Kako uporabljati naključni generator gesla

Gesla so grozna. Če za svoje spletno mesto v banki uporabljate šibko geslo, tvegate izgubo sredstev zaradi napada na grobe sile. Če pa geslo naredite preveč naključno, ga lahko pozabite in se zaklenete iz računa. Morda si boste želeli zapomniti samo eno zapleteno geslo in ga uporabljati povsod, če pa to storite, kršitev na enem mestu razkrije vse vaše račune. Vaš edini razumen tečaj je, da se obrnete na pomoč upravitelja gesel in spremenite vsa šibka in podvojena gesla v edinstvene, naključne nize znakov.

Skoraj vsak upravitelj gesel vključuje komponento generatorja gesel, zato vam teh naključnih gesel ne smete izdelovati sami. (Če pa želite sami narediti rešitev, vam bomo pokazali, kako sestaviti svoj lastni generator naključnih gesel). Niso pa vsi generatorji gesel ustvarjeni enako. Ko veste, kako delujejo, lahko izberete tistega, ki je najbolj primeren za vas, in uporabite inteligentnega.

Generatorji gesel - naključno ali ne?

Ko vržete par kock, dobite resnično naključen rezultat. Nihče ne more napovedati, ali boste dobili kačje oči, škatlice ali srečno sedmerico. Toda v računalniškem prostoru fizični naključni sprejemniki, kot so kocke, niso na voljo. Da, obstaja nekaj virov naključnih števil, ki temeljijo na radioaktivnem razpadu, vendar jih ne boste našli v povprečnem upravitelju gesel na strani potrošnikov.

Upravitelji gesel in drugi računalniški programi uporabljajo algoritem psevdo naključnih. Ta algoritem se začne s številko, imenovano seme. Algoritem obdeluje seme in dobi novo številko brez sledljive povezave s starim in nova številka postane naslednje seme. Originalno seme se nikoli več ne pojavi, dokler se ne pojavi vsaka druga številka. Če bi bilo seme 32-bitno celo število, to pomeni, da bi algoritem pred ponovitvijo tekel skozi 4, 294, 967, 295 druge številke.

To je v redu za vsakodnevno uporabo in za potrebe večine ljudi po ustvarjanju gesla. Vendar je teoretično mogoče, da kvalificirani heker določi uporabljeni psevdo naključni algoritem. Glede na te podatke in seme, bi heker lahko ponovil zaporedje naključnih števil (čeprav bi bilo težko).

Tovrstno usmerjeno hekanje je izredno malo verjetno, razen v namenskem napadu nacionalne države ali korporativnem vohunjenju. Če ste predmet takega napada, vas varnostni paket verjetno ne more zaščititi; na srečo skoraj zagotovo niste tarča tovrstnega kibernetskega pohoda.

Kljub temu pa nekaj upravljavcev gesel aktivno deluje, da bi odpravili celo oddaljeno možnost tako osredotočenega napada. Z vključitvijo lastnih gibov miške ali naključnih znakov v naključni algoritem dobijo resnično naključen rezultat. Med tistimi, ki ponujajo to naključno randomizacijo, so AceBIT Password Depot, KeePass in Steganos Password Manager. Na zaslonu je prikazan matrični naključni pretvornik gesla Depot; da, znaki padajo, ko premikate miško.

Ali morate resnično dodati randomizacijo v realnem svetu? Verjetno ne. Če pa vas osrečuje, pojdite po svoje!

Upravitelji gesel zmanjšajo naključnost

Seveda generatorji gesel dobesedno ne vračajo naključnih števil. Namesto tega vrnejo niz znakov z uporabo naključnih števil, da izberejo na voljo nabor znakov. Vedno morate omogočiti uporabo vseh razpoložljivih nizov znakov, razen če generirate geslo za spletno mesto, ki, recimo, ne omogoča posebnih znakov.

Skupina znakov, ki so na voljo, vključuje 26 velikih črk, 26 malih črk in 10 števk. Vključuje tudi zbirko posebnih znakov, ki se lahko razlikujejo od izdelka do izdelka. Za preprostost recimo, da je na voljo 18 posebnih znakov. Tako je na voljo skupno 80 znakov. V popolnoma naključnem geslu je 80 možnosti za vsak znak. Če izberete osemčrkovno geslo, je število možnosti od 80 do osme moči ali 1, 677, 721, 600, 000, 000 - več kot štiri milijard. To je težko označevanje za napad na grobo silo in ugibanje z grobo silo je resnično edini način, da zlomite resnično naključno geslo.

Seveda bo popolnoma naključen generator na koncu ustvaril "aaaaaaaa" in "Covfefe!" in "12345678", saj so ti enako verjetni kot katero koli drugo zaporedje osmih znakov. Nekateri generatorji gesel aktivno filtrirajo svoj izhod, da se izognejo takšnim geslom. To je v redu, toda če heker ve za te filtre, dejansko zmanjša število možnosti in olajša krekanje.

Tu je skrajni primer. Obstaja 40.960.000 možnih štiri-znakovnih gesel, ki izhajajo iz zbirke 80 znakov. Toda nekateri generatorji gesel prisilijo, da izberejo vsaj enega iz vsake vrste znakov in to drastično zmanjša možnosti. Za prvega znaka je še vedno 80 možnosti. Recimo, da gre za veliko črko; bazen za drugi znak je 54 (80 minus 26 velikih črk). Predpostavimo, da je drugi znak mala črka. Za tretji znak ostanejo samo števke in posebni znaki, za 28 možnosti. In če je tretji znak ločila, mora biti zadnji številka, 10 izbir. Naših 40 milijonov možnosti se zmanjša na 1.209.600.

Uporaba vseh nabora znakov je nujna za številna spletna mesta. Da preprečite, da bi ta zahteva skrčila obseg gesla, nastavite dolžino gesla na veliko. Ko je geslo dovolj dolgo, učinek prisiljavanja vseh vrst znakov postane zanemarljiv.

Druge omejitve, ki jih uporabljajo upravitelji gesel, po nepotrebnem zmanjšujejo obseg možnih gesel. Na primer, RememBear Premium določa natančno število znakov iz vsakega od štirih naborov znakov, kar močno zmanjša območje. Privzeto potrebuje dve veliki črki, dve števki, 14 malih črk in nobenih simbolov, skupaj 18 znakov. Tako dobimo polje gesla, ki je sto milijonov krat manjše, kot če bi preprosto potrebovali enega ali več posameznih vrst znakov. Tudi tukaj lahko to težavo izravnate tako, da nastavite večjo dolžino gesla.

LastPass in več drugih se privzeto izognete dvoumnim znakovnim parom, kot sta številka 0 in črka O. Ko se vam gesla ni treba spomniti, to ni potrebno; izklopite to možnost. Prav tako ne izberite možnosti za ustvarjanje izgovorljivega gesla, kot je "entlestmospa". Ta možnost je pomembna le, če si morate zapomniti geslo. Če uporabite to možnost, vas ne omeji le na male črke, temveč zavrača ogromno možnosti, za katere se generatorju gesla zdi nepredstavljivo.

Ustvari dolga gesla

Kot smo videli, generatorji gesel ne izbirajo nujno iz baze vseh možnih gesel, ki ustrezajo dolžini in nizom znakov, ki ste jih izbrali. V skrajnem primeru štirimestnega gesla z uporabo vseh nizov znakov se nikoli ne pojavi približno 97 odstotkov možnih štiri-znakovnih gesel. Rešitev je preprosta; pojdi dolgo! Ni vam treba zapomniti teh gesel, zato so lahko ogromna. Vsaj tako ogromno, kot sprejema zadevna spletna stran; nekateri postavljajo omejitve.

Večji kot je iskalni prostor (kot sem poimenoval skupino razpoložljivih gesel), dlje časa bo trajal napad na grobo, ko se bo zgodilo vaše geslo. Igrate se lahko s kalkulatorjem gesla za plast sena (kot v igli v senenem nahodu) na spletnem mestu Gibson Research, če želite občutiti vrednost dolžine.

Samo vnesite geslo in si oglejte, kako dolgo bo trajalo pokanje. (Spletno mesto obljublja: "NIČ, če tukaj storite, vedno zapusti vaš brskalnik. Kar se zgodi tukaj, ostane tukaj." Vendar pa previdnost predlaga, da se izogibate dejanskim geslom. Štiričrkovno geslo, kot je 1eA &, bi potrebovalo ne en dan, če bi heker moral ugibati po spletu. Toda v scenariju brez povezave, kjer heker lahko z veliko hitrostjo preizkuša ugibanja, je čas krekiranja le del sekunde.

V svojem članku o ustvarjanju nepozabno močnih gesel (za stvari, kot je glavno geslo upravitelja gesel) predlagam mnemonično tehniko, ki vrstico iz pesmi ali predvajanje pretvori v geslo naključno videti. Na primer, vrstica iz Romea in Julije, Akt 2, Scena 2, je postala "bS, wLtYdWdB? A2S2". To ni naključno geslo, toda craker tega ne ve. Če ga spustimo v Gibsonov kalkulator, izvemo, da bi za uporabo grobega masivnega razpoka potrebovali 1, 41 sto milijonov stoletij.

Izberite informiran upravitelj gesel

Zdaj veste - najpomembnejši dejavnik pri ustvarjanju močnih, naključnih gesel je, da so dolga. Nekateri generatorji gesel zavračajo gesla, ki ne vsebujejo vseh nabora znakov, nekateri zavrnejo tista z vdelanimi slovarskimi besedami, nekatera zavržejo gesla, ki vsebujejo dvoumni znak, kot sta majhna l in številka 1. Vse te omejitve omejujejo obseg možnih gesel, ko pa je dolžina je dovolj visoka, ta omejitev preprosto ni pomembna.

Seveda je teoretično (če ne praktično) mogoče, da bi nekdo zlonamernik vdrl v shemo ustvarjanja gesel svojega najljubšega upravitelja gesel in s tem pridobil možnost predvidevanja psevdo naključnih gesel, ki vam jih bo ponudil. Senčni program za upravljanje gesel lahko naključna gesla pošlje nazaj na sedež podjetja. To je resnično na zaskrbljujoči ravni paranoje. Če se res ne želite zanašati na nekoga drugega za naključna gesla, lahko ustvarite svoj lastni generator naključnih gesel v Excelu.