كيفية استخدام منشئ كلمة المرور العشوائية
نشرت: 2022-01-29يريد كل موقع ويب تزوره تقريبًا إنشاء حساب ، سواء كان ذلك من أجل المعاملات المالية عالية الأمان أو ألعاب الحيوانات المضحكة. لا يمكنك الإفلات من مجرد استخدام نفس كلمة المرور لكل منهم ، لأنه عندئذٍ قد يؤدي اختراق أي موقع واحد إلى المخاطرة بهم جميعًا. ولا يمكنك بسهولة حفظ كلمة مرور مختلفة لكل موقع. الحل الوحيد المعقول هو تثبيت مدير كلمات المرور واستخدامه لتخزين كلمات مرورك وتحسينها. في كل مرة تستبدل فيها كلمة مرور بسيطة للغاية بكلمة مرور طويلة وقوية وعشوائية ، فإنك تحسن أمنك العام. ولكن من أين تحصل على كلمات المرور الطويلة والقوية والعشوائية؟
يشتمل كل مدير كلمات مرور تقريبًا على مكون منشئ كلمات المرور ، لذلك لن تضطر إلى ابتكار كلمات المرور العشوائية بنفسك. (ولكن إذا كنت تريد حلاً يعمل بنفسك ، فسنبين لك كيفية إنشاء مولد كلمات المرور العشوائي الخاص بك). ومع ذلك ، لا يتم إنشاء جميع مولدات كلمات المرور على قدم المساواة. عندما تعرف كيف تعمل ، يمكنك اختيار أفضل ما يناسبك ، واستخدام ما لديك بذكاء.
مولدات كلمات المرور - عشوائية أم لا؟
عندما ترمي زوجًا من النرد ، تحصل على نتيجة عشوائية حقًا. لا أحد يستطيع أن يتنبأ ما إذا كنت ستحصل على عيون أفعى ، أو عربات بوكس ، أو سبعة محظوظين. ولكن في عالم الكمبيوتر ، لا تتوفر أدوات عشوائية مادية مثل الزهر. نعم ، هناك عدد قليل من مصادر الأرقام العشوائية التي تستند إلى الاضمحلال الإشعاعي ، لكنك لن تجدها في متوسط مدير كلمات المرور من جانب المستهلك.
يستخدم مديرو كلمات المرور وبرامج الكمبيوتر الأخرى ما يسمى بخوارزمية عشوائية زائفة. تبدأ هذه الخوارزمية برقم يسمى بذرة. تعالج الخوارزمية البذرة وتحصل على رقم جديد بدون اتصال يمكن تتبعه بالرقم القديم ، ويصبح الرقم الجديد هو الرقم الأساسي التالي. لا تظهر البذرة الأصلية مرة أخرى أبدًا حتى يظهر كل رقم آخر. إذا كانت البداية عبارة عن عدد صحيح 32 بت ، فهذا يعني أن الخوارزمية ستعمل من خلال 4،294،967،295 رقمًا آخر قبل التكرار.
هذا جيد للاستخدام اليومي ، وهو جيد لاحتياجات إنشاء كلمات المرور لمعظم الأشخاص. ومع ذلك ، فمن الممكن نظريًا للمتسلل الماهر تحديد الخوارزمية العشوائية الزائفة المستخدمة. بالنظر إلى هذه المعلومات والبذرة ، يمكن للمتسلل أن يكرر تسلسل الأرقام العشوائية (على الرغم من صعوبة ذلك).
هذا النوع من القرصنة الموجهة غير مرجح بشكل غير عادي ، باستثناء هجوم مخصص لدولة قومية ، أو تجسس شركة. إذا كنت هدفًا لمثل هذا الهجوم ، فمن المحتمل ألا تتمكن مجموعة الأمان الخاصة بك من حمايتك. لحسن الحظ ، من شبه المؤكد أنك لست هدفًا لهذا النوع من التجسس الإلكتروني.
ومع ذلك ، يعمل عدد قليل من مديري كلمات المرور بنشاط لإزالة حتى الاحتمال البعيد لمثل هذا الهجوم المركز. من خلال دمج حركات الماوس الخاصة بك أو الأحرف العشوائية في الخوارزمية العشوائية ، يحصلون على نتيجة عشوائية حقًا. من بين أولئك الذين يقدمون هذا التوزيع العشوائي في العالم الحقيقي ، AceBIT Password Depot و KeePass و Steganos Password Manager. تُظهر لقطة الشاشة أعلاه عامل التوزيع العشوائي على غرار مصفوفة Password Depot ؛ نعم ، تسقط الأحرف أثناء تحريك الماوس.
هل تحتاج حقًا إلى إضافة التوزيع العشوائي في العالم الحقيقي؟ على الاغلب لا. ولكن إذا كان ذلك يجعلك سعيدًا ، فابحث عنه!
يعمل مديرو كلمات المرور على تقليل العشوائية
بالطبع ، لا تُرجع مولدات كلمات المرور أرقامًا عشوائية حرفيًا. بدلاً من ذلك ، يقومون بإرجاع سلسلة من الأحرف ، باستخدام أرقام عشوائية للاختيار من مجموعات الأحرف المتاحة. يجب عليك دائمًا تمكين استخدام جميع مجموعات الأحرف المتاحة ، إلا إذا كنت تقوم بإنشاء كلمة مرور لموقع ويب ، على سبيل المثال ، لا يسمح باستخدام أحرف خاصة.
تتضمن مجموعة الأحرف المتوفرة 26 حرفًا كبيرًا و 26 حرفًا صغيرًا و 10 أرقام. يتضمن أيضًا مجموعة من الأحرف الخاصة التي قد تختلف من منتج لآخر. للتبسيط ، دعنا نقول أن هناك 18 حرفًا خاصًا متاحًا. هذا يجعل إجماليًا رائعًا يبلغ 80 حرفًا للاختيار من بينها. في كلمة مرور عشوائية تمامًا ، هناك 80 احتمالًا لكل حرف. إذا اخترت كلمة مرور مكونة من ثمانية أحرف ، فسيكون عدد الاحتمالات 80 مرفوعًا للأس الثامنة ، أو 1،677،721،600،000،000 - أكثر من كوادريليون. هذا جهد صعب لهجوم اختراق القوة الغاشمة ، والتخمين بالقوة الغاشمة هو حقًا الطريقة الوحيدة لاختراق كلمة مرور عشوائية حقًا.
أفضل اختيارات إدارة كلمات المرور لدينا
عرض الكل (4 العناصر)
بالطبع ، سينتج المولد العشوائي تمامًا "aaaaaaaa" و "Covfefe!" و "12345678" ، نظرًا لأن احتمال وجودهما يماثل احتمال وجود أي تسلسل آخر مكون من ثمانية أحرف. تقوم بعض مولدات كلمات المرور بتصفية مخرجاتها بشكل نشط لتجنب كلمات المرور هذه. لا بأس بذلك ، ولكن إذا علم المتسلل عن هذه المرشحات ، فإنه في الواقع يقلل من عدد الاحتمالات ويجعل اختراق القوة الغاشمة أسهل.
هذا مثال متطرف. هناك 40960.000 كلمة مرور محتملة مكونة من أربعة أحرف ، مستمدة من مجموعة مكونة من 80 حرفًا. لكن بعض مولدات كلمات المرور تفرض اختيار واحد على الأقل من كل نوع من الشخصيات ، وهذا يقلل الاحتمالات بشكل كبير. لا يزال هناك 80 احتمالًا للشخصية الأولى. افترض أنه حرف كبير ؛ مجموع الحرف الثاني هو 54 (80 ناقص 26 حرفًا كبيرًا). افترض كذلك أن الحرف الثاني هو حرف صغير. بالنسبة للحرف الثالث ، تبقى الأرقام والأحرف الخاصة فقط ، لـ 28 اختيارًا. وإذا كان الحرف الثالث عبارة عن علامة ترقيم ، فيجب أن يكون الأخير رقمًا ، و 10 اختيارات. لدينا 40 مليون احتمال تضاءل إلى 1،209،600.
يعد استخدام جميع مجموعات الأحرف أمرًا ضروريًا للعديد من مواقع الويب. لتجنب السماح لهذا المطلب بتقليص مجموعة كلمات المرور الخاصة بك ، قم بتعيين طول كلمة المرور مرتفعًا. عندما تكون كلمة المرور طويلة بما يكفي ، يصبح تأثير فرض جميع أنواع الأحرف ضئيلًا.
تعمل القيود الأخرى التي يطبقها مديرو كلمات المرور على تقليل مجموعة كلمات المرور المحتملة دون داع. على سبيل المثال ، تحدد RememBear Premium العدد الدقيق للأحرف من كل مجموعة مكونة من أربعة أحرف ، مما يقلل بشكل كبير من حجم التجمع. بشكل افتراضي ، يتطلب الأمر حرفين كبيرين ، ورقمين ، و 14 حرفًا صغيرًا ، وبدون رموز ، ليصبح المجموع 18 حرفًا. ينتج عن ذلك مجموعة كلمات مرور أصغر بمئات الملايين من المرات مما لو كانت تتطلب ببساطة واحدًا أو أكثر من كل نوع حرف. هنا مرة أخرى ، يمكنك تعويض هذه المشكلة عن طريق تعيين طول كلمة مرور أعلى.
يتجنب LastPass والعديد من الآخرين تجنب أزواج الأحرف الغامضة مثل الرقم 0 والحرف O. عندما لا تضطر إلى تذكر كلمة المرور ، فهذا ليس ضروريًا ؛ قم بإيقاف تشغيل هذا الخيار. وبالمثل ، لا تختر خيار إنشاء كلمة مرور قابلة للنطق مثل "bogafewazepa". هذا الخيار مهم فقط إذا كانت كلمة مرور يجب أن تتذكرها. لا يقتصر تطبيق هذا الخيار على الأحرف الصغيرة فحسب ، بل يرفض العدد الهائل من الاحتمالات التي يعتبرها مُنشئ كلمات المرور غير قابلة للتعبير عنها.
تم ترشيحها بواسطة المحررين لدينا
توليد كلمات مرور طويلة
كما رأينا ، لا تختار مولدات كلمات المرور بالضرورة من مجموعة جميع كلمات المرور الممكنة التي تطابق الطول ومجموعات الأحرف التي حددتها. في المثال المتطرف لكلمة المرور المكونة من أربعة أحرف باستخدام جميع مجموعات الأحرف ، لا تظهر أبدًا حوالي 97 بالمائة من كلمات المرور المحتملة المكونة من أربعة أحرف. الحل بسيط. ذهاب لفتره طويلة! لا يتعين عليك تذكر كلمات المرور هذه ، حتى يمكن أن تكون ضخمة. على الأقل ، ضخمة بقدر ما يقبله موقع الويب المعني ؛ البعض يفرض حدودًا.
كلما كانت مساحة البحث أكبر (ما كنت أسميه مجموعة كلمات المرور المتاحة) ، كلما طال وقت هجوم القوة الغاشمة على كلمة مرورك. يمكنك اللعب باستخدام حاسبة Password Haystack Calculator (مثل ، إبرة في كومة قش) على موقع ويب Gibson Research للتعرف على قيمة الطول.
ما عليك سوى إدخال كلمة مرور لمعرفة المدة التي سيستغرقها التكسير. (يعد الموقع بأن "لا شيء تفعله هنا يترك متصفحك على الإطلاق. ما يحدث هنا ، يبقى هنا." ولكن الحذر يقترح عليك تجنب استخدام كلمات المرور الفعلية الخاصة بك). كلمة المرور المكونة من أربعة أحرف مثل 9kM $ لن تستغرق يومًا واحدًا للتخلص منها ، إذا كان على المتسلل إرسال التخمينات عبر الإنترنت. ولكن في سيناريو غير متصل بالإنترنت ، حيث يمكن للمتسلل تجربة التخمينات بسرعة عالية ، يكون وقت الاختراق جزءًا من الثانية.
في مقالتي حول إنشاء كلمات مرور قوية لا تُنسى (لأشياء مثل كلمة المرور الرئيسية لمدير كلمات المرور) ، أقترح أسلوبًا ذاكريًا يحول سطرًا من قصيدة أو يلعب إلى كلمة مرور عشوائية المظهر. على سبيل المثال ، أصبح سطر من روميو وجولييت ، الفصل 2 ، المشهد 2 ، "bS، wLtYdWdB؟ A2S2". هذه ليست كلمة مرور عشوائية ، لكن المتسلل لا يعرف ذلك. بإسقاطها في آلة حاسبة جيبسون ، نتعلم أنه حتى باستخدام مصفوفة تكسير ضخمة ، سيستغرق الأمر 1.41 مليون قرن لفرض هذا النظام بوحشية.
قم باختيار مدير كلمة المرور المستنير
أنت تعرف الآن - العامل الأكثر أهمية في إنشاء كلمات مرور قوية وعشوائية هو جعلها طويلة. ترفض بعض أدوات إنشاء كلمات المرور كلمات المرور التي لا تحتوي على جميع مجموعات الأحرف ، بينما يرفض البعض الكلمات التي تحتوي على كلمات قاموس مضمنة ، وبعضها يتجاهل كلمات المرور التي تحتوي على أحرف غامضة مثل حرف l صغير ورقم 1. كل هذه القيود تحد من مجموعة كلمات المرور المحتملة ، ولكن عندما يكون الطول مرتفع بما يكفي ، لا يهم هذا القيد.
بالطبع ، من الممكن نظريًا (إن لم يكن عمليًا) أن يقوم بعض المخترقين باختراق مخطط إنشاء كلمة المرور لمدير كلمات المرور المفضل لديك ، وبالتالي يكتسبون القدرة على التنبؤ بكلمات المرور العشوائية الزائفة التي سيقدمها لك. يمكن لبرنامج إدارة كلمات المرور المشبوه إرسال كلمات مرورك العشوائية إلى مقر الشركة. هذا حقًا في مستوى جنون العظمة المثير للقلق. ولكن إذا كنت لا تريد حقًا الاعتماد على شخص آخر لكلمات مرورك العشوائية ، فيمكنك إنشاء مولد كلمات المرور العشوائي الخاص بك في Excel.