Cum să utilizați un generator de parole aleatorii
Publicat: 2022-01-29Aproape fiecare site web pe care îl vizitați dorește să vă creați un cont, fie că este vorba de tranzacții financiare de înaltă securitate sau de jocuri cu animale proaste. Nu puteți scăpa doar folosind aceeași parolă pentru toți, pentru că atunci o încălcare a oricărui site le-ar risca pe toate. Și nu puteți memora cu ușurință o parolă diferită pentru fiecare site. Singura soluție sensibilă este să instalați un manager de parole și să îl utilizați atât pentru a vă stoca, cât și pentru a vă îmbunătăți parolele. De fiecare dată când înlocuiți o parolă prea simplă cu una lungă, puternică și aleatorie, vă îmbunătățiți securitatea generală. Dar de unde găsești acele parole lungi, puternice și aleatorii?
Aproape fiecare manager de parole include o componentă de generator de parole, astfel încât nu trebuie să vii singur cu acele parole aleatorii. (Dar dacă doriți o soluție de tip „do-it-yourself”, vă vom arăta cum să vă construiți propriul generator de parole aleatoare). Cu toate acestea, nu toți generatorii de parole sunt creați egali. Când știi cum funcționează, îl poți alege pe cel mai potrivit pentru tine și îl poți folosi pe cel pe care îl ai în mod inteligent.
Generatoare de parole – aleatoare sau nu?
Când arunci o pereche de zaruri, obții un rezultat cu adevărat aleatoriu. Nimeni nu poate prezice dacă vei primi ochi de șarpe, vagoane sau un șapte norocos. Dar în domeniul computerelor, randomizatoarele fizice precum zarurile nu sunt disponibile. Da, există câteva surse de numere aleatorii bazate pe dezintegrarea radioactivă, dar nu le veți găsi în managerul mediu de parole pentru consumatori.
Managerii de parole și alte programe de calculator folosesc ceea ce se numește algoritm pseudo-aleatoriu. Acest algoritm începe cu un număr numit sămânță. Algoritmul procesează sămânța și obține un număr nou, fără o conexiune trasabilă cu cel vechi, iar noul număr devine următorul număr. Sămânța inițială nu apare niciodată din nou până când nu apare fiecare alt număr. Dacă sămânța a fost un număr întreg de 32 de biți, înseamnă că algoritmul va rula prin alte 4.294.967.295 de numere înainte de repetare.
Acest lucru este bine pentru utilizarea de zi cu zi și pentru nevoile majorității oamenilor de a genera parole. Cu toate acestea, teoretic este posibil ca un hacker calificat să determine algoritmul pseudo-aleatoriu utilizat. Având în vedere aceste informații și sămânța, hackerul ar putea replica secvența de numere aleatoare (deși ar fi dificil).
Acest tip de hacking direcționat este extraordinar de puțin probabil, cu excepția unui atac dedicat unui stat național sau a spionajului corporativ. Dacă ești subiectul unui astfel de atac, suita ta de securitate probabil nu te poate proteja. Din fericire, aproape sigur nu ești ținta acestui tip de spionaj cibernetic.
Chiar și așa, câțiva manageri de parole lucrează activ pentru a elimina chiar și posibilitatea de la distanță a unui astfel de atac concentrat. Încorporând propriile mișcări ale mouse-ului sau caractere aleatorii în algoritmul aleatoriu, acestea obțin un rezultat cu adevărat aleatoriu. Printre cei care oferă această randomizare în lumea reală se numără AceBIT Password Depot, KeePass și Steganos Password Manager. Captura de ecran de mai sus arată randomizarea în stil matrice al Password Depot; da, caracterele cad pe măsură ce mișcați mouse-ul.
Chiar trebuie să adăugați randomizare în lumea reală? Probabil ca nu. Dar dacă te face fericit, mergi!
Managerii de parole reduc aleatoriile
Desigur, generatoarele de parole nu returnează literalmente numere aleatorii. Mai degrabă, ele returnează un șir de caractere, folosind numere aleatorii pentru a alege din seturile de caractere disponibile. Ar trebui să activați întotdeauna utilizarea tuturor seturilor de caractere disponibile, cu excepția cazului în care generați o parolă pentru un site web care, de exemplu, nu permite caractere speciale.
Grupul de caractere disponibile include 26 de litere mari, 26 de litere mici și 10 cifre. De asemenea, include o colecție de caractere speciale care pot varia de la produs la produs. Pentru simplitate, să presupunem că sunt disponibile 18 caractere speciale. Asta înseamnă o rundă frumoasă de 80 de caractere din care să alegi. Într-o parolă total aleatorie, există 80 de posibilități pentru fiecare personaj. Dacă alegeți o parolă de opt caractere, numărul de posibilități este de la 80 la a opta putere sau 1.677.721.600.000.000 - mai mult de un cvadrilion. Acesta este un slogging dur pentru un atac de cracking cu forță brută, iar ghicitul cu forța brută este într-adevăr singura modalitate de a sparge o parolă cu adevărat aleatorie.
Cele mai bune alegeri ale managerului de parole
Vezi toate (4 articole)
Desigur, un generator total aleatoriu va produce în cele din urmă „aaaaaaaa” și „Covfefe!” și „12345678”, deoarece acestea sunt la fel de probabile ca orice altă secvență de opt caractere. Unii generatori de parole își filtrează în mod activ rezultatul pentru a evita astfel de parole. Este în regulă, dar dacă un hacker știe despre acele filtre, de fapt, reduce numărul de posibilități și facilitează cracarea prin forță brută.
Iată un exemplu extrem. Există 40.960.000 de parole posibile de patru caractere, extrase dintr-o colecție de 80 de caractere. Dar unii generatori de parole forțează selectarea a cel puțin unul din fiecare tip de caracter, iar asta reduce drastic posibilitățile. Mai sunt 80 de posibilități pentru primul personaj. Să presupunem că este o literă mare; pool-ul pentru al doilea caracter este 54 (80 minus cele 26 de caractere majuscule). Mai mult, să presupunem că al doilea caracter este o literă mică. Pentru al treilea caracter, rămân doar cifre și caractere speciale, pentru 28 de opțiuni. Și dacă al treilea caracter este punctuația, ultimul trebuie să fie o cifră, 10 opțiuni. Cele 40 de milioane de posibilități ale noastre se reduc la 1.209.600.
Utilizarea tuturor seturi de caractere este o necesitate pentru multe site-uri web. Pentru a evita ca această cerință să vă micșoreze pool-ul de parole, setați lungimea parolei la mare. Când parola este suficient de lungă, efectul forțării tuturor tipurilor de caractere devine neglijabil.
Alte limite pe care le aplică managerii de parole reduc numărul de parole posibile în mod inutil. De exemplu, RememBear Premium specifică numărul precis de caractere din fiecare dintre setul de patru caractere, ceea ce reduce drastic grupul. În mod implicit, necesită două litere mari, două cifre, 14 litere mici și niciun simbol, pentru un total de 18 caractere. Acest lucru are ca rezultat un grup de parole care este de sute de milioane de ori mai mic decât dacă ar fi nevoie pur și simplu de unul sau mai multe din fiecare tip de caracter. Din nou, puteți compensa această problemă setând o lungime mai mare a parolei.
LastPass și alții evită implicit perechile de caractere ambigue, cum ar fi cifra 0 și litera O. Când nu trebuie să vă amintiți parola, aceasta nu este necesar; dezactivați această opțiune. De asemenea, nu alegeți opțiunea de a genera o parolă pronunțabilă precum „bogafewazepa”. Această opțiune este importantă doar dacă este o parolă pe care trebuie să o reții. Aplicarea acestei opțiuni nu numai că vă limitează la caractere mici, ci respinge numărul mare de posibilități pe care generatorul de parole le consideră a fi nepronunțate.
Recomandat de editorii noștri
Generați parole lungi
După cum am văzut, generatorii de parole nu aleg neapărat din grupul de parole posibile care se potrivesc cu lungimea și seturile de caractere pe care le-ați selectat. În exemplul extrem al unei parole de patru caractere care utilizează toate seturile de caractere, aproximativ 97% dintre parolele posibile de patru caractere nu apar niciodată. Soluția este simplă; du-te mult! Nu trebuie să vă amintiți aceste parole, așa că pot fi uriașe. Cel puțin, pe cât acceptă site-ul în cauză; unii chiar impun limite.
Cu cât spațiul de căutare este mai mare (ceea ce am numit grupul de parole disponibile), cu atât va dura mai mult ca un atac cu forță brută să aibă loc asupra parolei tale. Vă puteți juca cu Calculatorul cu parole de fân (cum ar fi, ac într-un car de fân) de pe site-ul web Gibson Research pentru a obține o idee despre valoarea lungimii.
Doar introduceți o parolă pentru a vedea cât timp ar dura cracarea. (Site-ul promite „NIMIC din ceea ce faci aici nu părăsește browserul tău. Ce se întâmplă aici, rămâne aici.” Dar prudența sugerează să evitați să utilizați parolele reale). O parolă de patru caractere, cum ar fi 9kM$, ar dura nu chiar o zi să se spargă, dacă hackerul trebuie să trimită ipoteze online. Dar într-un scenariu offline, în care hackerul poate încerca ghiciri cu viteză mare, timpul de spargere este o fracțiune de secundă.
În articolul meu despre crearea de parole puternice memorabile (pentru lucruri precum parola principală a unui manager de parole) sugerez o tehnică mnemonică care transformă un vers dintr-o poezie sau o piesă într-o parolă cu aspect aleatoriu. De exemplu, o replică din Romeo și Julieta, Actul 2, Scena 2, a devenit „bS,wLtYdWdB?A2S2”. Aceasta nu este o parolă aleatoare, dar un cracker nu știe asta. Introducându-l în calculatorul lui Gibson, aflăm că, chiar și folosind o matrice de cracare masivă, ar dura 1,41 sute de milioane de secole pentru a-l pune pe acesta cu forță brută.
Faceți o alegere informată a managerului de parole
Așa că acum știi că cel mai important factor în generarea de parole puternice, aleatorii este să le faci lungi. Unii generatori de parole resping parolele care nu conțin toate seturile de caractere, unii le resping pe cele cu cuvinte în dicționar încorporate, unii elimină parolele care conțin caractere ambigue precum l mic și cifra 1. Toate aceste restricții limitează numărul de parole posibile, dar când lungimea este suficient de mare, această limitare pur și simplu nu contează.
Desigur, este teoretic (dacă nu practic) posibil ca un răufăcător să pirateze schema de generare a parolelor managerului tău de parole preferat și, astfel, să câștige capacitatea de a prezice parolele pseudoaleatoare pe care ți le va oferi. Un program umbros de gestionare a parolelor ar putea trimite parolele aleatoare înapoi la sediul companiei. Acest lucru se află într-adevăr în nivelul de îngrijorare al paranoiei din staniol-pălărie. Dar dacă chiar nu vrei să te bazezi pe altcineva pentru parolele tale aleatorii, poți să-ți creezi propriul generator de parole aleatorii în Excel.