ランダムパスワードジェネレータの使用方法

公開: 2022-01-29

あなたが訪問するほぼすべてのウェブサイトは、それが高セキュリティの金融取引であろうと間抜けな動物のゲームであろうと、あなたにアカウントを作成することを望んでいます。 それらすべてに同じパスワードを使用するだけでは逃げることはできません。1つのサイトでの違反はそれらすべてを危険にさらすからです。 また、サイトごとに異なるパスワードを簡単に覚えることはできません。 唯一の賢明な解決策は、パスワードマネージャーをインストールし、それを使用してパスワードの保存と改善の両方を行うことです。 単純すぎるパスワードを長くて強力なランダムなパスワードに置き換えるたびに、全体的なセキュリティが向上します。 しかし、これらの長くて強力なランダムなパスワードはどこで入手できますか?

ほとんどすべてのパスワードマネージャーにはパスワードジェネレータコンポーネントが含まれているため、これらのランダムなパスワードを自分で作成する必要はありません。 (ただし、日曜大工のソリューションが必要な場合は、独自のランダムパスワードジェネレーターを構築する方法を紹介します)。 ただし、すべてのパスワードジェネレータが同じように作成されているわけではありません。 それらがどのように機能するかを知ったら、自分に最適なものを選択し、自分が持っているものをインテリジェントに使用できます。

パスワードジェネレータ-ランダムかどうか?

サイコロを投げると、本当にランダムな結果が得られます。 あなたがヘビの目、ボックスカー、またはラッキーセブンを手に入れるかどうかは誰にも予測できません。 しかし、コンピューターの領域では、サイコロのような物理的なランダマイザーは利用できません。 はい、放射性崩壊に基づく乱数源はいくつかありますが、平均的な消費者側のパスワードマネージャーではこれらを見つけることができません。

パスワードマネージャーやその他のコンピュータープログラムは、いわゆる疑似ランダムアルゴリズムを使用します。 このアルゴリズムは、シードと呼ばれる番号から始まります。 アルゴリズムはシードを処理し、古い番号との追跡可能な接続がない新しい番号を取得し、新しい番号が次のシードになります。 元のシードは、他のすべての数が現れるまで二度と現れません。 シードが32ビット整数の場合、アルゴリズムは繰り返される前に他の4,294,967,295個の数値を実行することを意味します。

これは日常の使用には問題なく、ほとんどの人のパスワード生成のニーズにも問題ありません。 ただし、理論的には、熟練したハッカーが使用する疑似ランダムアルゴリズムを決定することは可能です。 その情報とシードを考えると、ハッカーはおそらく乱数のシーケンスを複製することができます(それは難しいでしょうが)。

この種の直接的なハッキングは、専用の国民国家攻撃または企業スパイを除いて、非常にまれです。 あなたがそのような攻撃の対象である場合、あなたのセキュリティスイートはおそらくあなたを保護することはできません。 幸いなことに、あなたはこの種のサイバースパイの標的ではないことはほぼ間違いありません。

パスワードジェネレータのランダム化

それでも、少数のパスワードマネージャーは、このような集中的な攻撃のリモートの可能性さえも排除するために積極的に取り組んでいます。 独自のマウスの動きやランダムな文字をランダムアルゴリズムに組み込むことで、真にランダムな結果が得られます。 この現実世界のランダム化を提供するものの中には、AceBIT Password Depot、KeePass、およびSteganos PasswordManagerがあります。 上のスクリーンショットは、PasswordDepotのマトリックススタイルのランダマイザーを示しています。 はい、マウスを動かすと文字がドロップします。

本当に実際のランダム化を追加する必要がありますか? おそらくそうではありません。 しかし、それがあなたを幸せにするなら、それのために行きなさい!

パスワードマネージャーはランダム性を減らします

もちろん、パスワードジェネレータは文字通り乱数を返しません。 むしろ、利用可能な文字セットから選択するために乱数を使用して、文字列を返します。 たとえば、特殊文字を許可しないWebサイトのパスワードを生成する場合を除いて、使用可能なすべての文字セットの使用を常に有効にする必要があります。

使用可能な文字のプールには、26個の大文字、26個の小文字、および10桁の数字が含まれます。 また、製品ごとに異なる可能性のある特殊文字のコレクションも含まれています。 簡単にするために、18個の特殊文字が使用可能であるとしましょう。 これにより、合計80文字から選択できます。 完全にランダムなパスワードでは、すべての文字に80の可能性があります。 8文字のパスワードを選択した場合、可能性の数は80の8乗、つまり1,677,721,600,000,000であり、1兆を超えます。 これはブルートフォースクラッキング攻撃にとっては難しいことであり、ブルートフォース推測は本当にランダムなパスワードを解読する唯一の方法です。

私たちのトップパスワードマネージャーのおすすめ

キーパーの新しいロゴ

キーパーパスワードマネージャーとデジタルボールトレビュー

4.5
未解決の
価格を確認する
Dashlane(ロゴ)

Dashlaneレビュー

4.0 4.0
優れた
価格を確認する
LastPass

LastPassレビュー

4.0 4.0
優れた
価格を確認する
ミキ

Mykiレビュー

4.5
未解決の
MYKIのサイトにアクセス
見てください
すべて見る(4項目)

もちろん、完全にランダムなジェネレーターは、最終的に「aaaaaaaa」と「Covfefe!」を生成します。 および「12345678」。これらは他の8文字のシーケンスと同じように発生する可能性があるためです。 一部のパスワードジェネレータは、そのようなパスワードを回避するために出力をアクティブにフィルタリングします。 それは問題ありませんが、ハッカーがこれらのフィルターについて知っている場合、実際には可能性の数が減り、ブルートフォースクラッキングが容易になります。

これが極端な例です。 80文字のコレクションから抽出された40,960,000の可能な4文字のパスワードがあります。 ただし、一部のパスワードジェネレータでは、各タイプの文字から少なくとも1つを選択する必要があり、その可能性が大幅に低下します。 最初のキャラクターにはまだ80の可能性があります。 大文字だとします。 2番目の文字のプールは54(80から26の大文字を引いたもの)です。 さらに、2番目の文字が小文字であるとします。 3番目の文字については、数字と特殊文字のみが残り、28の選択肢があります。 また、3番目の文字が句読点の場合、最後の文字は数字である必要があり、10個の選択肢があります。 私たちの4000万の可能性は1,209,600に減少します。

多くのWebサイトでは、すべての文字セットを使用する必要があります。 その要件によってパスワードプールが縮小されないようにするには、パスワードの長さを高く設定します。 パスワードが十分に長い場合、すべての文字タイプを強制する効果は無視できるようになります。

RememBearでのパスワードジェネレータの文字セットの選択

パスワードマネージャーが適用するその他の制限により、可能なパスワードのプールが不必要に減少します。 たとえば、RememBear Premiumは、4文字セットのそれぞれから正確な文字数を指定します。これにより、プールが大幅に削減されます。 デフォルトでは、大文字2文字、数字2文字、小文字14文字、記号なし、合計18文字が必要です。 これにより、各文字タイプを1つ以上必要とする場合よりも、パスワードプールが数億分の1になります。 ここでも、パスワードの長さを長く設定することで、この問題を相殺できます。

LastPassでのパスワードジェネレータの文字セットの選択

LastPassやその他のいくつかのデフォルトでは、数字の0や文字のOなどのあいまいな文字のペアを避けています。パスワードを覚えておく必要がない場合は、これは必要ありません。 このオプションをオフにします。 同様に、「bogafewazepa」のような発音可能なパスワードを生成するオプションを選択しないでください。 このオプションは、覚えておく必要のあるパスワードである場合にのみ重要です。 このオプションを適用すると、小文字に制限されるだけでなく、パスワードジェネレータが発音できないと見なす膨大な数の可能性が拒否されます。

編集者からの推薦

ランダムパスワードジェネレータを作成する方法

長いパスワードを生成する

これまで見てきたように、パスワードジェネレータは、選択した長さと文字セットに一致するすべての可能なパスワードのプールから必ずしも選択するわけではありません。 すべての文字セットを使用する4文字のパスワードの極端な例では、可能な4文字のパスワードの約97%が表示されません。 解決策は簡単です。 長く行く! これらのパスワードを覚えておく必要はないので、巨大になる可能性があります。 少なくとも、問題のWebサイトが受け入れるのと同じくらい巨大です。 制限を課すものもあります。

検索スペース(私が利用可能なパスワードのプールと呼んでいるもの)が大きいほど、パスワードに対してブルートフォース攻撃が発生するのにかかる時間が長くなります。 ギブソンリサーチのウェブサイトでパスワードヘイスタック計算機(干し草の山の針のように)で遊んで、長さの価値を感じることができます。

パスワードを入力するだけで、クラッキングにかかる​​時間を確認できます。 (このサイトでは、「ここで行うことはブラウザから離れることはありません。ここで何が起こっても、ここにとどまります」と約束しています。ただし、実際のパスワードは使用しないように注意してください)。 9kM $のような4文字のパスワードは、ハッカーがオンラインで推測を送信する必要がある場合、解読に1日もかかりません。 しかし、ハッカーが高速で推測を試みることができるオフラインシナリオでは、クラッキング時間はほんの一瞬です。

パスワードジェネレータ検索スペース計算機

記憶に残る強力なパスワード(パスワードマネージャーのマスターパスワードなど)の作成に関する私の記事では、詩や演劇からランダムに見えるパスワードに行を変換するニーモニック手法を提案します。 たとえば、RomeoとJulietのAct 2、Scene 2の行は、「bS、wLtYdWdB?A2S2」になりました。 これはランダムなパスワードではありませんが、クラッカーはそれを知りません。 それをギブソンの計算機にドロップすると、大規模なクラッキングアレイを使用したとしても、これをブルートフォースするのに141億世紀かかることがわかります。

情報に基づいたパスワードマネージャーの選択

これで、強力でランダムなパスワードを生成するための最も重要な要素は、パスワードを長くすることです。 一部のパスワードジェネレータは、すべての文字セットを含まないパスワードを拒否し、一部は辞書の単語が埋め込まれているパスワードを拒否し、一部は小さいlや数字1などのあいまいな文字を含むパスワードを破棄します。これらの制限はすべて、可能なパスワードのプールを制限しますが、長さがは十分に高いので、この制限は問題ではありません。

もちろん、理論的には(実際的ではないにしても)、一部の悪意のある人物がお気に入りのパスワードマネージャーのパスワード生成スキームをハッキングし、それによって提供される疑似ランダムパスワードを予測できるようになる可能性があります。 怪しげなパスワードマネージャープログラムは、ランダムなパスワードを会社の本社に送り返す可能性があります。 これは本当にティンホイルハットのパラノイアレベルの懸念事項です。 ただし、ランダムパスワードを他の人に頼りたくない場合は、Excelで独自のランダムパスワードジェネレータを作成できます。