Как да използвате генератор на произволни пароли

Паролите са ужасни. Ако използвате слаба парола за уебсайта на банката си, рискувате да загубите средствата си за груба атака. Но ако направите паролата твърде случайна, може да я забравите и да се заключите от акаунта. Можете да изберете да запомните само една сложна парола и да я използвате навсякъде, но ако направите това, нарушение в един сайт разкрива всичките ви акаунти. Единственият ви разумен курс е да привлечете помощта на мениджър на пароли и да промените всички ваши слаби и дублирани пароли на уникални, произволни низове от символи.

Почти всеки мениджър на пароли включва компонент на генератор на пароли, така че не е необходимо да измисляте сами тези случайни пароли. (Но ако искате решение „направи си сам“, ще ви покажем как да изградите свой генератор на произволни пароли). Не всички генератори на пароли обаче са създадени еднакви. Когато знаете как работят, можете да изберете този, който е най-подходящ за вас, и да използвате този, който имате интелигентно.

Генератори на пароли - произволни или не?

Когато хвърлите чифт зарчета, получавате наистина случаен резултат. Никой не може да предвиди дали ще получите змийски очи, боксерки или късметлия седем. Но в компютърната сфера не са налични физически рандомизатори като зарчета. Да, има няколко източници на произволни числа, базирани на радиоактивно разпадане, но няма да ги намерите в средния потребителски мениджър на пароли.

Мениджърите на пароли и други компютърни програми използват това, което се нарича псевдослучайно алгоритъм. Този алгоритъм започва с число, наречено семена. Алгоритъмът обработва семето и получава ново число без проследима връзка със старото, а новото число става следващото. Оригиналното семе никога повече не се появява, докато не се появи всяко друго число. Ако зародишът беше 32-битово цяло число, това означава, че алгоритъмът ще премине през 4, 294, 967, 295 други числа преди повторение.

Това е добре за ежедневна употреба и е добре за нуждите на повечето хора за генериране на пароли. Теоретично обаче е възможно квалифициран хакер да определи използвания псевдовиреден алгоритъм. Като се има предвид тази информация и семето, хакерът може да възпроизведе последователността на случайни числа (макар че би било трудно).

Този вид насочено хакерство е извънредно малко вероятно, освен при специализирана атака на национална държава или корпоративен шпионаж. Ако сте обект на такава атака, вашият пакет за сигурност вероятно не може да ви защити; за щастие почти сигурно не сте целта за този вид кибереспионаж.

Въпреки това, няколко мениджъри на пароли активно работят, за да елиминират дори отдалечената възможност за такава фокусирана атака. Чрез включване на собствените си движения на мишката или случайни знаци в произволния алгоритъм, те получават наистина случаен резултат. Сред тези, които предлагат тази рандомизация в реалния свят, са AceBIT Password Depot, KeePass и Steganos Password Manager. На екрана е показан матричен стил рандомизатор на парола Depot; да, героите падат при движение на мишката.

Наистина ли трябва да добавите рандомизация в реалния свят? Вероятно не. Но ако това ви прави щастливи, продължете!

Мениджърите на пароли намаляват случайността

Разбира се, генераторите на пароли буквално не връщат случайни числа. По-скоро те връщат низ от знаци, използвайки произволни числа, за да избират от наличните набори символи. Винаги трябва да разрешавате използването на всички налични набори символи, освен ако не генерирате парола за уебсайт, който, да речем, не позволява специални символи.

Пулът от налични символи включва 26 главни букви, 26 малки букви и 10 цифри. Тя включва и колекция от специални символи, които могат да варират от продукт до продукт. За простота, да кажем, че има 18 специални символа. Това прави един хубав кръг от общо 80 знака за избор. В напълно случайна парола има 80 възможности за всеки герой. Ако изберете осем знака парола, броят на възможностите е от 80 до осмата мощност, или 1, 677, 721, 600, 000, 000 - повече от квадрилион. Това е тежко дефиниране на взломна атака на груби сили и предположението за груба сила наистина е единственият начин да пробиете наистина случайна парола.

Разбира се, напълно случаен генератор в крайна сметка ще произведе "aaaaaaaa" и "Covfefe!" и "12345678", тъй като те са също толкова вероятни като всяка друга последователност от осем знака. Някои генератори на пароли активно филтрират изхода си, за да избегнат такива пароли. Това е добре, но ако хакер знае за тези филтри, той всъщност намалява броя на възможностите и улеснява напукването на груба сила.

Ето един краен пример. Има 40 960 000 възможни четиризнакови пароли, извлечени от колекция от 80 знака. Но някои генератори на пароли налагат избор на поне по един от всеки тип символи и това намалява драстично възможностите. Все още има 80 възможности за първия герой. Да предположим, че това е главна буква; пулът за втория символ е 54 (80 минус 26-те главни знака). Освен това предположим, че вторият символ е малка буква. За третия символ остават само цифри и специални символи за 28 избора. И ако третият символ е пунктуация, последният трябва да е цифра, 10 избора. Нашите 40 милиона възможности намаляват до 1 209 600.

Използването на всички набори от символи е необходимост за много уебсайтове. За да избегнете това изискване да свие пула на вашата парола, задайте височината на паролата. Когато паролата е достатъчно дълга, ефектът от принуждаването на всички типове символи става незначителен.

Други ограничения, които мениджърите на пароли прилагат, намаляват излишното количество възможни пароли. Например, RememBear Premium указва точния брой знаци от всеки от четирите набора символи, което драстично намалява пула. По подразбиране тя изисква две главни букви, две цифри, 14 малки букви и никакви символи за общо 18 знака. Това води до пул от пароли, който е стотици милиони пъти по-малък, отколкото ако просто изисква един или повече от всеки тип символи. Тук отново можете да компенсирате този проблем, като зададете по-голяма дължина на паролата.

LastPass и няколко други по подразбиране за избягване на двусмислени двойки символи като цифрата 0 и буквата O. Когато не е нужно да запомните паролата, това не е необходимо; изключете тази опция. По същия начин, не избирайте опцията за генериране на изрична парола като "entlestmospa". Тази опция е важна само ако е парола, която трябва да запомните. Прилагането на тази опция не само ви ограничава до малки символи, но отхвърля огромния брой възможности, които генераторът на пароли счита за непроизнасяем.

Генериране на дълги пароли

Както видяхме, генераторите на пароли не е задължително да избират от пула от всички възможни пароли, съответстващи на избраната от вас дължина и набор от знаци. В крайния пример на четиризнакова парола, използваща всички набори символи, около 97 процента от възможните четиризнакови пароли никога не се появяват. Решението е просто; върви дълго! Не е нужно да помните тези пароли, така че те могат да бъдат огромни. Поне толкова големи, колкото и въпросният уебсайт приема; някои налагат ограничения.

Колкото по-голямо е пространството за търсене (това, което аз наричам пула от налични пароли), толкова по-дълго ще отнеме груба сила атака при паролата ви. Можете да играете с парола Калкулатор на сено (като игла в сено) на уебсайта на Gibson Research, за да получите усещане за стойността на дължината.

Просто въведете парола, за да видите колко време ще отнеме. (Сайтът обещава "НИЩО, което правите тук, винаги напуска браузъра си. Какво се случва тук, остава тук." Но предпазливостта предлага да избягвате използването на действителните си пароли). Четири знака парола като 1eA & ще отнеме не един ден, ако хакерът трябва да изпрати догадки онлайн. Но в офлайн сценарий, където хакерът може да пробва предположения с висока скорост, времето за напукване е частица от секундата.

В моята статия за създаване на запомнящи се силни пароли (за неща като главната парола на мениджъра на пароли) предлагам мнемонична техника, която трансформира ред от стихотворение или игра в парола, която изглежда произволно. Например, линия от Ромео и Жулиета, акт 2, сцена 2, стана „bS, wLtYdWdB? A2S2“. Това не е случайна парола, но кракерът не знае това. Поставяйки го в калкулатора на Гибсън, научаваме, че дори и да се използва масивен крекинг масив, ще са необходими 1, 41 сто милиона века, за да се използва груба сила.

Направете информиран избор на мениджър на пароли

Така че сега знаете - най-важният фактор за генериране на силни, случайни пароли е да ги направите дълги. Някои генератори на пароли отхвърлят пароли, които не съдържат всички набори символи, други отхвърлят тези с вградени думи от речника, някои отхвърлят пароли, които съдържат двусмислен символ като малки l и цифра 1. Всички тези ограничения ограничават група от възможни пароли, но когато дължината е достатъчно висока, това ограничение просто няма значение.

Разбира се, теоретично (ако не на практика) е възможно някой злоупотреби да хакне схемата за генериране на пароли на любимия ви мениджър на пароли и по този начин да придобие способността да предвижда псевдослучайните пароли, които ще ви предложи. Една сенчеста програма за управление на пароли може да изпрати вашите случайни пароли обратно до централата на компанията. Това наистина е в нивото на безпокойство на параноя на tinfoil-hat. Но ако наистина не искате да разчитате на някой друг за вашите случайни пароли, можете да създадете свой собствен генератор на произволни пароли в Excel.