Divulgazione completa: lavoro per un'azienda che distribuisce tali carte. Questa risposta, tuttavia, è la mia opinione personale su di loro.
L'idea di queste carte è che alcuni utenti sono davvero pessimi nel ricordare password o passphrase. L'approccio ingenuo sarebbe quello di dire agli utenti "Devi solo migliorare nel ricordare le password", ma l'esperienza ha dimostrato che tali consigli sono controproducenti con alcuni utenti.
La loro memoria sembra essere programmata solo per richiamare parole semplici, che probabilmente hanno qualcosa a che fare con il loro lavoro. Quindi qualcuno che lavora in una fabbrica di automobili potrebbe ricordare una parola come Engine
.
Engine
, ovviamente, è una password terribile, sia in lunghezza che entropia. Quindi il "Kryptonizer" o le carte con nomi simili tentano di aggiungerli entrambi.
La lunghezza viene aggiunta dal prefisso, 4uR =?
in questo caso. Aumenta immediatamente la lunghezza della password di 5 caratteri, passando da una password di 6 caratteri a una password di 11 caratteri. Non perfetto, ma un miglioramento.
L'entropia viene aggiunta sostituendo ogni carattere con un carattere scelto a caso. Non esattamente una sostituzione 1: 1, ma abbastanza vicina. Poiché ogni scheda è unica, non è possibile creare una regola predefinita su come manipolare ogni frase del dizionario.
In questo esempio, Engine
si trasformerebbe in 4uR =? 1YFFY1
. È una buona password? Probabilmente non eccezionale, ma sicuramente molto meglio di Engine
.
Problemi con questo schema
Ovviamente non è un sistema perfetto. Una buona passphrase non può essere sostituita da una piccola carta di carta. Poiché tre caratteri di input mappati a un carattere di output, la password risultante perde entropia invece di ottenerla. Il guadagno netto di entropia è che gli aggressori non possono più usare facilmente gli attacchi con dizionario. Per fare ciò, avrebbero bisogno di accedere alla mappatura o eseguire una ricerca esaustiva. Se un attaccante sa che è stata utilizzata una carta di questo tipo, può usarla a proprio vantaggio per accelerare una ricerca esaustiva.
Inoltre, gli utenti dovrebbero mantenere la propria carta in giro e molti probabilmente la lasceranno attiva la loro scrivania, sotto la tastiera o in posizioni simili. Se perdono la carta, probabilmente perderanno anche la password. Avranno bisogno di una nuova carta e cambieranno anche la loro password, il che non è così buono per l'usabilità.
Riepilogo
Quindi, è un buon sistema? In definitiva, direi che devi giudicarlo nel contesto di ciò per cui è progettato. È un aiuto per un gruppo specifico di utenti, che altrimenti utilizzerebbero password terribili e assurde. E aiutare gli utenti a scegliere password leggermente migliori per un costo irrisorio è una buona cosa, secondo me. Ovviamente, non è un proiettile d'argento che risolve magicamente il problema dell'archiviazione e della generazione delle credenziali.
Se possibile, utilizza sempre un gestore di password, lascia che generi password lunghe e ad alta entropia e memorizzale per te in modo sicuro.
Se ciò non è possibile (ad esempio per gli accessi al sistema operativo), consiglio di utilizzare Diceware o di creare una frase lunga e priva di senso, come TheGreenLightFromOurEyesShinesThroughTheMirrorOfTime .
. Assicurati solo che una frase del genere non sia tratta da un libro o da un film.