Perbincangan berterusan mengenai keselamatan kata laluan telah mencetuskan semula perbahasan tentang penggunaan penjana kata laluan gaya XKCD, yang menyoroti evolusi keperluan keselamatan kata laluan dan cabaran yang dihadapi dalam persekitaran kriptografi moden.
Falsafah Kata Laluan XKCD
Pendekatan kata laluan gaya XKCD, yang mencadangkan penggunaan beberapa perkataan rawak sebagai kata laluan (seperti correct horse battery staple), pada mulanya dicadangkan sebagai alternatif yang lebih mudah diingati berbanding kombinasi aksara yang kompleks. Kaedah ini bertujuan untuk mengimbangi keselamatan dengan kebolehgunaan dengan memanfaatkan kumpulan besar perkataan yang mungkin berbanding bergantung kepada aksara khas dan nombor.
Cabaran Keselamatan Moden
Perbincangan komuniti mendedahkan bahawa walaupun pendekatan XKCD masih bernilai, kuasa pengkomputeran moden telah mengubah landskap keselamatan secara ketara. Seperti yang dinyatakan oleh seorang pakar keselamatan dalam komuniti:
Komik XKCD mengandaikan penyerang mempunyai 1000 tekaan per saat, tetapi satu kotak GPU pada hash yang dicuri boleh mencapai beberapa bilion tekaan per saat. Jadi model keselamatan komik ini sangat optimistik berbanding dengan beberapa model ancaman yang munasabah dan biasa.
Kelajuan Serangan Kata Laluan Lazim:
- Pelayan jarak jauh (asas): ~1,000 percubaan/saat
- Hash bcrypt: ~70,000 percubaan/saat
- md5crypt: ~75 juta/saat
- GPU Moden (hash dicuri): ~350 bilion percubaan/saat
Pelaksanaan dan Penyesuaian
Komuniti telah membangunkan pelbagai pelaksanaan konsep penjanaan kata laluan ini, dari arahan shell ringkas hingga aplikasi canggih. Banyak pengurus kata laluan, termasuk 1Password dan Bitwarden, telah menggabungkan pendekatan ini ke dalam set ciri mereka. Walau bagaimanapun, pembangun semakin menambah pilihan untuk entropi yang lebih tinggi dan langkah-langkah keselamatan tambahan untuk menangani ancaman moden.
Ciri-ciri Utama Penjana Kata Laluan:
- Pemilihan kamus perkataan
- Bilangan perkataan yang boleh dikonfigurasi
- Pemisah tersuai
- Had panjang perkataan
- Pengiraan entropi
- Penjanaan kata laluan berganda
Pertimbangan Praktikal
Cabaran penting yang diketengahkan oleh pengguna adalah konflik antara keselamatan teori dan keperluan dunia sebenar. Banyak laman web menguatkuasakan peraturan kata laluan tertentu yang mungkin tidak selaras dengan pendekatan XKCD tulen, seperti memerlukan aksara khas atau mengenakan had panjang. Ini telah membawa kepada pelbagai penyesuaian, seperti menambah aksara khas standard kepada kombinasi perkataan yang selamat.
Evolusi Keselamatan Kata Laluan
Perbincangan ini menunjukkan bagaimana keselamatan kata laluan terus berkembang. Walaupun prinsip asas pendekatan XKCD kekal sah untuk kes penggunaan tertentu, terutamanya di mana vektor serangan jarak jauh adalah kebimbangan utama, penyelesaian entropi yang lebih tinggi mungkin diperlukan untuk senario di mana serangan luar talian adalah mungkin, seperti melindungi pemacu yang disulitkan atau mempertahankan terhadap hash kata laluan yang dicuri.
Rujukan: Pengenalan