Kaip naudoti atsitiktinių slaptažodžių generatorių

Slaptažodžiai yra baisūs. Jei banko tinklalapyje naudosite silpną slaptažodį, rizikuojate prarasti savo lėšas, kad įvykdytų žiaurios jėgos krekingo išpuolį. Bet jei slaptažodį padarysite per daug atsitiktinį, galite jį pamiršti ir būti pašalintas iš paskyros. Galite pasirinkti įsiminti tik vieną sudėtingą slaptažodį ir naudoti jį visur, tačiau jei tai padarysite, pažeidimas vienoje svetainėje atskleidžia visas jūsų paskyras. Vienintelis protingas jūsų būdas yra pasitelkti slaptažodžių tvarkyklės pagalbą ir pakeisti visus silpnus ir pasikartojančius slaptažodžius į unikalias, atsitiktines simbolių eilutes.

Beveik kiekviename slaptažodžių tvarkytuve yra slaptažodžio generatoriaus komponentas, todėl jums nereikia patys sugalvoti tų atsitiktinių slaptažodžių. (Bet jei norite „pasidaryk pats“ sprendimo, parodysime, kaip sukurti savo atsitiktinių slaptažodžių generatorių). Tačiau ne visi slaptažodžių generatoriai yra sukurti lygūs. Kai žinote, kaip jie veikia, galite pasirinkti sau tinkamiausią ir protingai naudoti tą, kurį turite.

Slaptažodžio generatoriai - atsitiktiniai, ar ne?

Kai išmetate kauliukų porą, gausite tikrai atsitiktinį rezultatą. Niekas negali nuspėti, ar sulauksite gyvatės akių, boksų ar pasisekė septyni. Tačiau kompiuterių srityje fiziniai atsitiktinikliai, tokie kaip kauliukai, nėra. Taip, yra keletas atsitiktinių skaičių šaltinių, pagrįstų radioaktyviuoju skilimu, tačiau jų nerasite paprasto vartotojo slaptažodžio tvarkytuvėje.

Slaptažodžio valdytojai ir kitos kompiuterinės programos naudoja tai, kas vadinama pseudoatsitiktiniu algoritmu. Šis algoritmas prasideda skaičiumi, vadinamu pradine. Algoritmas apdoroja pradinį elementą ir gauna naują numerį, kurio negalima atsekti su senu, o naujas numeris tampa kita sėkla. Originali sėkla niekada nepasirodys tol, kol nepasirodys kas kitas skaičius. Jei pradinis skaičius buvo 32 bitų sveikasis skaičius, tai reiškia, kad algoritmas prieš pakartojimą bus paleistas per 4 294 967 295 kitus skaičius.

Tai puikiai tinka kasdieniam naudojimui ir daugumai žmonių, kuriems reikia slaptažodžio generavimo. Tačiau kvalifikuotam įsilaužėjui teoriškai įmanoma nustatyti naudojamą pseudoatsitiktinį algoritmą. Atsižvelgiant į šią informaciją ir pradinę informaciją, įsilaužėlis galėtų įsivaizduoti atsitiktinių skaičių seką (nors tai būtų sunku).

Toks nukreiptas įsilaužimas yra nepaprastai tikėtinas, išskyrus atvejus, kai tam skirtas nacionalinės valstybės išpuolis ar šnipinėjimas. Jei esate tokios atakos objektas, jūsų apsaugos komplektas tikriausiai negalės jūsų apsaugoti; laimei, jūs beveik neabejotinai esate tokio elektroninio reklamos tikslo objektas.

Nepaisant to, keli slaptažodžių tvarkytojai aktyviai siekia pašalinti net ir nuotolinę tokio fokusavimo atakos galimybę. Įtraukdami pelės judesius ar atsitiktinius simbolius į atsitiktinį algoritmą, jie gauna tikrai atsitiktinį rezultatą. Tarp tų, kurie siūlo šį realaus pasaulio atsitiktinumą, yra „AceBIT Password Depot“, „KeePass“ ir „Steganos“ slaptažodžių tvarkytuvas. Ekrano kopijoje rodomas „Password Depot“ matricos stiliaus atsitiktinumas; taip, simboliai krinta, kai judini pelę.

Ar tikrai reikia įtraukti realaus pasaulio atsitiktinumus? Tikriausiai ne. Bet jei tai jus džiugina, eikite!

Slaptažodžio tvarkytojai sumažina atsitiktinumą

Žinoma, slaptažodžių generatoriai tiesiogine prasme negrąžina atsitiktinių skaičių. Atvirkščiai, jie grąžina simbolių eilutę, naudodami atsitiktinius skaičius, kad galėtumėte pasirinkti iš galimų ženklų rinkinių. Visada turėtumėte įgalinti visų galimų simbolių rinkinių naudojimą, nebent sugeneruojate svetainės, kurioje, tarkime, neleidžiami specialieji ženklai, slaptažodį.

Galimų ženklų sąrašą sudaro 26 didžiosios raidės, 26 mažosios raidės ir 10 skaitmenų. Tai taip pat apima specialiųjų ženklų kolekciją, kuri gali skirtis priklausomai nuo produkto. Paprastumo dėlei tarkime, kad yra 18 specialiųjų simbolių. Iš viso iš 80 gražių ženklų galima pasirinkti gražų. Naudojant visiškai atsitiktinį slaptažodį, yra 80 galimybių kiekvienam simboliui. Jei pasirinksite aštuonių ženklų slaptažodį, galimybių skaičius bus nuo 80 iki aštuntosios galios arba 1 677 721 600 000 000 - daugiau nei kvadrilijonas. Tai sunkus „žiaurios jėgos“ įtrūkimo užpuolimas, o spėlionės jėgos atspėjimas yra tikrai vienintelis būdas nulaužti tikrai atsitiktinį slaptažodį.

Žinoma, visiškai atsitiktinis generatorius galiausiai pagamins „aaaaaaaa“ ir „Covfefe!“ ir „12345678“, nes tai yra tokia pati tikimybė kaip bet kuri kita aštuonių simbolių seka. Kai kurie slaptažodžių generatoriai aktyviai filtruoja savo išvestį, kad išvengtų tokių slaptažodžių. Puiku, bet jei įsilaužėlis žino apie tuos filtrus, tai iš tikrųjų sumažina galimybių skaičių ir palengvina brutalios jėgos nulaužimą.

Štai kraštutinis pavyzdys. Yra 40 960 000 galimų keturių ženklų slaptažodžių, sudarytų iš 80 ženklų kolekcijos. Bet kai kurie slaptažodžių generatoriai verčia pasirinkti bent vieną iš kiekvieno tipo simbolių, ir tai drastiškai sumažina galimybes. Pirmajam veikėjui vis dar yra 80 galimybių. Tarkime, kad tai didžiosios raidės; antrojo simbolio fondas yra 54 (80 atėmus 26 didžiąsias raides). Be to, tarkime, kad antrasis simbolis yra mažosios raidės. Trečiajam simboliui lieka tik skaitmenys ir specialieji ženklai, 28 pasirinkimai. Ir jei trečias simbolis yra skyrybos, paskutinis turi būti skaitmuo, 10 pasirinkimų. Mūsų 40 milijonų galimybių sumažėjo iki 1, 209, 600.

Daugelyje svetainių būtina naudoti visus simbolių rinkinius. Kad išvengtumėte šio reikalavimo susitraukti savo slaptažodžių telkinį, nustatykite ilgą slaptažodžio ilgį. Kai slaptažodis yra pakankamai ilgas, visų tipų ženklų prievartavimo poveikis tampa nereikšmingas.

Kiti apribojimai, kuriuos taiko slaptažodžių valdytojai, be reikalo sumažina galimų slaptažodžių sąrašą. Pavyzdžiui, „RememBear Premium“ nurodo tikslų simbolių skaičių iš kiekvieno keturių simbolių rinkinio, o tai drastiškai sumažina fondą. Pagal numatytuosius nustatymus iš viso 18 simbolių reikia dviejų didžiausių raidžių, dviejų skaitmenų, 14 mažųjų raidžių ir jokių simbolių. Tai sukuria šimtus milijonų kartų mažesnį slaptažodžių telkinį, nei jei jam prireiktų vieno ar daugiau kiekvieno tipo simbolių. Čia vėlgi galite kompensuoti šią problemą nustatydami didesnį slaptažodžio ilgį.

„LastPass“ ir keletas kitų numato vengti dviprasmiškų simbolių porų, tokių kaip skaitmuo 0 ir raidė O. Kai neprivalote atsiminti slaptažodžio, tai nėra būtina; Išjunkite šią parinktį. Taip pat nesirinkite parinkties generuoti tariamą slaptažodį, pvz., „Entlestmospa“. Ši parinktis yra svarbi tik tuo atveju, jei tai slaptažodis, kurį turite atsiminti. Taikant šią parinktį galima ne tik naudoti mažąsias raides, bet ir atmesti daugybę galimybių, kurias slaptažodžių generatorius laiko nepastebimomis.

Generuokite ilgus slaptažodžius

Kaip mes matėme, slaptažodžių generatoriai nebūtinai pasirenka iš visų galimų slaptažodžių, atitinkančių jūsų pasirinktą ilgį ir simbolių rinkinį, rinkinio. Kraštutinio slaptažodžio, naudojančio visus simbolių rinkinius, kraštutiniame pavyzdyje apie 97 procentų galimų keturių ženklų slaptažodžių niekada neatsiranda. Sprendimas yra paprastas; eik ilgai! Nereikia atsiminti šių slaptažodžių, todėl jie gali būti didžiuliai. Bent jau tiek, kiek priima nagrinėjama svetainė; kai kurie iš tikrųjų nustato ribas.

Kuo didesnė paieškos erdvė (tai, ką aš vadinau turimų slaptažodžių telkiniu), tuo ilgiau prireiks žiaurios jėgos išpuolio jūsų slaptažodžiui. Galite pažaisti su „Password Haystack“ skaičiuokle (kaip „adata šieno kupetoje“) „Gibson Research“ svetainėje ir sužinoti, kokia yra ilgio vertė.

Tiesiog įveskite slaptažodį, kad pamatytumėte, kiek laiko užtruktų. " Keturių ženklų slaptažodis, toks kaip 1eA, nulaužti prireiktų ne vienos dienos, jei įsilaužėlis turėtų atsiųsti spėliones internete. Bet neprisijungus scenarijui, kai įsilaužėlis gali bandyti spėlioti dideliu greičiu, nulaužimo laikas yra sekundės dalis.

Savo straipsnyje apie įsimintinų stiprių slaptažodžių kūrimą (pvz., Slaptažodžių tvarkytuvės pagrindinis slaptažodis) siūlau mnemoninę techniką, kuri eilutės iš eilėraščio ar žaidimo paverčia slaptažodžiu. Pavyzdžiui, eilutė iš Romeo ir Džuljetos, „Act 2“, 2 scena, tapo „bS, wLtYdWdB? A2S2“. Tai nėra atsitiktinis slaptažodis, tačiau „cracker“ to nežino. Įmesdami ją į Gibsono skaičiuoklę, sužinosime, kad net naudojant masyvų krekingo masyvą, norint sunaikinti šį jėga, prireiks 1, 41 šimto milijonų amžių.

Pasirinkite informuoto slaptažodžio tvarkyklės pasirinkimą

Taigi dabar jūs žinote - svarbiausias veiksnys kuriant stiprius atsitiktinius slaptažodžius yra ilgas jų sudarymas. Kai kurie slaptažodžių generatoriai atmeta slaptažodžius, kuriuose nėra visų simbolių rinkinių, kiti atmeta tuos, kuriuose yra įterptųjų žodyno žodžių, kai kurie atmeta slaptažodžius, kuriuose yra dviprasmiškų simbolių, pavyzdžiui, mažas l ir 1 skaitmuo. Visi šie apribojimai riboja galimų slaptažodžių sąrašą, tačiau kai ilgis yra pakankamai didelis, šis apribojimas tiesiog nesvarbus.

Žinoma, teoriškai (jei ne praktiškai) įmanoma, kad kai kurie kaltės veiksniai gali nulaužti jūsų mėgstamo slaptažodžio tvarkytojo slaptažodžių generavimo schemą ir taip įgyti galimybę numatyti pseudoatsitiktinius slaptažodžius, kuriuos jums pasiūlys. Šešėliška slaptažodžių tvarkymo programa gali atsiųsti atsitiktinius slaptažodžius atgal į įmonės būstinę. Tai iš tikrųjų kelia susirūpinimą dėl paranojos sklindančios kepurės. Bet jei nenorite, kad atsitiktiniai slaptažodžiai pasikliautų kuo nors kitu, „Excel“ galite sukurti savo atsitiktinių slaptažodžių generatorių.