哪些机制可用于在智能手机上轻松生成高熵密码，而无需求助于字母数字输入？答案

【问题标题】：What mechanisms could be used to easily generate a high entropy password on a smartphone without having to resort to alphanumeric input?哪些机制可用于在智能手机上轻松生成高熵密码，而无需求助于字母数字输入？
【发布时间】：2010-07-29 18:59:34
【问题描述】：

我正在开发适用于 android 的 Password Safe 版本。 Password Safe 使用密码短语来加密您的密码，但在智能手机上输入长密码短语可能会很乏味，尤其是在它们被屏蔽的情况下。我想研究使用密码短语的替代方法，例如简单图像的数组。

这种密码方法有什么好的例子吗？什么样的图像最好？ Zener Cards 似乎是一个不错的选择，但似乎不适合助记设备，当然不是为了获得强密码所需的值的数量。

编辑：一些戒律可能会有所帮助。密码安全的一点是，包含密码的文件是用一个从不存储的强密钥加密的。在 PC 上，此强密钥是您想要解锁保险箱时输入的短语或单词的加密哈希。保险箱会自动“忘记”您给它的密码，并在 X 分钟后删除所有未加密的数据版本，这样您就不会受到攻击。

理想情况下，我希望看到一个密码保险箱版本，它可以使用两个同等强度的密钥之一进行解密，其中一个密钥适合字母数字键盘，而另一个密钥将是答案问题。

到目前为止，我想出的最好的想法是允许用户输入一个可以创建rebus 的短语，并使用基于图像的rebus 条目作为结果输入法。

【问题讨论】：

标签： cryptography password-protection random mnemonics

【解决方案1】：

如果你能发明一些物理震动模式识别，那就太棒了。我一直想要那个。

【讨论】：

我也是这么想的。 “把你的手机放在你面前，然后做你最喜欢的舞步”;)

【解决方案2】：

您必须克服的一个大问题是触摸屏在使用时往往会留下污迹，如果不小心，它们会泄露有关密码的信息。避免这种情况的一种常见技术是重新排列每个输入上的键，但这会大大减慢输入速度，因为用户必须仔细查看以找出所需数字的位置。

我建议的替代方法是使用带有相对较少选项的长密码，这样任何给定的密码都将使用大部分或所有选项，这意味着您无法从中分辨出任何有用的信息污迹。

确切的机制是什么仍然是一个很好的问题，但我认为长数字 pin 是不可能的。

【讨论】：

【解决方案3】：

你见过Droid lock screen?吗？你可以用它作为想法的基础。

这个特殊的想法使用一系列相互连接的点作为密码短语，但一个简单的选项可能是一组类似于某些自行车锁的切换（复选框）。

附：这种类型的安全方法（Droid Lock Screen）的一大优点是输入速度非常快。你可以通过一个笔画（虽然图像显示一个非常复杂的）。

【讨论】：

是的，我有。这种锁很适合让孩子远离电话。它不是您想要用来保护金融网站密码的东西。这里的重点是要有一个可以承受强攻击的强密码。使用模式输入的单个屏幕只有几十万种可能的排列，并且在几分钟甚至几秒钟内就会陷入计算机的暴力攻击。
你预计会有人用电脑破坏它吗？如果他们把你的手机拆开，你就已经迷路了：他们可以将探针连接到痕迹上并为所欲为。
尼克，我已经更新了这个问题，但要直接回答，密码保险箱的重点是即使它落入攻击者手中也是安全的，因为获取密码所需的关键信息密码永远不会存储在设备上。
啊，我误解了您正在寻找的保护的性质。顺便说一句，只是偶然看到了这个回复-别忘了使用@Jherico等。:)

【解决方案4】：

目标是向可以记录虚假尝试的程序或设备证明自己的身份，还是提供可以在不通知受信任方的情况下验证的秘密？前一种情况所需的熵水平远低于后者。

【讨论】：

后者。这个想法是用更容易输入但提供相同安全性的东西来替换用于解锁基于 PC 的密码保险箱的密码短语提供的长熵。安全性应该基于攻击者能够获取密码文件本身并使其受到对其硬件的攻击。