Maskinframslumpat menar jag att det är en sekvens som erkänd slumpgenerator har tagit fram utan mänsklig stöd eller modifiering i efterhand för att göra den med 'attraktiv' för att kunna lära sig denna utantill - och detta stöder många passordhanterare - det gäller att få folk att använda dem också.
Av alla dataläckage som skett hittills och hur framgångsrikt passorden krackats över tiden (det finns idag över 5 miljarder unika passord framtagna i klarspråk från till stor del framhackade av hash-summor) så tyder det att det bara är delar av % som använder sant framslumpade passord och resten egensnickrade dito - det är dom som har sanna maskinslumpade passord på minst 10-11 tecken som fortfarande ligger kvar i högen ej knäckta passord/passfraser hos varje databreach.
---
Alla skrivbara ASCII-tecken utom mellanslag och de över ASCII128 (dvs inte åäö och motsvarande) ger ett alfabete på 94 tecken att välja på.
tar man ln(94) / ln(2) = 6.55545 bit per tecken och för 80 bits entropi då kräver 80 / 6.5545 = 12.21 tecken.
(80 bit entropi var SHA1 tänkta 'styrka' men pga. inre svaghet nu är ned klassad till 63 bit entropi. - därför kör man med sha256 (för 128 bit entropi) och mer för att få tillräckliga marginaler idag om det i framtiden skulle finnas 'sprickor' som försvagar i nuvarande hash-agoritmer)
Med 80 bit entropi och för att till 50% chans hitta rätt sekvens så tar det mer än 3500 år när man gör angrepp med 1000 miljarder tester per sekund.
Så tekniskt sett så är 12 (13) tecken tillräckligt i sin passord för vardagsbruksanvändning om sekvensen är sant framslumpad och kör stora/små, siffror och alla skrivbara symboler.
kör man med bara stora/små och siffror så är urvalet 62 tecken och 5.954 bit per tecken och då behöver 80 bits entropi 13.44 tecken (praktiken 14 tecken)
Det finns dock ett undantag och den heter Windows av historiska orsaker då det har visat sig enorm svårt att vara helt säker på att den gamla infrastrukturen med NTLM (som idag knäcks på typ minuter och tom. sekunder att det idag betraktas som klartext) inte används då det kan slås på med AD från en företagsserver för att de har någon skrivare som inte klarar högre krypteringsgrad över nätverket, fast användaren tycker sig att ha rensat och för att garantera att det inte används så måste passordet i windows vara minst 15 tecken lång då passordet inte ens av misstag går att använda i den gamla NTLM infrastrukturen i Windows.
För 128 bits entropi på sitt passord så behöver man 19.53 slumpade tecken (i praktiken 20 tecken) och det är att anses som oknäckbart inom rimlig tid på många miljarder år och kosta enorma mängder med energi vid en angrepp. Med bara stora/små och siffror -> 21.5 tecken (i praktiken 22 tecken)
Detta gör också att enormt långa slumpteckensekvenser inte gör någon nytta utan bara är besvärligt för brukaren då hash-algoritmerna som hashar passordet blir svagare än den inmatade sekvensen i avseende entropi och knäcks före med andra sekvenser som ger samma hash-summa som använda passordet (födelsedags-paradoxen)
För att lättare kunna lära sig starka passord utantill för tex. sin email-box eller veracrypt-arkiv eller för passordmanagers masterpassord så är alternativet passfraser med skiljetecken mellan orden. Med andra ord tekniken liknar som en portfölj-lås med ett antal tumhjul som skall ställas rätt innan låset öppnas (därav att det är skiljetecken mellan orden då det agerar som avdelare mellan 'tumhjulen')
Med diceware-ordlistor (som finns i ett antal språk) så var tanken att kasta fram orden med antal tärningsskast per ord för att garantera slumpmässighet och sedan slå upp i listan för att bygga sin passfras, vilket gör att ordlistan är 7776 ord lång för att exakt passa en 6-sidig tärning och 5 kast/5 tärningar kastade per ord.
Med ln(7776) / ln(2) = så blir varje ord i diceware-listan värd 12.93 bit i entropi
För 80 bit styrka så krävs 6.19 ord (i praktiken avrunda man till 6 ord på bekostnad av lite attackmotstånd, men inte så mycket och håller fortfarande mot 3500 års attacktid med 1000 miljarder tester i sekunden) ) - för 128 bits entropi behövs 9.9 ord (10 ord i praktiken)
Det är meningslöst att ha mer än 10 ord i en passfras då hash-algoritmen som hantera passfrasen kommer vara vekare än passfrasen i sig.
