Hogyan kell használni egy véletlenszerű jelszógenerátort?

A jelszavak szörnyűek. Ha gyenge jelszóval látja el a bank webhelyét, akkor kockáztatja, hogy pénzeit elveszíti egy brute-force repedéses támadáshoz. De ha túl véletlenszerűvé teszi a jelszót, akkor elfelejtheti és kizárhatja a fiókból. Lehet, hogy csak egy összetett jelszót memorizál, és bárhol felhasználhatja, de ha ezt megteszi, akkor egy webhely megsértése minden fiókját feltárja. Az egyetlen ésszerű tanfolyam az, hogy egy jelszókezelő segítséget igényel, és az összes gyenge és duplikált jelszavát egyedi, véletlenszerű karakterláncokra cserélje.

Szinte minden jelszókezelő tartalmaz egy jelszógenerátor-összetevőt, így nem kell saját magának ezeket a véletlenszerű jelszavakat kitalálnia. (De ha ön akar -hoz-csinál-magad megoldást szeretne , megmutatjuk Önnek, hogyan kell felépíteni a saját véletlenszerű jelszó-generátort). Ugyanakkor nem minden jelszógenerátort hoz létre egyenlően. Amikor tudja, hogyan működnek, kiválaszthatja a legmegfelelőbbet, és intelligensen tudja használni.

Jelszógenerátorok - véletlenszerű vagy sem?

Ha dob egy pár kocka, akkor valóban véletlenszerű eredményt kap. Senki sem tudja megjósolni, hogy kígyószemmel, boxkocsival vagy szerencsés héttel kapsz-e. De a számítógépes világban a fizikai véletlenszerűsítők, például a kocka nem állnak rendelkezésre. Igen, van néhány véletlenszerű számú forrás radioaktív bomláson alapulva, de ezeket nem találja meg az átlagos fogyasztói oldalú jelszókezelőben.

A jelszókezelők és más számítógépes programok az ál-véletlenszerű algoritmust használják. Ez az algoritmus egy magnak nevezett számmal kezdődik. Az algoritmus feldolgozza a magot, és új számot kap, anélkül, hogy nyomon követhető lenne a régihoz, és az új szám lesz a következő mag. Az eredeti vetőmag soha nem jelenik meg, amíg minden más szám meg nem jelenik. Ha a mag 32 bites egész szám volt, ez azt jelenti, hogy az algoritmus 4 294 967 295 egyéb számon fut át ​​egy ismétlés előtt.

Ez kiválóan használható mindennapi használatra, és a legtöbb ember számára a jelszó-előállítási igényekre. Elméletileg azonban egy képzett hackerek meghatározhatják a használt ál-véletlenszerű algoritmust. Figyelembe véve ezt az információt és a magot, a hackerek elképzelhetően megismételhetik a véletlen számok sorozatát (bár nehéz lenne).

Az ilyen irányú hackelés rendkívül valószínűtlen, kivéve egy nemzetállami célzott támadást vagy vállalati kémkedést. Ha ilyen támadásnak van kitéve, akkor a biztonsági csomag valószínűleg nem véd meg téged; szerencsére szinte biztos, hogy nem vagy az ilyen fajta cyberrepionálás célpontja.

Ennek ellenére néhány jelszókezelő aktívan dolgozik annak érdekében, hogy kiküszöbölje az ilyen koncentrált támadás távoli esélyét is. A saját egérmozgások vagy véletlenszerű karakterek beépítésével a véletlenszerű algoritmusba valóban véletlenszerű eredményt kapnak. A valós véletlenszerűsítést kínálók között szerepel az AceBIT Password Depot, a KeePass és a Steganos Password Manager. A képernyőképen látható a Password Depot mátrix stílusú randomizer; igen, a karakterek esnek, amikor az egér mozgatja.

Tényleg hozzá kell adnia valós véletlenszerűsítést? Valószínűleg nem. De ha boldoggá teszi, akkor menj!

Jelszókezelők csökkentik a véletlenszerűséget

Természetesen a jelszógenerátorok szó szerint nem adnak vissza véletlenszerű számokat. Inkább egy karakterláncot adnak vissza, véletlenszerű számokkal választva a rendelkezésre álló karakterkészletek közül. Mindig engedélyeznie kell az összes elérhető karakterkészlet használatát, kivéve, ha olyan webhelyhez jelszót állít elő, amely, mondjuk, nem engedélyezi a speciális karakterek használatát.

A rendelkezésre álló karakterkészlet 26 nagybetűt, 26 kisbetűt és 10 számjegyet tartalmaz. Ez magában foglalja a speciális karakterek gyűjteményét is, amelyek termékenként változhatnak. Az egyszerűség kedvéért mondjuk, hogy 18 speciális karakter áll rendelkezésre. Így egy szép kerek, összesen 80 karakter közül lehet választani. Teljesen véletlenszerű jelszóval minden karakterhez 80 lehetőség van. Ha egy nyolc karakterből álló jelszót választ, a lehetőségek száma 80-tól a nyolcadikig terjedő teljesítmény, vagy 1 677 721 600 000 000 000 - több, mint négy milliárd. Ez a durva erőszakos krakkolás támadása, és a valódi véletlenszerű kitalálás valóban az egyetlen módja egy valóban véletlenszerű jelszó feltörésének.

Természetesen egy teljesen véletlenszerű generátor végül "aaaaaaaa" és "Covfefe!" és "12345678", mivel ezek ugyanolyan valószínűek, mint bármely más nyolc karakterből álló sorozat. Egyes jelszógenerátorok aktívan szűrik a kimenetet, hogy elkerüljék az ilyen jelszavakat. Jól van, de ha a hackerek ismeri ezeket a szűrőket, akkor valójában csökken a lehetőségek száma és megkönnyíti a brutális erő feltörését.

Itt egy extrém példa. 40 960 000 lehetséges négy karakterből álló jelszó áll rendelkezésre, a 80 karakterből álló gyűjteményből. De néhány jelszógenerátor kényszeríti az egyes karaktertípusok közül legalább egy kiválasztását, és ez drasztikusan csökkenti a lehetőségeket. Még 80 lehetőség van az első karakterre. Tegyük fel, hogy ez egy nagybetű; a második karakter készlete 54 (80 mínusz a 26 nagybetű). Tegyük fel, hogy a második karakter kisbetűs. A harmadik karakternél csak számjegyek és speciális karakterek maradnak fenn, 28 választás esetén. És ha a harmadik karakter írásjelek, akkor az utolsónak egy számjegynek kell lennie, 10 választás. 40 millió lehetőségünk 1, 209, 600-ra csökken.

Az összes karakterkészlet használata sok weboldal számára szükséges. Annak elkerülése érdekében, hogy ez a követelmény csökkentsék a jelszókészletét, állítsa magasra a jelszó hosszát. Ha a jelszó elég hosszú, akkor az összes karaktertípus kényszerítésének hatása elhanyagolható lesz.

A jelszókezelők által alkalmazott egyéb korlátozások szükségtelenül csökkentik a lehetséges jelszavak készletét. Például a RememBear Premium meghatározza a karakterek pontos számát a négy karakterkészlet mindegyikéből, ami drasztikusan csökkenti a készletet. Alapértelmezés szerint két nagybetűre, két számjegyre, 14 kisbetűre és szimbólum nélkül, összesen 18 karakterre van szükség. Ennek eredményeként egy jelszókészlet százmilliószor kisebb, mintha csak egy vagy több karaktertípust igényelne. Itt ismét ellensúlyozhatja ezt a problémát magasabb jelszóhossz beállításával.

A LastPass és még sokan mások elkerülik az olyan egyértelmű karakterpárokat, mint a 0 számjegy és az O betű. Ha nem kell emlékezni a jelszóra, erre nincs szükség; kapcsolja ki ezt a lehetőséget. Hasonlóképpen, ne válassza a kiejthető jelszó létrehozásának lehetőségét, például az "entlestmospa". Ez a lehetőség csak akkor fontos, ha ez egy jelszó, amelyet meg kell emlékezni. Ennek az opciónak a használata nem csak a kisbetűket korlátozza, hanem elutasítja a lehetőségek óriási számát, amelyeket a jelszógenerátor észrevétlennek tart.

Generáljon hosszú jelszavakat

Mint láttuk, a jelszógenerátorok nem feltétlenül választanak minden lehetséges jelszót a választott hossznak és karakterkészletnek megfelelő készletből. Az összes karakterkészletet használó négy karakterből álló jelszó szélsőséges példájában a lehetséges négy karakterből álló jelszavak 97% -a soha nem jelenik meg. A megoldás egyszerű; menj sokáig! Nem kell megjegyeznie ezeket a jelszavakat, így óriásiak lehetnek. Legalább olyan hatalmas, amennyit a kérdéses weboldal elfogad; egyesek korlátokat szabnak.

Minél nagyobb a keresési terület (amit már hívtam a rendelkezésre álló jelszavak készletévé), annál hosszabb ideig tart majd brutális erőszakos támadás a jelszavával. Játsszon a Password Haystack kalkulátorral (mint a tű szénakazalban) a Gibson Research webhelyen, hogy megismerje a hosszúság értékét.

Csak írjon be egy jelszót, hogy megtudja, mennyi ideig tarthat feltörése. (A webhely azt ígéri, hogy "SEM, hogy te itt teszel, elhagyja a böngészőt. Mi történik itt, itt marad." De óvatosság javasolja, hogy kerülje a tényleges jelszavakat). Egy olyan négy karakterből álló jelszó, mint például az 1eA, nem feltétlenül egy napig tarthat feltörni, ha a hackereknek kitalálásokat kell küldenie online módon. De offline állapotban, ahol a hackerek nagy sebességgel tudnak kitalálni, a repedés ideje egy másodperc tört része.

Emlékezetes erős jelszavak létrehozásáról szóló cikkemben (például a jelszókezelő fő jelszavához) egy olyan mnemonikus technikát javasolok, amely egy versből vagy játékból álló sort véletlenszerű jelszóvá alakít át. Például a Romeo és Júlia, a Act 2, 2. jelenet sora „bS, wLtYdWdB? A2S2” lett. Ez nem véletlenszerű jelszó, de a krakkoló ezt nem ismeri. A Gibson számológépébe ejtve megtudjuk, hogy még ha egy hatalmas repedési tömböt is használnának, 1, 41 száz millió évszázadra lenne szükség ennek a brutális erőnek a kikényszerítéséhez.

Válasszon egy tájékozott jelszókezelő választást

Tehát most már tudod - az erős, véletlenszerű jelszavak előállításának legfontosabb tényezője az, hogy hosszú legyen. Néhány jelszógenerátor elutasítja azokat a jelszavakat, amelyek nem tartalmaznak minden karakterkészletet, mások elutasítják azokat, amelyek beágyazott szótárszavakkal rendelkeznek, mások elutasítanak olyan jelszavakat, amelyek nem egyértelmű karaktereket tartalmaznak, mint például a kis l és az 1. számjegy. Ezek a korlátozások korlátozzák a lehetséges jelszavak készletét, de ha a hossza elég magas, ez a korlátozás csak nem számít.

Természetesen elméletileg (ha nem gyakorlatilag) lehetséges, hogy valami rosszindulatú szereplő megtámadja a kedvenc jelszókezelő jelszavak létrehozásának sémáját, és ezzel megszerezheti a képességét arra, hogy megjósolja az ál általad véletlenszerűen használt jelszavakat. Egy árnyékos jelszókezelő program küldheti vissza a véletlenszerű jelszavakat a cég székhelyére. Ez valóban a paranoia aggodalmának felel meg. De ha valóban nem akar valaki másra támaszkodni véletlenszerű jelszavain, akkor létrehozhat saját véletlenszerű jelszó-generátort az Excel programban.