侮辱性密码短语生成器
整体反应
- 许多评论者觉得这个侮辱性生成器非常好笑,而且写得很有创意,人们还分享自己最喜欢的生成短语。
- 也有不少人说他们不会真的把这些当作严肃的密码来用,但很喜欢把它当娱乐,或者用于 Slack 机器人、游戏,甚至在 shell 里偶尔图个乐。
安全性、熵以及作为密码的适用性
- 所谓约 42 位随机性,被广泛认为对现代安全来说偏低;有人建议目标应接近 77–128 位。
- 少数人认为,如果是简单哈希,42 位可能会在几分钟内被暴力破解,尤其当生成器流行起来、其搜索空间被明确针对时。
- 也有人指出,攻击者首先必须知道你用了这个特定生成器;如果知道了,搜索空间虽然固定,但仍然很大。
- 有人建议如果真要用于严肃用途,可以把两个生成的侮辱短语组合起来,不过这样可记忆性又会变成问题。
服务端生成与信任
- 一个反复出现的强烈担忧是:侮辱短语是在服务器端生成的,所以运营方可能记录每一次输出,并在之后尝试把这些当作密码。
- 不少人坚持,可信的口令短语工具应该在客户端或本地运行,并且代码可审计、开源。
- 也有人反驳说,即便被记录,生成器也不知道你是谁,或你会把口令短语用在哪里;而极端的不信任在实践中并不现实。
词表、冒犯性与商业顾虑
- 关于诸如“china”、“Japanese”、“Colorado”、“Boston”、“English”之类的词条存在争论:
- 有人认为这些指的是物体或犬种,而不是国家/族群。
- 也有人说,把可能涉及族裔或国家的词作为侮辱内容并不稳妥,甚至品味很差。
- 另一个单独的话题是给客户或员工发放随机口令短语:
- 有人认为随机的冒犯性无伤大雅,甚至能促使用户尽快更改。
- 也有人强调,在商业环境中,哪怕是无意的贬损词也可能引发投诉、负面公关,或假装愤怒,因此应避免冒犯性内容。
口令短语、密码管理器与替代方案
- 多位用户推荐密码管理器以及本地运行的生成器(CLI 工具、Diceware、自定义脚本)。
- 口令短语被认为尤其适合那些必须记住的少数密码(如操作系统登录、主密码等)。
- 关于常被引用的“correct horse battery staple”模型也存在争论;有人强调,对于由密码管理器管理的密码来说,长的随机字符密码能提供高得多的熵。