在最近的一篇论文中，El Emam, Moreau和Jonker强调了在临床试验中使用强密码来保护存储在文件中的个人健康信息的重要性[ 1］．在它们的设置中，我们有一个典型的离线密码猜测方案。

Pietro Cipresso等人对这篇论文进行了评论，详细阐述了人们创建复杂但同时容易记住的密码可能存在的潜在问题，他们提出了一种名为PsychoPass的解决方案[ 2］．本文在用户保护文件的背景下讨论了该方法;但是，它也可以用于需要密码的其他设置，包括管理员帐户密码。

Cipresso等人提出的解决方案有一些局限性需要考虑。但是在我们描述限制之前，我们对强密码进行了简短的讨论，因为两篇论文都没有解释为什么密码会很弱，以及弱点有多严重。

首先，一般的规则是，密码的强度与它们的长度和所使用的符号类型成正比，前提是密码的符号是从可能的符号池中随机抽取的——这里的关键概念是随机性[ 3.］．表示可能组合数的公式为 年代＝ b ^勒,在那里 年代是组合的总数， b一个域中的符号总数和 勒以字符为单位的密码长度。通常，密码符号所在的域由小写字母(a…z)和大写字母(a…z)、数字(0…9)和特殊符号(例如“#$%&/”)组成。在英语中，字母的数量是52个(26个小写+ 26个大写)，此外还有10个数字(0…9)和一些符号(例如13)，共计75个。例如，如果一个密码最多使用7个字符，那么总共会有 年代= 75¹+ 75²+ 75^3.+……+ 75⁷= 75⁸-1 = 1,001,129,150,390,625种组合。然而，对手可能会在所谓的蛮力攻击中尝试所有的组合。今天，报道的速度( v的范围 v= 10⁹组合/秒( 4- 7]，最多10个¹²组合/秒( 3.]，用于从给定的哈希值恢复明文密码，正如El Emam等人的论文中的场景[ 1］．同样的场景——使用预先计算的哈希值来破解由PsychoPass方法生成的密码——也可以使用。

为了找出检查所有组合所需的时间(在最坏的情况下，最受欢迎的密码是最后一个尝试的密码)，我们使用高中物理中著名的方程， t = s / v，其中时间(物体移动的时间)是距离除以速度，在我们的例子中是组合的数量除以1秒内可以测试的组合的速度。该计算基于一个假设，即所有可能的字母组合的哈希值都是预先计算好的: t＝ 年代/ v= 1001129150390625梳子。/ 1,000,000,000梳子。=1,001,129.15秒=16,685.49分钟=278.09小时=11.59天。也就是说，最多需要11.59天(11天14小时5分29秒)才能找到密码。但平均而言，时间缩短了一半(5天19小时2分45秒)。

由于摩尔定律[ 8]仍然有效，计算能力大约每18个月翻一番。在10年内，我们可以预期速度会比现在快100倍。然而，人们应该注意到，基于摩尔定律对速度增加的估计是相当保守的。这些技术和算法比蛮力计算能力进步得更快(例如，使用图形处理器和服务器群出租[ 9])。此外，量子计算将对安全产生巨大影响[ 10］．

表1而且 2列出长度不超过7和9的密码的所有可能组合的数量，对于不同大小的字符池(25=仅小写字母，50=小写和大写字母，60=字母和数字，75=字母，数字和特殊符号)，检查所需的时间 所有在今天的速度下可能的组合，以及由于速度的提高而需要的时间。

这些表格描述了信息安全领域一个众所周知的现象:今天安全的东西明天很可能就不安全了。 3.］．考虑El Emam等人在原始论文中描述的设置[ 1在那里，临床试验中的个人健康信息被存储在文件中。这些相同的文件将存在多年，尽管攻击者今天可能没有足够的计算能力，但他或她将在几年后拥有它。例如，如果这些文件包含关于名人或公众人物的有趣的医疗数据，那么披露在未来的破坏性将与今天一样大。

其次，一般规则——密码中的符号越多越好——有一个重要的例外:如果密码很长，但却是一个单词，则认为它是一个弱密码(字符不再是随机抽取的，而是从特定的分布中抽取)。这样的密码容易受到字典攻击[ 3.］．假设对手编写了一个包含所有语言的所有单词的字典，并计算相应的哈希值。虽然很难说世界上究竟有多少种语言——估计从5000种到10000种不等——但现存的人类语言有6909种。 11］．让我们假设每种语言包含100万个单词——最近的一项研究[ 12据估计，2000年英语词汇的数量为1022,000个。基于这些数字，我们估计人类单词总数不会超过7,060,998,000个单词;由于语言之间的单词重叠，实际的数字要低得多。对于对手来说，尝试所有的单词作为密码只需要很短的时间: t＝ 年代/ v=7,060,998,000 words / 1,000,000,000 words /s=7.06秒。

今天，包含单词和密码的字典有数十亿条词条[ 13， 14］．在选择正确的密码长度时，必须遵守其中一项保安的基本原则[ 3.]:(1)如果破解密码的成本超过被保护信息的价值，或者(2)破解密码所需的时间超过该信息的有效寿命，则该密码方案在计算上是安全的。如今，建造一台密码破解机的成本几乎可以忽略不计。 4， 6， 7，所以唯一可以依赖的原则就是破解密码所需的时间。为了本文的目的，让我们假设(医学)信息的使用寿命是60年。在这个假设下，一个安全的密码至少由9个字母、数字和符号组成。

本文的目的是根据这些假设来检验PsychoPass方法的强度。

我们发现了Cipresso等人提出的PsychoPass方法的两个问题。首先，他们的方法只适用于布局相同的键盘。在许多国家(如加拿大)，有几种不同的键盘布局，使得他们的方法实际上毫无用处。例如，加拿大多语言标准键盘上的序列(请参阅 图1)，以“w”键开始，再按“SHIFT”键+“3”键组合，生成密码“w#”，而在加拿大法语键盘上重复同样的顺序( 图2)生成密码“w/”。

当键盘类型不同时(QWERTZ vs QWERTY vs AWERTY)，或者当该方法在不同平台上使用时，情况会变得更糟，例如，从台式电脑或台式机到移动设备，如android驱动的平板电脑 图3vs 图1而且 2）.

PsychoPass的理念是，只要思考一个动作序列，而不是一个单词或一串字符，就可以创建、记忆和回忆密码。 2］．当键盘布局不同时，用户不能重现完全相同的密码，因为她或他只知道键的顺序，而不知道键值本身。

上述问题只是技术问题，要求用户使用相同类型的键盘。此外，通过一些基本训练或专业帮助，用户可以更改键盘布局，而无需实际更换键盘。使用不同的系统布局，即使在物理上不同的键盘上，用户也会重新生成正确的密码。传统设备和移动设备之间的互操作性仍然是一个小挑战。

其次，更重要的是，Cipresso等人提出的方法存在安全设计问题，因为它产生可预测的密码，容易受到暴力破解。PsychoPass方法，如作者在他们的视频中所演示的那样(可以从图中看到并在论文中描述)[ 2]，产生一个密码，这样它从某个密钥开始，然后只继续到该密钥的第一个邻居，然后再次只到该密钥的第一个邻居，直到达到序列长度;然后重复密码序列。由这种过程产生的字符不是随机绘制的，而是根据某种函数绘制的(在本例中，是通过接近函数绘制的)。从Cipresso等产品中可以看出 图1，他们产生了一个序列“f-t-6-t-y-g-r-5”，其中序列中的每个键都是前一个键的邻居。

在键盘上使用相邻键不仅会产生非随机的组合，而且这些组合本身会形成一个有限组合的字典。由于PsychoPass方法是公开披露的，因此为PsychoPass方法构建基于字典的攻击脚本的算法非常容易。

不同组合的总数( 年代)使用所演示的PsychoPass方法 s = n _k • ^祝福 •n _年代 ，在哪里 n _k是键盘上可以从序列开始的不同字符的数目， b是可能的下一个键的个数， 勒是生产序列的长度，和 n _年代是重复序列的个数。

一开始，我们有45个键组合( n _k=45)用于选择键作为起点(作者选择键“f”)。从那以后，每个键盘键(最多)有8个邻居(加上键本身)，所以在每一步中只有9个组合中的1个( b=9)可以使用。作者通过重复长度为8 ( 勒三次(三次) n _年代=3)，并声称密码是强密码。然而，他们的说法是乐观的。通过他们的方法可以产生的不同密码组合的总数为 年代＝ n _k • ^祝福 •n _年代= 45 •9⁸•3 = 5811307355。所有这些密码都可以在不到6秒的时间内检查。 表3列出测试由PsychoPass方法创建的所有密码所需的时间，用于不同次数的序列重复和序列中不同次数的击键。

可以观察到，序列的重复次数( n _年代)对密码的整体强度贡献不大。唯一的影响因素是密码中的字母数。为了确保PsychoPass方法的安全性，并为今天的使用提供强大的密码，用户必须记住17个密钥序列。但当考虑摩尔定律时，应该使用20个键的非重复序列。

生成密码的PsychoPass方法基于一个非常有趣的概念。原版本存在安全问题，可以进行如下改进。首先，SHIFT键和ALT-GR键应该与其他键结合使用。这样，初始组合数( n _k)从45增加到约110(=45个字符不移位+ 45个字符移位+约20个字符ALT-GR)。

其次，用户应该记住的下一个键不仅是1个距离，而是1或2(或更多)。例如，如果最初选择了“Q”，那么“E”(或“E”)也应该考虑在内。这里E到Q的距离是2个单位。这样，可能的下一个键的数量从9个增加到大约18个(大约是因为它取决于键的位置，例如，“B”比“E”有更少的两个单位距离相邻键，因为“B”在空格键旁边)。

现在，结合SHIFT和ALT-GR键的使用以及键之间较大距离的使用增加了基( b)从9到大约54(即9个邻居，每个邻居都与普通键、SHIFT +键或ALT-GR +键相结合)。综合起来，改进后的方法在重复3次、序列长度为9个字符的情况下所能产生的不同密码的总数为 s = n _k • ^祝福 •n _年代 ＝110 •54⁹•3 = 1288420951063403520。

所有这些密码可以在40年312天6小时42分31秒内被检查。相对于原来的6秒攻击方法，这是一个相当大的改进。

表4列出在不同参数设置下检查所有密码组合所需的时间(单位:年)。可以观察到(再次)序列长度是密码整体安全性的关键因素。为了使对PsychoPass方法的改进被认为是安全的，并为今天的使用提供强大的密码，用户必须记住10个密钥序列，只重复一次。

PsychoPass方法，由Pietro Cipresso等人在[ 2，有两个问题。第一个问题仅仅是技术问题:密码只能在键盘布局相同的键盘上生成和复制。第二个问题是安全缺陷:尽管生成的密码有24个字符长，但密码仍然很弱。缺点在于角色并不是随机绘制的，而是基于键盘上按键的接近程度。除非省略序列的重复，并且非重复序列的长度至少为20个字符，否则密码对暴力破解不具有弹性。这样的长度要求提出了一个问题，即这种方法的目的——一个容易记住的序列——是否仍然得到满足。

我们对PsychoPass方法提出了改进。首先，用户需要考虑SHIFT和ALT-GR键与其他键结合使用。第二，所使用的键之间需要有1或2个距离(而不仅仅是1)，第三，序列中的键的数量应该至少是9个，最好是10个。序列长度为10个字符，不需要重复序列，因为重复不会显著提高总密码的安全性。考虑到目前的计算能力，改进后的PsychoPass方法产生的密码只能在几百年内被破解。提议的版本需要10个密钥，而原来的方法需要20个密钥，以达到相同的密码强度。