Rastgele Parola Oluşturucu Nasıl Kullanılır
Yayınlanan: 2022-01-29İster yüksek güvenlikli finansal işlemler ister aptal hayvan oyunları için olsun, ziyaret ettiğiniz hemen hemen her web sitesi bir hesap oluşturmanızı ister. Hepsi için aynı şifreyi kullanmaktan kurtulamazsınız, çünkü o zaman herhangi bir sitedeki ihlal hepsini riske atar. Ve her site için farklı bir şifreyi kolayca ezberleyemezsiniz. Tek mantıklı çözüm, bir parola yöneticisi kurmak ve onu parolalarınızı hem depolamak hem de geliştirmek için kullanmaktır. Çok basit bir parolayı uzun, güçlü, rastgele bir parolayla her değiştirdiğinizde, genel güvenliğinizi artırırsınız. Ama bu uzun, güçlü, rastgele şifreleri nereden alıyorsunuz?
Hemen hemen her şifre yöneticisi bir şifre üreticisi bileşeni içerir, bu nedenle bu rastgele şifreleri kendiniz bulmanız gerekmez. (Ama kendin yap çözümü istiyorsan , sana kendi rastgele şifre üreticini nasıl oluşturacağını göstereceğiz). Ancak, tüm şifre oluşturucular eşit yaratılmamıştır. Nasıl çalıştıklarını bildiğinizde, sizin için en iyi olanı seçebilir ve elinizde olanı akıllıca kullanabilirsiniz.
Parola Üreticileri—Rastgele mi, Değil mi?
Bir çift zar attığınızda, gerçekten rastgele bir sonuç elde edersiniz. Yılan gözlü mü, yük vagonlu mu yoksa şanslı yedili mi olacağınızı kimse tahmin edemez. Ancak bilgisayar aleminde, zar gibi fiziksel rastgeleleştiriciler mevcut değildir. Evet, radyoaktif bozunmaya dayalı birkaç rastgele sayı kaynağı vardır, ancak bunları ortalama tüketici tarafındaki parola yöneticisinde bulamazsınız.
Parola yöneticileri ve diğer bilgisayar programları, sözde rastgele algoritma denilen şeyi kullanır. Bu algoritma, tohum adı verilen bir sayı ile başlar. Algoritma çekirdeği işler ve eskiyle izlenebilir bir bağlantısı olmayan yeni bir numara alır ve yeni numara bir sonraki tohum olur. Orijinal tohum, diğer tüm sayılar gelene kadar bir daha asla ortaya çıkmaz. Tohum 32 bitlik bir tamsayıysa, bu, algoritmanın bir tekrardan önce 4.294.967,295 diğer sayıyı çalıştıracağı anlamına gelir.
Bu, günlük kullanım için uygundur ve çoğu kişinin parola oluşturma ihtiyaçları için uygundur. Ancak, yetenekli bir bilgisayar korsanının kullanılan sözde rastgele algoritmayı belirlemesi teorik olarak mümkündür. Bu bilgi ve tohum göz önüne alındığında, bilgisayar korsanı rasgele sayıların sırasını makul bir şekilde çoğaltabilir (zor olsa da).
Özel bir ulus devlet saldırısı veya kurumsal casusluk dışında, bu tür yönlendirilmiş bilgisayar korsanlığı olağanüstü olası değildir. Böyle bir saldırıya maruz kalırsanız, güvenlik paketiniz muhtemelen sizi koruyamaz. Neyse ki, neredeyse kesinlikle bu tür bir siber casusluğun hedefi değilsiniz.
Buna rağmen, birkaç parola yöneticisi, böylesine odaklanmış bir saldırının uzak olasılığını bile ortadan kaldırmak için aktif olarak çalışır. Rastgele algoritmaya kendi fare hareketlerinizi veya rastgele karakterleri dahil ederek, gerçekten rastgele bir sonuç elde ederler. Bu gerçek dünya rastgeleleştirmesini sunanlar arasında AceBIT Password Depot, KeePass ve Steganos Password Manager bulunmaktadır. Yukarıdaki ekran görüntüsü, Password Depot'un matris stili rastgeleleştiricisini gösterir; evet, farenizi hareket ettirdikçe karakterler düşüyor.
Gerçek dünyadaki rastgeleleştirmeyi gerçekten eklemeniz gerekiyor mu? Muhtemelen değil. Ama seni mutlu edecekse, devam et!
Parola Yöneticileri Rastgeleliği Azaltır
Elbette, şifre üreticileri kelimenin tam anlamıyla rastgele sayılar döndürmez. Bunun yerine, mevcut karakter kümelerinden seçim yapmak için rastgele sayılar kullanarak bir karakter dizisi döndürürler. Özel karakterlere izin vermeyen bir web sitesi için parola oluşturmuyorsanız, her zaman mevcut tüm karakter gruplarının kullanımını etkinleştirmelisiniz.
Kullanılabilir karakter havuzu 26 büyük harf, 26 küçük harf ve 10 rakam içerir. Ayrıca üründen ürüne değişebilen özel karakterlerden oluşan bir koleksiyon içerir. Basitlik için, diyelim ki 18 özel karakter mevcut. Bu, aralarından seçim yapabileceğiniz toplam 80 karakterlik güzel bir tur yapar. Tamamen rastgele bir şifrede her karakter için 80 olasılık vardır. Sekiz karakterli bir parola seçerseniz, olasılık sayısı 80 üzeri sekizinci veya 1,677.721.600.000.000.000 katrilyondan fazladır. Bu, bir kaba kuvvet kırma saldırısı için zorlu bir çabadır ve kaba kuvvetle tahmin, gerçekten rastgele bir parolayı kırmanın gerçekten tek yoludur.
En İyi Parola Yöneticisi Seçimlerimiz
Tümüne bakın (4 öğe)
Elbette, tamamen rastgele bir üreteç sonunda "aaaaaaaaa" ve "Covfefe!" üretecektir. ve "12345678", çünkü bunlar diğer sekiz karakterlik diziler kadar olasıdır. Bazı parola oluşturucular, bu tür parolalardan kaçınmak için çıktılarını etkin bir şekilde filtreler. Sorun değil, ancak bir bilgisayar korsanı bu filtreleri biliyorsa, olasılıkların sayısını azaltır ve kaba kuvvetle çatlamayı kolaylaştırır.
İşte ekstrem bir örnek. 80 karakterlik bir koleksiyondan çizilen 40.960.000 olası dört karakterli şifre vardır. Ancak bazı şifre oluşturucular, her karakter türünden en az birini seçmeye zorlar ve bu da olasılıkları büyük ölçüde azaltır. İlk karakter için hala 80 olasılık var. Bunun bir büyük harf olduğunu varsayalım; ikinci karakter havuzu 54'tür (80 eksi 26 büyük harf). Ayrıca ikinci karakterin küçük harf olduğunu varsayalım. Üçüncü karakter için, 28 seçenek için yalnızca rakamlar ve özel karakterler kalır. Ve üçüncü karakter noktalama işareti ise, sonuncusu bir rakam, 10 seçenek olmalıdır. 40 milyon olasılığımız 1.209.600'e düşüyor.
Tüm karakter setlerini kullanmak birçok web sitesi için bir zorunluluktur. Bu gereksinimin parola havuzunuzu küçültmesine izin vermemek için parola uzunluğunu yüksek ayarlayın. Parola yeterince uzun olduğunda, tüm karakter türlerini zorlamanın etkisi ihmal edilebilir hale gelir.
Parola yöneticilerinin uyguladığı diğer sınırlar, olası parola havuzunu gereksiz yere azaltır. Örneğin, RememBear Premium, havuzu büyük ölçüde azaltan dört karakterli setin her birindeki kesin karakter sayısını belirtir. Varsayılan olarak, toplam 18 karakter için iki büyük harf, iki rakam, 14 küçük harf ve sembol gerektirmez. Bu, her karakter türünden bir veya daha fazlasını gerektirmesi durumundan yüz milyonlarca kat daha küçük bir parola havuzuyla sonuçlanır. Burada yine daha yüksek bir şifre uzunluğu ayarlayarak bu sorunu giderebilirsiniz.
LastPass ve diğerleri varsayılan olarak 0 rakamı ve O harfi gibi belirsiz karakter çiftlerinden kaçınır. Parolayı hatırlamanız gerekmediğinde, bu gerekli değildir; bu seçeneği kapatın. Aynı şekilde, "bogafewazepa" gibi belirgin bir şifre oluşturma seçeneğini seçmeyin. Bu seçenek yalnızca hatırlamanız gereken bir parolaysa önemlidir. Bu seçeneği uygulamak sizi yalnızca küçük harflerle sınırlamakla kalmaz, aynı zamanda parola oluşturucunun telaffuz edilemez olduğunu düşündüğü çok sayıda olasılığı da reddeder.
Editörlerimiz Tarafından Önerilen
Uzun Parolalar Oluşturun
Gördüğümüz gibi, şifre üreticileri, seçtiğiniz uzunluk ve karakter kümeleriyle eşleşen tüm olası şifrelerin havuzundan mutlaka seçim yapmaz. Tüm karakter kümelerini kullanan dört karakterli bir parolanın uç örneğinde, olası dört karakterli parolaların yaklaşık yüzde 97'si hiçbir zaman görünmez. Çözüm basit; uzun git! Bu şifreleri hatırlamak zorunda değilsiniz, bu yüzden çok büyük olabilirler. En azından söz konusu web sitesinin kabul ettiği kadar büyük; bazıları sınır koyar.
Arama alanı ne kadar büyükse (kullanılabilir şifreler havuzu dediğim şey), şifrenize kaba kuvvet saldırısının gerçekleşmesi o kadar uzun sürer. Uzunluğun değerini anlamak için Gibson Research web sitesinde Parola Samanlık Hesaplayıcısı (samanlıkta iğne gibi) ile oynayabilirsiniz.
Kırmanın ne kadar süreceğini görmek için bir şifre girin. (Site, "Burada yaptığınız HİÇBİR ŞEY, tarayıcınızdan çıkmaz. Burada olan, burada kalır" sözünü verir. Ancak dikkatli olun, gerçek şifrelerinizi kullanmaktan kaçınmanızı önerir). Bilgisayar korsanının çevrimiçi tahmin göndermesi gerekiyorsa, 9kM$ gibi dört karakterli bir parolanın kırılması bir gün bile sürmez. Ancak bilgisayar korsanının tahminleri yüksek hızda deneyebildiği çevrimdışı bir senaryoda, çatlama süresi saniyenin çok küçük bir kısmıdır.
Unutulmaz güçlü parolalar oluşturma konusundaki makalemde (bir parola yöneticisinin ana parolası gibi şeyler için) bir dizeyi bir şiirden veya oyundan rastgele görünen bir parolaya dönüştüren anımsatıcı bir teknik öneriyorum. Örneğin, Romeo ve Juliet, Act 2, Scene 2'den bir satır "bS,wLtYdWdB?A2S2" oldu. Bu rastgele bir şifre değil, ancak bir kraker bunu bilmiyor. Bunu Gibson'ın hesap makinesine bıraktığımızda, devasa bir çatlama dizisi kullansak bile, bunu kaba kuvvetle gerçekleştirmenin 1.41 yüz milyon yüzyıl süreceğini öğreniyoruz.
Bilgilendirilmiş Parola Yöneticisi Seçimi Yapın
Artık biliyorsunuz—güçlü, rastgele şifreler oluşturmanın en önemli faktörü onları uzun yapmaktır. Bazı parola oluşturucular tüm karakter kümelerini içermeyen parolaları reddeder, bazıları gömülü sözlük sözcükleri içeren parolaları reddeder, bazıları küçük l ve rakam 1 gibi belirsiz karakterler içeren parolaları reddeder. Tüm bu kısıtlamalar olası parola havuzunu sınırlar, ancak uzunluğu yeterince yüksek, bu sınırlama önemli değil.
Elbette, teorik olarak (pratikte değilse de) bazı kötü niyetli kişilerin favori şifre yöneticinizin şifre oluşturma şemasını hacklemesi ve böylece size sunacağı sözde rastgele şifreleri tahmin etme yeteneği kazanması mümkündür. Gölgeli bir parola yöneticisi programı, rastgele parolalarınızı şirket merkezine geri gönderebilir. Bu gerçekten folyo şapka paranoya endişe düzeyinde. Ancak rastgele parolalarınız için gerçekten başka birine güvenmek istemiyorsanız, Excel'de kendi rastgele parola oluşturucunuzu oluşturabilirsiniz.