So verwenden Sie einen zufälligen Passwortgenerator

Veröffentlicht: 2022-01-29

Nahezu jede Website, die Sie besuchen, möchte, dass Sie ein Konto erstellen, sei es für hochsichere Finanztransaktionen oder alberne Tierspiele. Sie können nicht einfach das gleiche Passwort für alle verwenden, denn dann würde ein Angriff auf einer Seite sie alle gefährden. Und Sie können sich nicht einfach für jede Site ein anderes Passwort merken. Die einzig sinnvolle Lösung besteht darin, einen Passwort-Manager zu installieren und damit Ihre Passwörter sowohl zu speichern als auch zu verbessern. Jedes Mal, wenn Sie ein zu einfaches Passwort durch ein langes, starkes, zufälliges ersetzen, verbessern Sie Ihre allgemeine Sicherheit. Aber woher bekommen Sie diese langen, starken, zufälligen Passwörter?

Fast jeder Passwort-Manager enthält eine Passwort-Generator-Komponente, sodass Sie sich diese zufälligen Passwörter nicht selbst ausdenken müssen. (Aber wenn Sie eine Do-it-yourself-Lösung wünschen , zeigen wir Ihnen, wie Sie Ihren eigenen Zufallskennwortgenerator erstellen). Allerdings sind nicht alle Passwortgeneratoren gleich. Wenn Sie wissen, wie sie funktionieren, können Sie diejenige auswählen, die für Sie am besten geeignet ist, und diejenige, die Sie haben, intelligent verwenden.

Passwortgeneratoren – zufällig oder nicht?

Wenn Sie ein Paar Würfel werfen, erhalten Sie ein wirklich zufälliges Ergebnis. Niemand kann vorhersagen, ob Sie Schlangenaugen, Güterwagen oder eine glückliche Sieben bekommen. Aber im Computerbereich sind physische Zufallsgeneratoren wie Würfel nicht verfügbar. Ja, es gibt ein paar Zufallszahlenquellen, die auf radioaktivem Zerfall basieren, aber Sie werden diese nicht im durchschnittlichen verbraucherseitigen Passwort-Manager finden.

Passwort-Manager und andere Computerprogramme verwenden einen sogenannten Pseudo-Zufalls-Algorithmus. Dieser Algorithmus beginnt mit einer Zahl, die als Seed bezeichnet wird. Der Algorithmus verarbeitet den Seed und erhält eine neue Nummer ohne nachvollziehbare Verbindung zur alten, und die neue Nummer wird zum nächsten Seed. Die ursprüngliche Saat taucht nie wieder auf, bis jede andere Zahl aufgetaucht ist. Wenn der Startwert eine 32-Bit-Ganzzahl wäre, würde der Algorithmus vor einer Wiederholung 4.294.967.295 andere Zahlen durchlaufen.

Dies ist für den täglichen Gebrauch in Ordnung und für die Anforderungen der meisten Benutzer an die Kennwortgenerierung geeignet. Es ist jedoch theoretisch für einen erfahrenen Hacker möglich, den verwendeten Pseudozufallsalgorithmus zu bestimmen. Angesichts dieser Informationen und des Seeds könnte der Hacker möglicherweise die Folge von Zufallszahlen replizieren (obwohl dies schwierig wäre).

Diese Art von gezieltem Hacking ist außerordentlich unwahrscheinlich, außer bei einem gezielten nationalstaatlichen Angriff oder Unternehmensspionage. Wenn Sie Opfer eines solchen Angriffs werden, kann Ihre Sicherheitssuite Sie wahrscheinlich nicht schützen. Glücklicherweise sind Sie mit ziemlicher Sicherheit nicht das Ziel dieser Art von Cyberspionage.

Randomisierung des Passwortgenerators

Trotzdem arbeiten einige Passwort-Manager aktiv daran, auch nur die entfernte Möglichkeit eines solchen gezielten Angriffs auszuschließen. Indem Sie Ihre eigenen Mausbewegungen oder zufällige Zeichen in den Zufallsalgorithmus einbeziehen, erhalten sie ein wirklich zufälliges Ergebnis. Zu denen, die diese reale Randomisierung anbieten, gehören AceBIT Password Depot, KeePass und Steganos Password Manager. Der obige Screenshot zeigt den Matrix-Randomizer von Password Depot; Ja, die Zeichen fallen, wenn Sie Ihre Maus bewegen.

Müssen Sie wirklich eine reale Randomisierung hinzufügen? Wahrscheinlich nicht. Aber wenn es dich glücklich macht, mach es!

Passwort-Manager reduzieren Zufälligkeit

Natürlich geben Passwortgeneratoren nicht buchstäblich Zufallszahlen zurück. Stattdessen geben sie eine Zeichenfolge zurück, wobei sie Zufallszahlen verwenden, um aus den verfügbaren Zeichensätzen auszuwählen. Sie sollten immer die Verwendung aller verfügbaren Zeichensätze aktivieren, es sei denn, Sie generieren ein Passwort für eine Website, die beispielsweise keine Sonderzeichen zulässt.

Der Pool der verfügbaren Zeichen umfasst 26 Großbuchstaben, 26 Kleinbuchstaben und 10 Ziffern. Es enthält auch eine Sammlung von Sonderzeichen, die von Produkt zu Produkt variieren können. Nehmen wir der Einfachheit halber an, dass 18 Sonderzeichen verfügbar sind. Das macht eine schöne Runde von insgesamt 80 Zeichen zur Auswahl. In einem völlig zufälligen Passwort gibt es 80 Möglichkeiten für jedes Zeichen. Wenn Sie ein achtstelliges Passwort wählen, beträgt die Anzahl der Möglichkeiten 80 hoch acht oder 1.677.721.600.000.000 – mehr als eine Billiarde. Das ist eine harte Arbeit für einen Brute-Force-Cracking-Angriff, und Brute-Force-Raten ist wirklich die einzige Möglichkeit, ein wirklich zufälliges Passwort zu knacken.

Unsere Top-Passwort-Manager-Tipps

Keeper Neues Logo

Keeper Password Manager & Digital Vault Review

4.5
Hervorragend
Preis überprüfen
Dashlane (Logo)

Dashlane-Rezension

4.0
Exzellent
Preis überprüfen
LastPass

LastPass-Überprüfung

4.0
Exzellent
Preis überprüfen
Myki

Myki-Rezension

4.5
Hervorragend
Besuchen Sie die Website bei MYKI
Siehe es
Alle anzeigen (4 Artikel)

Natürlich wird ein totaler Zufallsgenerator schließlich "aaaaaaaa" und "Covfefe!" und "12345678", da diese genauso wahrscheinlich sind wie jede andere Folge von acht Zeichen. Einige Passwortgeneratoren filtern aktiv ihre Ausgabe, um solche Passwörter zu vermeiden. Das ist in Ordnung, aber wenn ein Hacker von diesen Filtern weiß, reduziert es tatsächlich die Anzahl der Möglichkeiten und macht Brute-Force-Cracking einfacher.

Hier ist ein extremes Beispiel. Es gibt 40.960.000 mögliche vierstellige Passwörter, die aus einer Sammlung von 80 Zeichen stammen. Einige Passwortgeneratoren erzwingen jedoch die Auswahl von mindestens einem von jedem Zeichentyp, und das schränkt die Möglichkeiten drastisch ein. Für das erste Zeichen gibt es noch 80 Möglichkeiten. Angenommen, es ist ein Großbuchstabe; der Pool für das zweite Zeichen ist 54 (80 minus 26 Großbuchstaben). Angenommen, das zweite Zeichen ist ein Kleinbuchstabe. Für das dritte Zeichen bleiben nur Ziffern und Sonderzeichen für 28 Auswahlmöglichkeiten. Und wenn das dritte Zeichen ein Satzzeichen ist, muss das letzte eine Ziffer sein, 10 Auswahlmöglichkeiten. Unsere 40 Millionen Möglichkeiten schrumpfen auf 1.209.600.

Die Verwendung aller Zeichensätze ist für viele Websites eine Notwendigkeit. Um zu vermeiden, dass diese Anforderung Ihren Passwortpool schrumpfen lässt, stellen Sie die Passwortlänge hoch ein. Wenn das Passwort lang genug ist, wird der Effekt des Erzwingens aller Zeichentypen vernachlässigbar.

Auswahlmöglichkeiten für den Zeichensatz des Passwortgenerators in RememBear

Andere Limits, die Passwortmanager anwenden, reduzieren den Pool möglicher Passwörter unnötig. Beispielsweise gibt RememBear Premium die genaue Anzahl der Zeichen aus jedem der vier Zeichensätze an, was den Pool drastisch reduziert. Standardmäßig sind zwei Großbuchstaben, zwei Ziffern, 14 Kleinbuchstaben und keine Symbole für insgesamt 18 Zeichen erforderlich. Dies führt zu einem Hundertmillionen Mal kleineren Passwortpool, als wenn einfach ein oder mehrere Zeichentypen erforderlich wären. Auch hier können Sie diesem Problem entgegenwirken, indem Sie eine höhere Passwortlänge einstellen.

Zeichensatzoptionen für den Passwortgenerator in LastPass

LastPass und mehrere andere vermeiden standardmäßig mehrdeutige Zeichenpaare wie die Ziffer 0 und den Buchstaben O. Wenn Sie sich das Passwort nicht merken müssen, ist dies nicht erforderlich. Deaktivieren Sie diese Option. Wählen Sie ebenso nicht die Option, ein aussprechbares Passwort wie „bogafewazepa“ zu generieren. Diese Option ist nur wichtig, wenn es sich um ein Passwort handelt, das Sie sich merken müssen. Wenn Sie diese Option anwenden, beschränken Sie sich nicht nur auf Kleinbuchstaben, sondern weisen auch die Vielzahl von Möglichkeiten zurück, die der Passwortgenerator für unaussprechlich hält.

Von unseren Redakteuren empfohlen

So erstellen Sie einen zufälligen Passwortgenerator

Generieren Sie lange Passwörter

Wie wir gesehen haben, wählen Passwortgeneratoren nicht unbedingt aus dem Pool aller möglichen Passwörter aus, die der von Ihnen ausgewählten Länge und den Zeichensätzen entsprechen. Im Extrembeispiel eines vierstelligen Passworts mit allen Zeichensätzen kommen etwa 97 Prozent der möglichen vierstelligen Passwörter nie vor. Die Lösung ist einfach; geh lang! Sie müssen sich diese Passwörter nicht merken, daher können sie riesig sein. Zumindest so groß, wie die betreffende Website akzeptiert; manche setzen Grenzen.

Je größer der Suchbereich (was ich den Pool verfügbarer Passwörter nenne), desto länger würde es dauern, bis ein Brute-Force-Angriff auf Ihr Passwort erfolgt. Sie können mit dem Password Haystack Calculator (wie in, Nadel im Heuhaufen) auf der Gibson Research-Website spielen, um ein Gefühl für den Wert der Länge zu bekommen.

Geben Sie einfach ein Passwort ein, um zu sehen, wie lange das Knacken dauern würde. (Die Seite verspricht „NICHT, was Sie hier tun, verlässt jemals Ihren Browser. Was hier passiert, bleibt hier.“ Aber Vorsicht empfiehlt, dass Sie es vermeiden, Ihre tatsächlichen Passwörter zu verwenden). Ein vierstelliges Passwort wie 9kM$ würde nicht ganz einen Tag brauchen, um es zu knacken, wenn der Hacker Vermutungen online senden muss. Aber in einem Offline-Szenario, in dem der Hacker mit hoher Geschwindigkeit Vermutungen anstellen kann, beträgt die Zeit zum Knacken einen Bruchteil einer Sekunde.

Passwort-Generator Suchraum-Rechner

In meinem Artikel über das Erstellen von einprägsamen starken Passwörtern (für Dinge wie das Master-Passwort eines Passwort-Managers) schlage ich eine mnemonische Technik vor, die eine Zeile aus einem Gedicht oder Theaterstück in ein zufällig aussehendes Passwort umwandelt. Beispielsweise wurde eine Zeile aus Romeo und Julia, Akt 2, Szene 2, zu „bS,wLtYdWdB?A2S2“. Dies ist kein zufälliges Passwort, aber ein Cracker weiß das nicht. Wenn wir es in Gibsons Taschenrechner fallen lassen, erfahren wir, dass es selbst mit einem massiven Cracking-Array 1,41 hundert Millionen Jahrhunderte dauern würde, um dieses hier brutal zu erzwingen.

Treffen Sie eine fundierte Password Manager-Wahl

Jetzt wissen Sie also, dass der wichtigste Faktor beim Generieren starker, zufälliger Passwörter darin besteht, sie lang zu machen. Einige Passwortgeneratoren lehnen Passwörter ab, die nicht alle Zeichensätze enthalten, manche lehnen solche mit eingebetteten Wörterbuchwörtern ab, manche verwerfen Passwörter, die mehrdeutige Zeichen wie das kleine l und die Ziffer 1 enthalten. All diese Einschränkungen begrenzen den Pool möglicher Passwörter, aber wenn die Länge hoch genug ist, spielt diese Begrenzung keine Rolle.

Natürlich ist es theoretisch (wenn nicht praktisch) möglich, dass ein Übeltäter das Passwortgenerierungsschema Ihres bevorzugten Passwortmanagers hackt und dadurch die Möglichkeit erlangt, die pseudozufälligen Passwörter vorherzusagen, die er Ihnen anbieten wird. Ein zwielichtiges Passwort-Manager-Programm könnte Ihre zufälligen Passwörter an die Firmenzentrale zurücksenden. Das ist wirklich besorgniserregend auf der Ebene der Alu-Hut-Paranoia. Aber wenn Sie sich bei Ihren zufälligen Passwörtern wirklich nicht auf jemand anderen verlassen wollen, können Sie in Excel Ihren eigenen Zufallspasswortgenerator erstellen.