วิธีใช้เครื่องมือสร้างรหัสผ่านแบบสุ่ม
เผยแพร่แล้ว: 2022-01-29เว็บไซต์แทบทุกแห่งที่คุณเยี่ยมชมต้องการให้คุณสร้างบัญชี ไม่ว่าจะเป็นสำหรับธุรกรรมทางการเงินที่มีความปลอดภัยสูง หรือเกมเกี่ยวกับสัตว์ขำๆ คุณไม่สามารถหลีกเลี่ยงได้โดยใช้รหัสผ่านเดียวกันสำหรับพวกเขาทั้งหมด เพราะหากฝ่าฝืนไซต์ใดไซต์หนึ่งก็จะเสี่ยงกับพวกเขาทั้งหมด และคุณไม่สามารถจำรหัสผ่านที่แตกต่างกันได้อย่างง่ายดายสำหรับทุกไซต์ ทางออกเดียวที่สมเหตุสมผลคือการติดตั้งตัวจัดการรหัสผ่านและใช้เพื่อจัดเก็บและปรับปรุงรหัสผ่านของคุณ ทุกครั้งที่คุณเปลี่ยนรหัสผ่านที่ง่ายเกินไปด้วยรหัสที่ยาว รัดกุม และสุ่ม คุณได้ปรับปรุงความปลอดภัยโดยรวมของคุณ แต่คุณจะได้รหัสผ่านแบบสุ่มที่ยาว แข็งแกร่ง และสุ่มมาจากไหน
ตัวจัดการรหัสผ่านเกือบทุกตัวมีส่วนประกอบตัวสร้างรหัสผ่าน ดังนั้นคุณจึงไม่ต้องคิดรหัสผ่านแบบสุ่มเหล่านั้นด้วยตัวเอง (แต่ถ้าคุณ ต้องการ โซลูชันที่ต้องทำด้วยตัวเอง เราจะแสดงวิธีสร้างตัวสร้างรหัสผ่านแบบสุ่มของคุณเอง) อย่างไรก็ตาม ตัวสร้างรหัสผ่านไม่ได้ถูกสร้างขึ้นมาเท่ากันทั้งหมด เมื่อคุณรู้ว่ามันทำงานอย่างไร คุณสามารถเลือกสิ่งที่ดีที่สุดสำหรับคุณ และใช้อันที่คุณมีอย่างชาญฉลาด
ตัวสร้างรหัสผ่าน—สุ่มหรือไม่?
เมื่อคุณโยนลูกเต๋า คุณจะได้ผลลัพธ์แบบสุ่มอย่างแท้จริง ไม่มีใครสามารถคาดเดาได้ว่าคุณจะได้ตางู บ็อกซ์คาร์ หรือเซเว่นนำโชค แต่ในขอบเขตของคอมพิวเตอร์ ตัวสุ่มทางกายภาพเช่นลูกเต๋าไม่พร้อมใช้งาน ใช่ มีแหล่งตัวเลขสุ่มสองสามแหล่งที่อิงจากการสลายกัมมันตภาพรังสี แต่คุณจะไม่พบข้อมูลเหล่านี้ในตัวจัดการรหัสผ่านฝั่งผู้บริโภคโดยเฉลี่ย
โปรแกรมจัดการรหัสผ่านและโปรแกรมคอมพิวเตอร์อื่นๆ ใช้สิ่งที่เรียกว่าอัลกอริธึมสุ่มหลอก อัลกอริทึมนี้เริ่มต้นด้วยตัวเลขที่เรียกว่าเมล็ด อัลกอริธึมประมวลผลเมล็ดพันธุ์และได้รับหมายเลขใหม่โดยไม่มีการเชื่อมต่อกับเก่า และหมายเลขใหม่จะกลายเป็นเมล็ดพันธุ์ถัดไป เมล็ดพันธุ์เดิมจะไม่ปรากฏขึ้นอีกจนกว่าจะมีจำนวนเพิ่มขึ้น หากเมล็ดพันธุ์เป็นจำนวนเต็ม 32 บิต นั่นหมายความว่าอัลกอริทึมจะรันผ่านตัวเลขอื่นๆ 4,294,967,295 ตัวก่อนที่จะทำซ้ำ
ซึ่งเป็นเรื่องปกติสำหรับการใช้งานในชีวิตประจำวัน และดีสำหรับความต้องการในการสร้างรหัสผ่านของคนส่วนใหญ่ อย่างไรก็ตาม ตามทฤษฎีแล้ว แฮ็กเกอร์ที่มีทักษะสามารถกำหนดอัลกอริทึมสุ่มหลอกที่ใช้ในทางทฤษฎีได้ จากข้อมูลดังกล่าวและเมล็ดพันธุ์ แฮ็กเกอร์สามารถจำลองลำดับของตัวเลขสุ่มได้ (แม้ว่าจะเป็นเรื่องยากก็ตาม)
การแฮ็กโดยตรงแบบนั้นไม่น่าเป็นไปได้เป็นพิเศษ ยกเว้นในการโจมตีระดับประเทศโดยเฉพาะ หรือการจารกรรมองค์กร หากคุณตกเป็นเป้าของการโจมตี ชุดรักษาความปลอดภัยของคุณอาจไม่สามารถปกป้องคุณได้ โชคดีที่คุณแทบจะไม่ใช่เป้าหมายของการจารกรรมทางไซเบอร์ประเภทนี้
ถึงกระนั้น ผู้จัดการรหัสผ่านบางคนก็ทำงานอย่างแข็งขันเพื่อขจัดความเป็นไปได้จากระยะไกลของการโจมตีที่มุ่งเน้นดังกล่าว ด้วยการรวมการเคลื่อนไหวของเมาส์หรืออักขระแบบสุ่มเข้ากับอัลกอริทึมแบบสุ่ม พวกมันจะได้ผลลัพธ์แบบสุ่มอย่างแท้จริง ในบรรดาข้อเสนอที่เสนอการสุ่มในโลกแห่งความเป็นจริง ได้แก่ AceBIT Password Depot, KeePass และ Steganos Password Manager ภาพหน้าจอด้านบนแสดงตัวสุ่มรูปแบบเมทริกซ์ของ Password Depot ใช่ ตัวละครจะลดลงเมื่อคุณเลื่อนเมาส์
คุณจำเป็นต้องเพิ่มการสุ่มในโลกแห่งความเป็นจริงหรือไม่? อาจจะไม่. แต่ถ้ามันทำให้คุณมีความสุข ก็ลุยเลย!
ผู้จัดการรหัสผ่านลดความสุ่ม
แน่นอน โปรแกรมสร้างรหัสผ่านไม่ได้ส่งคืนตัวเลขสุ่มอย่างแท้จริง แต่จะส่งคืนสตริงของอักขระ โดยใช้ ตัวเลขสุ่มเพื่อเลือกจากชุดอักขระที่มีอยู่ คุณควรเปิดใช้งานการใช้ชุดอักขระที่มีอยู่ทั้งหมด เว้นแต่ว่าคุณกำลังสร้างรหัสผ่านสำหรับเว็บไซต์ที่ไม่อนุญาตให้ใช้อักขระพิเศษ
กลุ่มของอักขระที่ใช้ได้ประกอบด้วยอักษรตัวพิมพ์ใหญ่ 26 ตัว ตัวอักษรพิมพ์เล็ก 26 ตัว และตัวเลข 10 หลัก นอกจากนี้ยังมีคอลเลกชั่นอักขระพิเศษที่อาจแตกต่างกันไปในแต่ละผลิตภัณฑ์ เพื่อความง่าย สมมติว่ามีอักขระพิเศษ 18 ตัวให้เลือก นั่นทำให้รอบที่ดีทั้งหมด 80 ตัวอักษรให้เลือก ในรหัสผ่านแบบสุ่มทั้งหมด มีความเป็นไปได้ 80 ตัวสำหรับอักขระทุกตัว หากคุณเลือกรหัสผ่านแปดตัว จำนวนที่เป็นไปได้คือ 80 ถึงยกกำลังแปด หรือ 1,677,721,600,000,000—มากกว่าสี่พันล้าน นั่นเป็นเรื่องยากสำหรับการโจมตีแบบเดรัจฉานการแคร็กและการเดาแบบเดรัจฉานเป็นวิธีเดียวที่จะถอดรหัสรหัสผ่านแบบสุ่มอย่างแท้จริง
ผู้จัดการรหัสผ่านยอดนิยมของเราเลือก
ดูทั้งหมด (4 รายการ)
แน่นอนว่าเครื่องกำเนิดแบบสุ่มจะผลิต "aaaaaaa" และ "Covfefe!" ในท้ายที่สุด และ "12345678" เนื่องจากสิ่งเหล่านี้น่าจะเหมือนกับลำดับอื่นๆ ที่มีอักขระแปดตัว ตัวสร้างรหัสผ่านบางตัวกรองเอาท์พุตของตนอย่างแข็งขันเพื่อหลีกเลี่ยงรหัสผ่านดังกล่าว ไม่เป็นไร แต่ถ้าแฮ็กเกอร์รู้เกี่ยวกับตัวกรองเหล่านั้น มันจะลดจำนวนความเป็นไปได้ลงจริงๆ และทำให้การถอดรหัสด้วยกำลังเดรัจฉานง่ายขึ้น
นี่คือตัวอย่างสุดโต่ง มีรหัสผ่านสี่อักขระที่เป็นไปได้ 40,960,000 ตัว จากชุดอักขระ 80 ตัว แต่ตัวสร้างรหัสผ่านบางตัวบังคับให้เลือกอย่างน้อยหนึ่งตัวจากอักขระแต่ละประเภท และลดความเป็นไปได้อย่างมาก ยังมีความเป็นไปได้ 80 ตัวสำหรับตัวละครตัวแรก สมมติว่าเป็นอักษรตัวพิมพ์ใหญ่ พูลสำหรับอักขระตัวที่สองคือ 54 (80 ลบอักขระตัวพิมพ์ใหญ่ 26 ตัว) นอกจากนี้ สมมติว่าอักขระตัวที่สองเป็นตัวพิมพ์เล็ก สำหรับอักขระตัวที่สาม จะเหลือเพียงตัวเลขและอักขระพิเศษสำหรับ 28 ตัวเลือก และถ้าอักขระตัวที่สามเป็นเครื่องหมายวรรคตอน ตัวสุดท้ายต้องเป็นตัวเลข 10 ตัวเลือก ความเป็นไปได้ 40 ล้านครั้งของเราลดน้อยลงเหลือ 1,209,600
การใช้ชุดอักขระทั้งหมดมีความจำเป็นสำหรับเว็บไซต์หลายแห่ง เพื่อหลีกเลี่ยงไม่ให้ข้อกำหนดนั้นย่อพูลรหัสผ่านของคุณ ให้ตั้งค่าความยาวของรหัสผ่านให้สูง เมื่อรหัสผ่านยาวพอ ผลของการบังคับอักขระทุกประเภทจะเล็กน้อย
ข้อจำกัดอื่นๆ ที่ผู้จัดการรหัสผ่านใช้จะลดพูลของรหัสผ่านที่เป็นไปได้โดยไม่จำเป็น ตัวอย่างเช่น RememBear Premium ระบุจำนวนอักขระที่แม่นยำจากชุดอักขระสี่ตัวแต่ละชุด ซึ่งลดพูลลงอย่างมาก โดยค่าเริ่มต้น ต้องใช้อักษรตัวพิมพ์ใหญ่สองตัว, ตัวเลขสองหลัก, ตัวพิมพ์เล็ก 14 ตัว และไม่มีสัญลักษณ์ รวมเป็น 18 อักขระ ซึ่งส่งผลให้กลุ่มรหัสผ่านมีขนาดเล็กกว่าหลายร้อยล้านเท่าเมื่อต้องการเพียงอย่างน้อยหนึ่งประเภทอักขระแต่ละประเภท ที่นี่อีกครั้ง คุณสามารถชดเชยปัญหานี้ได้โดยกำหนดความยาวของรหัสผ่านให้สูงขึ้น
LastPass และอีกหลายๆ ค่าเริ่มต้นเพื่อหลีกเลี่ยงการจับคู่อักขระที่คลุมเครือ เช่น ตัวเลข 0 และตัวอักษร O เมื่อคุณไม่ต้องจำรหัสผ่าน ก็ไม่จำเป็น ปิดตัวเลือกนี้ ในทำนองเดียวกัน อย่าเลือกตัวเลือกเพื่อสร้างรหัสผ่านที่ออกเสียงได้ เช่น "bogafewazepa" ตัวเลือกนั้นสำคัญก็ต่อเมื่อเป็นรหัสผ่านที่คุณต้องจำไว้ การใช้ตัวเลือกนี้ไม่เพียงแต่จำกัดให้คุณใช้อักขระตัวพิมพ์เล็กเท่านั้น แต่ยังปฏิเสธความเป็นไปได้มากมายที่เครื่องมือสร้างรหัสผ่านเห็นว่าไม่สามารถออกเสียงได้
แนะนำโดยบรรณาธิการของเรา
สร้างรหัสผ่านแบบยาว
ดังที่เราได้เห็น ตัวสร้างรหัสผ่านไม่จำเป็นต้องเลือกจากกลุ่มรหัสผ่านที่เป็นไปได้ทั้งหมดที่ตรงกับความยาวและชุดอักขระที่คุณเลือก ในตัวอย่างที่รุนแรงที่สุดของรหัสผ่านสี่ตัวที่ใช้ชุดอักขระทั้งหมด ประมาณ 97 เปอร์เซ็นต์ของรหัสผ่านสี่อักขระที่เป็นไปได้จะไม่ปรากฏ วิธีแก้ปัญหานั้นง่าย ยาวไป! คุณไม่จำเป็นต้องจำรหัสผ่านเหล่านี้ รหัสผ่านจึงอาจมีขนาดใหญ่ อย่างน้อยก็ใหญ่พอ ๆ กับเว็บไซต์ที่เป็นปัญหา บางคนกำหนดขอบเขต
ยิ่งพื้นที่การค้นหาใหญ่ขึ้น (สิ่งที่ฉันเรียกว่าพูลของรหัสผ่านที่มีอยู่) ยิ่งใช้การโจมตีอย่างดุเดือดกับรหัสผ่านของคุณนานขึ้นเท่านั้น คุณสามารถเล่นกับ Password Haystack Calculator (เช่นเดียวกับในกองหญ้าแห้ง) ที่เว็บไซต์ Gibson Research เพื่อทำความเข้าใจถึงคุณค่าของความยาว
เพียงป้อนรหัสผ่านเพื่อดูว่าจะใช้เวลานานแค่ไหนในการถอดรหัส (ไซต์สัญญาว่า "คุณทำอะไรที่นี่ไม่เคยออกจากเบราว์เซอร์ของคุณ อะไรจะเกิดขึ้นที่นี่ อยู่ที่นี่" แต่ควรระมัดระวัง หลีกเลี่ยงการใช้รหัสผ่านจริงของคุณ) รหัสผ่านสี่อักขระเช่น 9kM$ จะใช้เวลาไม่นานในการถอดรหัส หากแฮ็กเกอร์ต้องส่งการคาดเดาทางออนไลน์ แต่ในสถานการณ์ออฟไลน์ ซึ่งแฮ็กเกอร์สามารถลองเดาด้วยความเร็วสูงได้ เวลาในการถอดรหัสนั้นใช้เวลาเพียงเสี้ยววินาที
ในบทความของฉันเกี่ยวกับการสร้างรหัสผ่านที่คาดเดายาก (สำหรับสิ่งต่างๆ เช่น รหัสผ่านหลักของผู้จัดการรหัสผ่าน) ฉันขอแนะนำเทคนิคช่วยจำที่เปลี่ยนบทหนึ่งจากบทกวีหรือเล่นเป็นรหัสผ่านแบบสุ่ม ตัวอย่างเช่น บรรทัดจากโรมิโอและจูเลียต องก์ที่ 2 ฉากที่ 2 กลายเป็น "bS,wLtYdWdB?A2S2" นี่ไม่ใช่รหัสผ่านแบบสุ่ม แต่แครกเกอร์ไม่รู้เรื่องนั้น เมื่อใส่ลงในเครื่องคิดเลขของ Gibson เราได้เรียนรู้ว่าถึงแม้จะใช้อาร์เรย์การถอดรหัสขนาดใหญ่ก็ยังต้องใช้เวลา 1.41 ร้อยล้านศตวรรษในการบังคับแบบเดรัจฉานนี้
ตัดสินใจเลือกผู้จัดการรหัสผ่านที่มีข้อมูล
ตอนนี้คุณก็รู้แล้ว ปัจจัยที่สำคัญที่สุดในการสร้างรหัสผ่านแบบสุ่มที่รัดกุมคือการทำให้ยาว ตัวสร้างรหัสผ่านบางตัวปฏิเสธรหัสผ่านที่ไม่มีชุดอักขระทั้งหมด บางตัวปฏิเสธชุดที่มีคำในพจนานุกรมที่ฝังอยู่ บางตัวทิ้งรหัสผ่านที่มีอักขระคลุมเครือ เช่น l เล็กและหลัก 1 ข้อจำกัดทั้งหมดนี้จะจำกัดพูลของรหัสผ่านที่เป็นไปได้ แต่เมื่อมีความยาว สูงพอ ข้อจำกัดนี้ไม่สำคัญ
แน่นอน เป็นไปได้ในทางทฤษฎี (ถ้าไม่ใช่ในทางปฏิบัติ) ที่ผู้กระทำผิดบางคนอาจแฮ็กรูปแบบการสร้างรหัสผ่านของตัวจัดการรหัสผ่านที่คุณโปรดปราน และด้วยเหตุนี้จึงได้รับความสามารถในการคาดเดารหัสผ่านสุ่มหลอกที่จะเสนอให้คุณ โปรแกรมจัดการรหัสผ่านที่น่าสงสัยอาจส่งรหัสผ่านแบบสุ่มของคุณกลับไปที่สำนักงานใหญ่ของบริษัท นี่เป็นความกังวลในระดับความหวาดระแวงของหมวกดีบุก แต่ถ้าคุณไม่ต้องการพึ่งพาผู้อื่นในการสุ่มรหัสผ่าน คุณสามารถสร้างตัวสร้างรหัสผ่านแบบสุ่มของคุณเองใน Excel