я думаю, вы должны предположить, что злоумышленник знает ваш точный метод создания паролей и просто нацелен на вас. Комикс xkcd предполагает в обоих примерах, что все детали генерации известны.
Посмотрите на этот короткий список. Если вы подходите под этот профиль, то схема XKCD, вероятно, вам подходит:
1. Пароль будет использоваться только в одном месте.
2. Вы заботитесь только о том, чтобы честные люди и сценаристы не попадали в вашу учетную запись или в ваши данные.
3. Ну ... на самом деле нет 3.
Проще говоря, если вы не хотите использовать Diceware для генерации запоминающегося пароля, не беспокойтесь о схеме XKCD для чего-то серьезного. Трой Хант проанализировал это некоторое время назад. Как он говорит в конце этого поста, "лучший" совет по паролям - использовать полностью случайные пароли и менеджер паролей:
В общем, я отслеживаю сто тридцать аккаунтов. Очень немногие люди прочтут это и имеют менее 30 учетных записей, даже если вы не можете вспомнить их все прямо сейчас (можете ли вы вспомнить каждую учетную запись, которую вы когда-либо создавали?) Будьте честны, сложите их все и посмотрите, что вы получите, даже те, которые вы не используете так часто. А если у вас сейчас нет 30 аккаунтов, сколько еще времени у вас будет? Недавно, пройдя упражнение по управлению паролями с моим отцом в его 60-х годах и не будучи специалистом в области технологий, я знаю, что в худшем случае любой постоянный онлайн-пользователь почти наверняка будет иметь больше учетных записей, чем он может рассчитывать на пальцы рук и ног и, безусловно, больше чем они могут применить свою память.
У меня нет 130 учетных записей, но у меня, конечно, больше, чем пальцы рук и ног в моем менеджере паролей. Каждый раз, когда я меняю пароль к своему рабочему компьютеру, у меня уходит около трех недель активного использования, прежде чем я могу его запомнить. И это один из 2-4 паролей, которые я на самом деле ввожу вручную! Попробуйте увеличить это до 30-100 учетных записей, и это просто не работает.
