Sejak itu saya beralih ke kata sandi gaya XCKD untuk sebagian besar kata sandi saya. Ini adalah 1 liner dari commandlinefu untuk menghasilkan kata sandi:
shuf -n4 /usr/share/dict/words | tr -d '\n'
2020:Saya memposting jawaban ini pada tahun 2011. Di tahun-tahun yang telah berlalu, wajah keamanan dunia maya dan tuntutannya telah berubah dengan cepat dan luar biasa. Seperti yang telah ditunjukkan oleh anarcat, pwgen mungkin tidak (atau tidak lagi) cocok untuk mengamankan sistem keamanan tinggi. Dia menjelaskan detail teknis tentang bagaimana pwgen dapat, dalam beberapa keadaan, menggunakan metode derivasi kata sandi yang tidak aman dari entropi yang tersedia dalam artikelnya. Meskipun saya tidak lagi percaya membuat kata sandi untuk kemudian mencoba dan mengingatnya sendiri, saya tidak memiliki kemampuan teknis untuk memvalidasi, apalagi menjamin isi artikel seperti yang dikutip jadi silakan baca dan buat kesimpulan sendiri. Karena itu, saya yakin bahwa pwgen akan cukup untuk sistem dengan keamanan rendah di mana serangan sangat tidak mungkin terjadi.
Anda mungkin ingin memeriksa pwgen
aplikasi. Saya tahu itu akan tersedia di repositori Ubuntu, Fedora, Debian dan Suse.
Dari halaman manual:
Program pwgen menghasilkan kata sandi yang dirancang agar mudah diingat oleh manusia, sekaligus seaman mungkin. Kata sandi yang mudah diingat manusia tidak akan pernah seaman kata sandi yang benar-benar acak. Khususnya, kata sandi yang dihasilkan oleh pwgen tanpa opsi - tidak boleh digunakan di tempat di mana kata sandi dapat diserang melalui serangan brute-force offline. Di sisi lain, kata sandi yang dibuat secara acak memiliki kecenderungan untuk ditulis, dan dapat disusupi dengan cara tersebut.
Program pwgen dirancang untuk digunakan baik secara interaktif maupun dalam skrip shell. Oleh karena itu, perilaku defaultnya berbeda tergantung pada apakah keluaran standar adalah perangkat tty atau apipe ke program lain. Digunakan secara interaktif, pwgen akan menampilkan layar penuh kata sandi, memungkinkan pengguna untuk memilih satu kata sandi, dan kemudian menghapus layar dengan cepat. Ini mencegah seseorang untuk dapat "menjelajahi bahu" kata sandi yang dipilih pengguna.
Saya akan merekomendasikan orang untuk berhenti menggunakan pwgen - minat utamanya adalah menghasilkan "kata sandi yang dapat diingat manusia", tetapi ini menunjukkan banyak kerentanan dalam melakukan hal itu. Dan menggunakannya untuk menghasilkan string yang benar-benar acak juga tidak berguna.
Saya menulis artikel terperinci tentang topik itu, tetapi pada dasarnya, intinya adalah menggunakan program diceware (atau, jika Anda suka dadu, sistem diceware yang sebenarnya) atau xkcdpass. Untuk menghasilkan kata sandi yang mudah diingat, saya biasanya menggunakan diceware dengan file konfigurasi berikut:
[diceware]
caps = off
delimiter = "-"
wordlist = en_eff
Contoh:
$ diceware
turkey-eligibly-underwire-recite-lifter-wasp
$ diceware
lend-rubdown-cornflake-tint-shawl-ozone
$ diceware
syndrome-ramp-cresting-resolved-flinch-veneering
$ diceware
alto-badass-eclipse-surplus-rudder-quit
Saya mematikan huruf besar dan spasi karena menghasilkan suara yang dapat didengar berbeda yang dapat dimanfaatkan oleh penyerang. -
pembatas adalah kejahatan yang lebih rendah:akan lebih baik untuk tidak menggunakan pemisah apa pun dan en_eff
daftar kata dibuat khusus untuk tujuan itu. Tapi saya merasa lebih mudah untuk berkomunikasi dan berbagi kata sandi ketika mereka memiliki beberapa pemisah.
Untuk menghasilkan kata sandi yang benar-benar acak, saya menggunakan fungsi shell berikut:
# secure password generator or, as dkg puts it:
# high-entropy compact printable/transferable string generator
# a password generator would be pwqgen or diceware
pwg() {
ENTROPY=${1:-20} # in bytes
# strip possible newlines if output is wrapped and trailing = signs as they add nothing to the password's entropy
head -c $ENTROPY /dev/random | base64 | tr -d '\n='
echo
}
Saya menyebutkan ini karena menurut saya penting untuk menghafal lebih sedikit kata sandi dan sebagai gantinya mengandalkan pengelola kata sandi untuk menyimpan string besar yang sulit ditebak. Detail lebih lanjut tentang alasan di balik pilihan tersebut dijelaskan dalam artikel yang disebutkan di atas dan ulasan pengelola sandi saya.