Cara Menggunakan Pembuat Kata Sandi Acak
Diterbitkan: 2022-01-29Hampir setiap situs web yang Anda kunjungi ingin Anda membuat akun, baik itu untuk transaksi keuangan dengan keamanan tinggi atau permainan hewan konyol. Anda tidak dapat lolos hanya dengan menggunakan kata sandi yang sama untuk semuanya, karena pelanggaran di satu situs akan membahayakan semuanya. Dan Anda tidak dapat dengan mudah mengingat kata sandi yang berbeda untuk setiap situs. Satu-satunya solusi yang masuk akal adalah menginstal pengelola kata sandi dan menggunakannya untuk menyimpan dan meningkatkan kata sandi Anda. Setiap kali Anda mengganti kata sandi yang terlalu sederhana dengan kata sandi yang panjang, kuat, dan acak, Anda meningkatkan keamanan Anda secara keseluruhan. Tapi di mana Anda mendapatkan kata sandi yang panjang, kuat, dan acak itu?
Hampir setiap pengelola kata sandi menyertakan komponen pembuat kata sandi, jadi Anda tidak perlu membuat kata sandi acak itu sendiri. (Tetapi jika Anda menginginkan solusi do-it-yourself, kami akan menunjukkan cara membuat generator kata sandi acak Anda sendiri). Namun, tidak semua pembuat kata sandi dibuat sama. Ketika Anda tahu cara kerjanya, Anda dapat memilih salah satu yang terbaik untuk Anda, dan menggunakan yang Anda miliki dengan cerdas.
Pembuat Kata Sandi—Acak atau Tidak?
Saat Anda melempar sepasang dadu, Anda mendapatkan hasil yang benar-benar acak. Tidak ada yang bisa memprediksi apakah Anda akan mendapatkan mata ular, gerbong, atau tujuh keberuntungan. Tetapi di dunia komputer, pengacak fisik seperti dadu tidak tersedia. Ya, ada beberapa sumber angka acak berdasarkan peluruhan radioaktif, tetapi Anda tidak akan menemukannya di pengelola kata sandi sisi konsumen rata-rata.
Pengelola kata sandi dan program komputer lainnya menggunakan apa yang disebut algoritma pseudo-acak. Algoritma ini dimulai dengan angka yang disebut seed. Algoritme memproses benih dan mendapatkan nomor baru tanpa koneksi yang dapat dilacak ke yang lama, dan nomor baru menjadi benih berikutnya. Benih asli tidak pernah muncul lagi sampai setiap nomor lainnya muncul. Jika seed adalah bilangan bulat 32-bit, itu berarti algoritme akan berjalan melalui 4.294.967.295 angka lain sebelum diulang.
Ini baik untuk penggunaan sehari-hari, dan baik untuk kebutuhan pembuatan kata sandi kebanyakan orang. Namun, secara teoritis mungkin bagi peretas yang terampil untuk menentukan algoritme pseudo-acak yang digunakan. Mengingat informasi dan benih itu, peretas dapat mereplikasi urutan angka acak (meskipun itu akan sulit).
Peretasan terarah semacam itu sangat tidak mungkin, kecuali dalam serangan negara-bangsa khusus, atau spionase perusahaan. Jika Anda menjadi sasaran serangan seperti itu, suite keamanan Anda mungkin tidak dapat melindungi Anda. Untungnya, Anda hampir pasti bukan target spionase dunia maya semacam ini.
Meski begitu, beberapa pengelola kata sandi secara aktif bekerja untuk menghilangkan bahkan kemungkinan kecil dari serangan terfokus semacam itu. Dengan memasukkan gerakan mouse Anda sendiri atau karakter acak ke dalam algoritme acak, mereka mendapatkan hasil yang benar-benar acak. Di antara mereka yang menawarkan pengacakan dunia nyata ini adalah AceBIT Password Depot, KeePass, dan Steganos Password Manager. Tangkapan layar di atas menunjukkan pengacak gaya matriks Password Depot; ya, karakternya jatuh saat Anda menggerakkan mouse.
Apakah Anda benar-benar perlu menambahkan pengacakan dunia nyata? Mungkin tidak. Tapi jika itu membuatmu bahagia, lakukanlah!
Pengelola Kata Sandi Mengurangi Keacakan
Tentu saja, pembuat kata sandi tidak secara harfiah mengembalikan angka acak. Sebaliknya, mereka mengembalikan serangkaian karakter, menggunakan angka acak untuk memilih dari set karakter yang tersedia. Anda harus selalu mengaktifkan penggunaan semua rangkaian karakter yang tersedia, kecuali jika Anda membuat kata sandi untuk situs web yang, katakanlah, tidak mengizinkan karakter khusus.
Kumpulan karakter yang tersedia mencakup 26 huruf besar, 26 huruf kecil, dan 10 digit. Ini juga mencakup kumpulan karakter khusus yang mungkin berbeda dari satu produk ke produk lainnya. Untuk mempermudah, misalkan ada 18 karakter khusus yang tersedia. Itu membuat total putaran yang bagus dari 80 karakter untuk dipilih. Dalam kata sandi yang benar-benar acak, ada 80 kemungkinan untuk setiap karakter. Jika Anda memilih kata sandi delapan karakter, jumlah kemungkinannya adalah 80 pangkat delapan, atau 1.677.721.600,000,000—lebih dari satu kuadriliun. Itu slogging yang sulit untuk serangan cracking brute-force, dan tebakan brute force benar-benar satu-satunya cara untuk memecahkan kata sandi yang benar-benar acak.
Pilihan Pengelola Kata Sandi Teratas kami
Lihat semua (4 item)
Tentu saja, generator yang benar-benar acak pada akhirnya akan menghasilkan "aaaaaaaa" dan "Covfefe!" dan "12345678," karena ini sama mungkinnya dengan urutan delapan karakter lainnya. Beberapa pembuat kata sandi secara aktif menyaring keluaran mereka untuk menghindari kata sandi tersebut. Tidak apa-apa, tetapi jika seorang peretas tahu tentang filter itu, itu sebenarnya mengurangi jumlah kemungkinan dan membuat cracking brute force lebih mudah.
Berikut adalah contoh ekstrim. Ada 40.960.000 kemungkinan kata sandi empat karakter, yang diambil dari kumpulan 80 karakter. Tetapi beberapa pembuat kata sandi memaksa pemilihan setidaknya satu dari setiap jenis karakter, dan itu mengurangi kemungkinan secara drastis. Masih ada 80 kemungkinan untuk karakter pertama. Misalkan itu huruf besar; kumpulan untuk karakter kedua adalah 54 (80 dikurangi 26 karakter huruf besar). Selanjutnya misalkan karakter kedua adalah huruf kecil. Untuk karakter ketiga, hanya angka dan karakter khusus yang tersisa, untuk 28 pilihan. Dan jika karakter ketiga adalah tanda baca, yang terakhir harus berupa angka, 10 pilihan. 40 juta kemungkinan kami berkurang menjadi 1.209.600.
Menggunakan semua set karakter adalah kebutuhan bagi banyak situs web. Untuk menghindari membiarkan persyaratan itu mengecilkan kumpulan kata sandi Anda, atur panjang kata sandi tinggi. Ketika kata sandi cukup panjang, efek memaksa semua jenis karakter menjadi diabaikan.
Batasan lain yang diterapkan pengelola kata sandi mengurangi kumpulan kemungkinan kata sandi yang tidak perlu. Misalnya, RememBear Premium menentukan jumlah karakter yang tepat dari masing-masing rangkaian empat karakter, yang secara drastis mengurangi kumpulan. Secara default, ini membutuhkan dua huruf kapital, dua digit, 14 huruf kecil, dan tanpa simbol, dengan total 18 karakter. Ini menghasilkan kumpulan kata sandi yang ratusan juta kali lebih kecil daripada jika hanya membutuhkan satu atau lebih dari setiap jenis karakter. Di sini sekali lagi, Anda dapat mengimbangi masalah ini dengan menyetel panjang kata sandi yang lebih tinggi.
LastPass dan beberapa lainnya default untuk menghindari pasangan karakter yang ambigu seperti angka 0 dan huruf O. Ketika Anda tidak perlu mengingat kata sandi, ini tidak perlu; matikan opsi ini. Demikian juga, jangan memilih opsi untuk menghasilkan kata sandi yang dapat diucapkan seperti "bogafewazepa". Opsi itu hanya penting jika itu adalah kata sandi yang harus Anda ingat. Menerapkan opsi ini tidak hanya membatasi Anda pada karakter huruf kecil, tetapi juga menolak sejumlah besar kemungkinan yang dianggap tidak dapat diucapkan oleh pembuat kata sandi.
Direkomendasikan oleh Editor Kami
Hasilkan Kata Sandi Panjang
Seperti yang telah kita lihat, pembuat kata sandi tidak harus memilih dari kumpulan semua kemungkinan kata sandi yang cocok dengan panjang dan rangkaian karakter yang Anda pilih. Dalam contoh ekstrim kata sandi empat karakter yang menggunakan semua rangkaian karakter, sekitar 97 persen kemungkinan kata sandi empat karakter tidak pernah muncul. Solusinya sederhana; pergi lama! Anda tidak perlu mengingat kata sandi ini, jadi kata sandi itu bisa sangat besar. Setidaknya, sebesar situs web yang bersangkutan menerima; beberapa memang memaksakan batasan.
Semakin besar ruang pencarian (yang saya sebut kumpulan kata sandi yang tersedia), semakin lama waktu yang dibutuhkan serangan brute force terjadi pada kata sandi Anda. Anda dapat bermain dengan Password Haystack Calculator (seperti jarum di tumpukan jerami) di situs web Gibson Research untuk merasakan nilai panjangnya.
Cukup masukkan kata sandi untuk melihat berapa lama waktu yang dibutuhkan untuk memecahkannya. (Situs ini menjanjikan "TIDAK ADA yang Anda lakukan di sini pernah meninggalkan browser Anda. Apa yang terjadi di sini, tetap di sini." Tapi hati-hati menyarankan Anda menghindari penggunaan kata sandi Anda yang sebenarnya). Kata sandi empat karakter seperti 9kM$ akan memakan waktu tidak cukup satu hari untuk dipecahkan, jika peretas harus mengirim tebakan secara online. Namun dalam skenario offline, di mana peretas dapat mencoba menebak dengan kecepatan tinggi, waktu cracking hanya sepersekian detik.
Dalam artikel saya tentang membuat kata sandi kuat yang mudah diingat (untuk hal-hal seperti kata sandi utama pengelola kata sandi) saya menyarankan teknik mnemonik yang mengubah baris dari puisi atau permainan menjadi kata sandi yang tampak acak. Misalnya, baris dari Romeo dan Juliet, Babak 2, Adegan 2, menjadi "bS,wLtYdWdB?A2S2". Ini bukan kata sandi acak, tetapi seorang cracker tidak mengetahuinya. Dengan memasukkannya ke dalam kalkulator Gibson, kita mengetahui bahwa bahkan dengan menggunakan susunan cracking besar-besaran, dibutuhkan 1,4100 juta abad untuk melakukan brute force yang satu ini.
Buat Pilihan Pengelola Kata Sandi yang Diinformasikan
Jadi sekarang Anda tahu—faktor terpenting dalam menghasilkan kata sandi acak yang kuat adalah membuatnya panjang. Beberapa pembuat kata sandi menolak kata sandi yang tidak berisi semua rangkaian karakter, beberapa menolak kata-kata kamus yang disematkan, beberapa membuang kata sandi yang mengandung karakter ambigu seperti l kecil dan angka 1. Semua batasan ini membatasi kumpulan kata sandi yang mungkin, tetapi ketika panjangnya cukup tinggi, batasan ini tidak masalah.
Tentu saja, secara teoritis (jika tidak praktis) mungkin bahwa beberapa penjahat mungkin meretas skema pembuatan kata sandi dari pengelola kata sandi favorit Anda, dan dengan demikian memperoleh kemampuan untuk memprediksi kata sandi pseudo-acak yang akan ditawarkannya kepada Anda. Program pengelola kata sandi yang teduh dapat mengirim kata sandi acak Anda kembali ke kantor pusat perusahaan. Ini benar-benar dalam tingkat kekhawatiran paranoia topi kertas timah. Tetapi jika Anda benar-benar tidak ingin bergantung pada orang lain untuk kata sandi acak Anda, Anda dapat membuat pembuat kata sandi acak Anda sendiri di Excel.