Come utilizzare un generatore di password casuali
Pubblicato: 2022-01-29Quasi tutti i siti Web che visiti richiedono la creazione di un account, che si tratti di transazioni finanziarie ad alta sicurezza o giochi di animali sciocchi. Non puoi farla franca usando la stessa password per tutti loro, perché una violazione in qualsiasi sito li metterebbe tutti a rischio. E non puoi memorizzare facilmente una password diversa per ogni sito. L'unica soluzione sensata è installare un gestore di password e utilizzarlo sia per archiviare che per migliorare le password. Ogni volta che sostituisci una password troppo semplice con una lunga, forte e casuale, migliori la tua sicurezza generale. Ma dove si ottengono quelle password lunghe, forti e casuali?
Quasi tutti i gestori di password includono un componente generatore di password, quindi non devi inventare tu stesso quelle password casuali. (Ma se desideri una soluzione fai-da-te, ti mostreremo come creare il tuo generatore di password casuali). Tuttavia, non tutti i generatori di password sono uguali. Quando sai come funzionano, puoi scegliere quello che è meglio per te e usare quello che hai in modo intelligente.
Generatori di password: casuali o no?
Quando lanci un paio di dadi, ottieni un risultato davvero casuale. Nessuno può prevedere se otterrai occhi di serpente, vagoni merci o sette fortunati. Ma nel regno dei computer, i randomizzatori fisici come i dadi non sono disponibili. Sì, ci sono alcune sorgenti di numeri casuali basate sul decadimento radioattivo, ma non le troverai nel gestore di password lato consumatore medio.
I gestori di password e altri programmi per computer utilizzano quello che viene chiamato un algoritmo pseudo-casuale. Questo algoritmo inizia con un numero chiamato seme. L'algoritmo elabora il seme e ottiene un nuovo numero senza alcuna connessione tracciabile con il vecchio e il nuovo numero diventa il seme successivo. Il seme originale non compare mai più fino a quando non sono emersi tutti gli altri numeri. Se il seme fosse un numero intero a 32 bit, significa che l'algoritmo eseguirebbe 4.294.967.295 altri numeri prima di una ripetizione.
Questo va bene per l'uso quotidiano e va bene per le esigenze di generazione di password della maggior parte delle persone. Tuttavia, è teoricamente possibile per un hacker esperto determinare l'algoritmo pseudo-casuale utilizzato. Date queste informazioni e il seme, l'hacker potrebbe plausibilmente replicare la sequenza di numeri casuali (sebbene sarebbe difficile).
Questo tipo di hacking diretto è straordinariamente improbabile, tranne che in un attacco dedicato allo stato-nazione o nello spionaggio aziendale. Se sei oggetto di un simile attacco, la tua suite di sicurezza probabilmente non può proteggerti. Fortunatamente, quasi certamente non sei l'obiettivo di questo tipo di spionaggio informatico.
Anche così, alcuni gestori di password lavorano attivamente per eliminare anche la possibilità remota di un attacco così mirato. Incorporando i tuoi movimenti del mouse o caratteri casuali nell'algoritmo casuale, ottengono un risultato veramente casuale. Tra quelli che offrono questa randomizzazione nel mondo reale ci sono AceBIT Password Depot, KeePass e Steganos Password Manager. Lo screenshot sopra mostra il randomizzatore in stile matrice di Password Depot; sì, i personaggi cadono mentre muovi il mouse.
Hai davvero bisogno di aggiungere la randomizzazione nel mondo reale? Probabilmente no. Ma se ti rende felice, fallo!
I gestori di password riducono la casualità
Naturalmente, i generatori di password non restituiscono letteralmente numeri casuali. Piuttosto, restituiscono una stringa di caratteri, utilizzando numeri casuali per scegliere tra i set di caratteri disponibili. Dovresti sempre abilitare l'uso di tutti i set di caratteri disponibili, a meno che tu non stia generando una password per un sito Web che, ad esempio, non consente caratteri speciali.
Il pool di caratteri disponibili include 26 lettere maiuscole, 26 lettere minuscole e 10 cifre. Include anche una raccolta di caratteri speciali che possono variare da prodotto a prodotto. Per semplicità, diciamo che sono disponibili 18 caratteri speciali. Questo rende un bel totale di 80 caratteri tra cui scegliere. In una password totalmente casuale, ci sono 80 possibilità per ogni personaggio. Se scegli una password di otto caratteri, il numero di possibilità è 80 all'ottava potenza, o 1.677.721.600.000.000, più di un quadrilione. È un duro lavoro per un attacco di cracking di forza bruta e indovinare la forza bruta è davvero l'unico modo per decifrare una password veramente casuale.
Le nostre migliori scelte per il gestore delle password
Vedi tutto (4 articoli)
Naturalmente, un generatore totalmente casuale alla fine produrrà "aaaaaaaa" e "Covfefe!" e "12345678", poiché questi sono probabili come qualsiasi altra sequenza di otto caratteri. Alcuni generatori di password filtrano attivamente il loro output per evitare tali password. Va bene, ma se un hacker è a conoscenza di questi filtri, in realtà riduce il numero di possibilità e rende più facile il cracking della forza bruta.
Ecco un esempio estremo. Ci sono 40.960.000 possibili password di quattro caratteri, attingendo da una raccolta di 80 caratteri. Ma alcuni generatori di password forzano la selezione di almeno uno per ogni tipo di carattere e ciò riduce drasticamente le possibilità. Ci sono ancora 80 possibilità per il primo personaggio. Supponiamo che sia una lettera maiuscola; il pool per il secondo carattere è 54 (80 meno i 26 caratteri maiuscoli). Supponiamo inoltre che il secondo carattere sia una lettera minuscola. Per il terzo carattere rimangono solo cifre e caratteri speciali, per 28 scelte. E se il terzo carattere è la punteggiatura, l'ultimo deve essere una cifra, 10 scelte. I nostri 40 milioni di possibilità si riducono a 1.209.600.
L'uso di tutti i set di caratteri è una necessità per molti siti web. Per evitare che tale requisito riduca il pool di password, imposta la lunghezza della password su un valore elevato. Quando la password è sufficientemente lunga, l'effetto della forzatura di tutti i tipi di carattere diventa trascurabile.
Altri limiti applicati dai gestori di password riducono inutilmente il pool di possibili password. Ad esempio, RememBear Premium specifica il numero preciso di caratteri da ciascuno dei quattro caratteri, il che riduce drasticamente il pool. Per impostazione predefinita, richiede due lettere maiuscole, due cifre, 14 lettere minuscole e nessun simbolo, per un totale di 18 caratteri. Ciò si traduce in un pool di password centinaia di milioni di volte più piccolo che se richiedesse semplicemente uno o più di ogni tipo di carattere. Anche in questo caso, puoi compensare questo problema impostando una lunghezza della password maggiore.
LastPass e molti altri per impostazione predefinita evitano coppie di caratteri ambigue come la cifra 0 e la lettera O. Quando non devi ricordare la password, questo non è necessario; disattivare questa opzione. Allo stesso modo, non scegliere l'opzione per generare una password pronunciabile come "bogafewazepa". Questa opzione è importante solo se è una password che devi ricordare. L'applicazione di questa opzione non solo ti limita ai caratteri minuscoli, ma rifiuta il vasto numero di possibilità che il generatore di password ritiene impronunciabili.
Consigliato dai nostri editori
Genera password lunghe
Come abbiamo visto, i generatori di password non scelgono necessariamente dal pool di tutte le possibili password corrispondenti alla lunghezza e ai set di caratteri selezionati. Nell'esempio estremo di una password di quattro caratteri che utilizza tutti i set di caratteri, circa il 97% delle possibili password di quattro caratteri non viene mai visualizzato. La soluzione è semplice; vai lungo! Non è necessario ricordare queste password, quindi possono essere enormi. Almeno, grande quanto il sito Web in questione accetta; alcuni impongono dei limiti.
Più grande è lo spazio di ricerca (quello che ho chiamato il pool di password disponibili), più tempo impiegherebbe un attacco di forza bruta alla tua password. Puoi giocare con il Password Haystack Calculator (come in, ago in un pagliaio) sul sito web di Gibson Research per avere un'idea del valore della lunghezza.
Basta inserire una password per vedere quanto tempo ci vorrebbe per crackare. (Il sito promette "NIENTE di ciò che fai qui lascia mai il tuo browser. Ciò che accade qui, rimane qui". Ma cautela suggerisce di evitare di utilizzare le tue password effettive). Una password di quattro caratteri come 9kM$ non richiederebbe nemmeno un giorno per essere decifrata, se l'hacker deve inviare ipotesi online. Ma in uno scenario offline, in cui l'hacker può provare ad indovinare ad alta velocità, il tempo di cracking è una frazione di secondo.
Nel mio articolo sulla creazione di password complesse memorabili (per cose come la password principale di un gestore di password) suggerisco una tecnica mnemonica che trasforma un verso di una poesia o un gioco in una password dall'aspetto casuale. Ad esempio, un verso di Romeo e Giulietta, atto 2, scena 2, è diventato "bS,wLtYdWdB?A2S2". Questa non è una password casuale, ma un cracker non lo sa. Facendolo cadere nella calcolatrice di Gibson, apprendiamo che anche usando un enorme array di cracking ci vorrebbero 1.410 milioni di secoli per forzare questo.
Fai una scelta informata del gestore delle password
Quindi ora sai: il fattore più importante nella generazione di password forti e casuali è renderle lunghe. Alcuni generatori di password rifiutano le password che non contengono tutti i set di caratteri, alcuni rifiutano quelle con parole del dizionario incorporate, alcuni scartano le password che contengono caratteri ambigui come la piccola l e la cifra 1. Tutte queste restrizioni limitano il pool di possibili password, ma quando la lunghezza è abbastanza alto, questa limitazione non ha importanza.
Ovviamente, è teoricamente (se non praticamente) possibile che qualche malfattore possa hackerare lo schema di generazione delle password del tuo gestore di password preferito, ottenendo così la capacità di prevedere le password pseudocasuali che ti offrirà. Un losco programma di gestione delle password potrebbe inviare le tue password casuali alla sede dell'azienda. Questo è davvero nel livello di preoccupazione della paranoia del cappello di carta stagnola. Ma se davvero non vuoi fare affidamento su qualcun altro per le tue password casuali, puoi creare il tuo generatore di password casuali in Excel.