Cum se utilizează un generator de parole aleatoriu

Parolele sunt groaznice. Dacă utilizați o parolă slabă pentru site-ul dvs. bancar, riscați să vă pierdeți fondurile în urma unui atac de cracare cu forțe brute. Dar dacă faceți parola prea întâmplătoare, este posibil să o uitați și să vă blocați din cont. S-ar putea să alegeți să memorați doar o parolă complexă și să o utilizați peste tot, dar dacă faceți asta, o încălcare pe un site expune toate conturile. Singurul tău curs rezonabil este să înscrii ajutorul unui administrator de parole și să schimbi toate parolele slabe și duplicate în șiruri de caractere unice, aleatorii.

Aproape fiecare manager de parolă include o componentă generatoare de parole, astfel încât nu trebuie să veniți singur cu aceste parole aleatorii. (Dar dacă doriți o soluție de făcut-vă-vă, vă vom arăta cum să construiți propriul generator de parole aleatoriu). Cu toate acestea, nu toate generatoarele de parole sunt create egale. Când știți cum funcționează, îl puteți alege pe cel care este cel mai bine pentru dvs. și să-l utilizați pe cel pe care îl aveți în mod inteligent.

Generatoare de parolă - aleatoriu sau nu?

Când arunci o pereche de zaruri, obții un rezultat cu adevărat aleatoriu. Nimeni nu poate prezice dacă veți primi ochi de șarpe, cutii sau șapte norocoși. Dar pe tărâmul computerului, randomizatoarele fizice precum zarurile nu sunt disponibile. Da, există câteva surse de numere aleatorii bazate pe descompunerea radioactivă, dar nu le veți găsi în managerul de parole mediu din partea consumatorului.

Managerii de parole și alte programe de calculator folosesc ceea ce se numește algoritm pseudo-aleatoriu. Acest algoritm începe cu un număr numit semință. Algoritmul procesează sămânța și obține un număr nou, fără nicio conexiune urmărită cu vechiul, iar noul număr devine următorul. Semința inițială nu apare niciodată din nou, până când nu apare niciun alt număr. Dacă semința ar fi un număr întreg pe 32 de biți, asta înseamnă că algoritmul ar trece prin alte 4.294.967.295 de numere înainte de repetare.

Acest lucru este bine pentru utilizarea de zi cu zi, și bine pentru nevoile majorității oamenilor de generare de parole. Cu toate acestea, teoretic este posibil ca un hacker priceput să determine algoritmul pseudo-aleatoriu utilizat. Având în vedere faptul că informațiile și semințele, hackerul ar putea reda în mod imaginar succesiunea de numere aleatorii (deși ar fi dificil).

Acest tip de hacking dirijat este extraordinar de puțin probabil, cu excepția unui atac dedicat statelor naționale sau a spionajului corporativ. Dacă sunteți subiectul unui astfel de atac, suita de securitate probabil nu vă poate proteja; din fericire nu ești aproape sigur că nu este ținta acestui tip de ciberspionaj.

Chiar și așa, câțiva manageri de parole lucrează activ pentru a elimina chiar și posibilitatea de la distanță a unui astfel de atac concentrat. Prin încorporarea propriilor mișcări ale mouse-ului sau caractere aleatorii în algoritmul aleatoriu, acestea obțin un rezultat cu adevărat aleatoriu. Printre cele care oferă această randomizare din lumea reală sunt AceBIT Password Depot, KeePass și Steganos Password Manager. Ecranul arată randomizatorul în stilul matricei Password Depot; da, personajele scad în timp ce vă deplasați mouse-ul.

Aveți nevoie într-adevăr să adăugați randomizare din lumea reală? Probabil ca nu. Dar dacă te face fericit, mergi pentru asta!

Administratorii de parolă reduc Randomness

Desigur, generatoarele de parole nu returnează în mod literal numere aleatorii. Mai degrabă, întorc un șir de caractere, folosind numere aleatorii pentru a alege dintre seturile de caractere disponibile. Ar trebui să activați întotdeauna utilizarea tuturor seturilor de caractere disponibile, cu excepția cazului în care generați o parolă pentru un site web care, să zicem, nu permite caractere speciale.

Grupul de caractere disponibile include 26 de litere mari, 26 de litere mici și 10 cifre. De asemenea, include o colecție de caractere speciale care pot varia de la un produs la altul. Pentru simplitate, să zicem că există 18 caractere speciale disponibile. Acest lucru face un total rotund de 80 de caractere din care să alegeți. Într-o parolă total aleatorie, există 80 de posibilități pentru fiecare personaj. Dacă alegeți o parolă cu opt caractere, numărul de posibilități este de 80 până la a opta putere, sau 1.677.721.600.000.000 - mai mult decât un sfert. Acesta este un slogan greu pentru un atac de cracare cu forțe brute, iar ghicitul de forță brută este într-adevăr singura modalitate de a sparge o parolă cu adevărat întâmplătoare.

Desigur, un generator total aleatoriu va produce în cele din urmă „aaaaaaaa” și „Covfefe!” și „12345678”, deoarece acestea sunt la fel de probabile ca oricare altă secvență de opt caractere. Unii generatori de parole își filtrează activ ieșirea pentru a evita astfel de parole. Este în regulă, dar dacă un hacker știe despre aceste filtre, reduce efectiv numărul de posibilități și ușurează fisurarea forțelor brute.

Iată un exemplu extrem. Există 40.960.000 de parole posibile cu patru caractere, care provin dintr-o colecție de 80 de caractere. Dar unii generatori de parole obligă la selecția a cel puțin unuia dintre fiecare tip de personaj și asta reduce posibilitățile drastic. Există încă 80 de posibilități pentru primul personaj. Să presupunem că este o scrisoare cu majuscule; pool-ul pentru cel de-al doilea personaj este de 54 (80 minus cele 26 de caractere mari) În plus, să presupunem că cel de-al doilea personaj este cu litere mici. Pentru cel de-al treilea caracter, rămân doar cifre și caractere speciale, pentru 28 de opțiuni. Și dacă cel de-al treilea personaj este punctuația, ultima trebuie să fie o cifră, 10 alegeri. Posibilitățile noastre de 40 de milioane se diminuează la 1.209.600.

Utilizarea tuturor seturilor de caractere este o necesitate pentru multe site-uri web. Pentru a evita ca această cerință să vă micșoreze pool-ul de parole, setați lungimea parolei. Când parola este suficient de lungă, efectul forțării tuturor tipurilor de caractere devine neglijabil.

Alte limite pe care le aplică administratorii de parole reduc în mod inutil grupul de parole posibile. De exemplu, RememBear Premium specifică numărul precis de caractere din fiecare din cele patru set de caractere, ceea ce reduce drastic grupul. În mod implicit, este nevoie de două litere majuscule, două cifre, 14 litere mici și fără simboluri, pentru un total de 18 caractere. Rezultă un set de parole care este de sute de milioane de ori mai mic decât dacă ar fi nevoie pur și simplu unul sau mai multe din fiecare tip de caractere. Și din nou, puteți compensa această problemă setând o lungime mai mare a parolei.

LastPass și alte câteva implicit pentru a evita perechi de caractere ambigue, cum ar fi cifra 0 și litera O. Când nu trebuie să vă amintiți parola, aceasta nu este necesară; dezactivați această opțiune. De asemenea, nu alegeți opțiunea de a genera o parolă pronunțabilă precum „entlestmospa”. Această opțiune este importantă doar dacă este o parolă pe care trebuie să o rețineți. Aplicând această opțiune nu vă limitează doar la caractere minuscule, ci respinge numărul mare de posibilități pe care generatorul de parole le consideră nepronunțabile.

Generați parole lungi

După cum am văzut, generatoarele de parole nu aleg neapărat din setul de parole posibile care corespund lungimii și seturilor de caractere pe care le-ați selectat. În exemplul extrem de o parolă de patru caractere care utilizează toate seturile de caractere, aproximativ 97 la sută din posibile parole de patru caractere nu apar niciodată. Soluția este simplă; du-te mult! Nu trebuie să vă amintiți aceste parole, astfel încât acestea pot fi uriașe. Cel puțin, la fel de imens pe cât acceptă site-ul în cauză; unii impun limite.

Cu cât spațiul de căutare este mai mare (ceea ce am numit grupul de parole disponibile), cu atât va dura mai mult un atac de forță brută care să se întâmple cu parola. Puteți să vă jucați cu calculatorul de pălărie cu parolă (ca în ac, în acoperiș) de pe site-ul Gibson Research pentru a obține o idee pentru valoarea lungimii.

Introduceți doar o parolă pentru a vedea cât timp va dura fisurarea. (Site-ul promite „NICIUNI ce faceți aici nu vă lasă niciodată browserul. Ceea ce se întâmplă aici, rămâne aici. Dar atenție vă sugerează să evitați utilizarea parolelor dvs. reale) O parolă de patru caractere, cum ar fi 1eA și nu ar dura destul de o zi pentru a sparge, dacă hackerul trebuie să trimită ghicitori online. Dar într-un scenariu offline, în care hackerul poate încerca ghiciri la viteză mare, timpul de fisurare este o fracție de secundă.

În articolul meu despre crearea de parole puternice memorabile (pentru lucruri precum parola principală a managerului de parole), sugerez o tehnică mnemonică care transformă o linie dintr-o poezie sau joacă într-o parolă cu aspect aleatoriu. De exemplu, o linie de la Romeo și Julieta, Act 2, Scena 2, a devenit „bS, wLtYdWdB? A2S2”. Aceasta nu este o parolă aleatorie, dar un cracker nu știe asta. Aruncându-l în calculatorul lui Gibson aflăm că, chiar și folosind un sistem masiv de fisurare, ar fi nevoie de 1, 41 sute de milioane de secole pentru a forța brute pe acesta.

Efectuați o alegere informată a administratorului de parole

Deci, acum știți - cel mai important factor în generarea de parole puternice, aleatorii, este să le faceți mai lungi. Unii generatori de parole resping parolele care nu conțin toate seturile de caractere, unii le resping pe cele cu cuvinte de dicționare încorporate, unele aruncă parolele care conțin caracter ambiguu, cum ar fi cifre mici și 1. Toate aceste restricții limitează grupul de parole posibile, dar când lungimea este suficient de mare, această limitare pur și simplu nu contează.

Desigur, teoretic (dacă nu practic) este posibil ca un anumit malefic să poată pirata schema de generare a parolei a managerului preferat de parole și, prin urmare, să obțină capacitatea de a prezice parolele pseudo-aleatorii pe care vi le va oferi. Un program umbrit de administrator de parole ar putea trimite parolele aleatorii înapoi la sediul companiei. Acest lucru este într-adevăr în nivelul de îngrijorare paranoia tinfoil-hat. Dar dacă nu doriți cu adevărat să vă bazați pe altcineva pentru parolele voastre aleatorii, vă puteți crea propriul generator de parole aleatoriu în Excel.