Ako používať generátor náhodných hesiel

Heslá sú hrozné. Ak na svoju webovú stránku banky použijete slabé heslo, riskujete stratu svojich prostriedkov na útok na hrubé sily. Ak však nastavíte heslo príliš náhodne, môžete zabudnúť a zablokovať účet. Môžete si zvoliť zapamätanie si iba jedného komplexného hesla a použiť ho všade, ale ak to urobíte, porušenie na jednom webe odhalí všetky vaše účty. Jediným rozumným spôsobom je získať pomoc správcu hesiel a zmeniť všetky vaše slabé a duplicitné heslá na jedinečné, náhodné reťazce znakov.

Takmer každý správca hesiel obsahuje súčasť na generovanie hesiel, takže s týmito náhodnými heslami nemusíte prísť sami. (Ak však chcete urobiť riešenie pre domácich majstrov, ukážeme vám, ako zostaviť vlastný generátor náhodných hesiel). Nie všetky generátory hesiel sú však vytvorené rovnako. Keď viete, ako fungujú, môžete si vybrať ten, ktorý je pre vás najlepší, a použiť ten, ktorý máte, inteligentne.

Generátory hesiel - náhodné alebo nie?

Keď hodíte pár kockami, získate skutočne náhodný výsledok. Nikto nemôže predvídať, či budete mať hadie oči, boxerky alebo šťastné sedem. Ale v počítačovej oblasti nie sú k dispozícii fyzické randomizátory, ako napríklad kocky. Áno, existuje niekoľko zdrojov náhodných čísel založených na rádioaktívnom rozklade, ale nenájdete ich v priemernom správcovi hesiel pre spotrebiteľa.

Správcovia hesiel a iné počítačové programy používajú tzv. Pseudonáhodný algoritmus. Tento algoritmus začína číslom nazývaným semeno. Algoritmus spracuje semeno a získa nové číslo bez spätného spojenia so starým a nové číslo sa stane ďalším semenom. Pôvodné semeno sa nikdy neobjaví, kým sa neobjaví každé ďalšie číslo. Keby bolo semeno 32-bitové celé číslo, znamená to, že algoritmus by pred opakovaním prešiel cez 4 294 967 295 ďalších čísel.

Je to v poriadku na každodenné použitie a pokuta v prípade potreby generovania hesla väčšiny ľudí. Je však teoreticky možné, aby skúsený hacker určil použitý pseudonáhodný algoritmus. Vzhľadom na tieto informácie a semeno mohol hacker predstaviť replikáciu postupnosti náhodných čísel (aj keď by to bolo ťažké).

Tento druh riadeného hackovania je mimoriadne nepravdepodobný, s výnimkou útoku špecializovaného národného štátu alebo podnikovej špionáže. Ak ste predmetom takého útoku, vaša bezpečnostná sada vás pravdepodobne nemôže chrániť; našťastie nie ste takmer určite cieľom tohto druhu kybernetickej špionáže.

Napriek tomu niekoľko manažérov hesiel aktívne pracuje na odstránení aj vzdialenej možnosti takého zameraného útoku. Začlenením vlastných pohybov myši alebo náhodných znakov do náhodného algoritmu získate skutočne náhodný výsledok. Medzi tie, ktoré ponúkajú túto randomizáciu v reálnom svete, patria AceBIT Password Depot, KeePass a Steganos Password Manager. Snímka obrazovky zobrazuje randomizer v štýle matrix Depot; áno, postavy klesajú pri pohybe myšou.

Naozaj potrebujete pridať randomizáciu v reálnom svete? Pravdepodobne nie. Ale ak ťa to robí šťastným, choď na to!

Správcovia hesiel znižujú náhodnosť

Generátory hesiel samozrejme nevracajú doslova náhodné čísla. Skôr vrátia reťazec znakov pomocou náhodných čísel na výber z dostupných znakových sád. Vždy by ste mali povoliť použitie všetkých dostupných znakových sád, pokiaľ nevygenerujete heslo pre web, ktorý napríklad nepovoľuje špeciálne znaky.

Skupina dostupných znakov obsahuje 26 veľkých písmen, 26 malých písmen a 10 číslic. Zahŕňa tiež zbierku špeciálnych znakov, ktoré sa môžu u jednotlivých produktov líšiť. Pre jednoduchosť povedzme, že je k dispozícii 18 špeciálnych znakov. To je pekné kolo celkom 80 znakov z čoho vyberať. V úplne náhodnom hesle je pre každú postavu 80 možností. Ak zvolíte osemmiestne heslo, počet možností je 80 až ôsmy výkon, alebo 1 677 721 600 000 000 - viac ako štvornásobok. To je tvrdé slogovanie pre praskanie útoku hrubou silou a hádanie hrubou silou je skutočne jediný spôsob, ako rozlúsknúť skutočne náhodné heslo.

Samozrejme, úplne náhodný generátor nakoniec vyrobí „aaaaaaaa“ a „Covfefe!“. a „12345678“, pretože sú rovnako pravdepodobné ako akákoľvek iná postupnosť ôsmich znakov. Niektorí generátori hesiel aktívne filtrujú svoj výstup, aby sa takýmto heslám vyhýbali. To je v poriadku, ale ak hacker vie o týchto filtroch, v skutočnosti znižuje počet možností a uľahčuje praskanie hrubou silou.

Tu je extrémny príklad. Existuje 40 960 000 možných štvormiestnych hesiel, ktoré čerpajú zo zbierky 80 znakov. Niektorí generátori hesiel si však vynútia výber aspoň jedného z každého typu postavy, a to drasticky zníži možnosti. Prvý znak má stále 80 možností. Predpokladajme, že ide o veľké písmeno; fond pre druhý znak je 54 (80 mínus 26 veľkých písmen). Ďalej predpokladajme, že druhým znakom je malé písmeno. Pokiaľ ide o tretí znak, zostanú iba 28 číslic a špeciálne znaky. A ak je tretím znakom interpunkcia, posledná musí byť číslica, 10 možností. Naše 40 miliónov možností klesá na 1 209 600.

Používanie všetkých znakových sád je nevyhnutnosťou pre mnoho webových stránok. Ak sa chcete vyhnúť tomu, aby táto požiadavka zmenšila vašu oblasť hesiel, nastavte dĺžku hesla vysoko. Ak je heslo dosť dlhé, účinok vynútenia všetkých typov znakov bude zanedbateľný.

Ďalšie limity, ktoré používajú správcovia hesiel, zbytočne obmedzujú skupinu možných hesiel. Napríklad RememBear Premium určuje presný počet znakov z každej zo štyroch znakových sád, čo drasticky zmenšuje oblasť. V predvolenom nastavení vyžaduje dve veľké písmená, dve číslice, 14 malými písmenami a žiadne symboly, a to celkom 18 znakov. Výsledkom je oblasť hesiel, ktorá je stokrát miliónkrát menšia, než keby si to vyžadovalo jeden alebo viac typov znakov. Aj tu môžete tento problém vyvážiť nastavením vyššej dĺžky hesla.

LastPass a niekoľko ďalších sa predvolene vyhýba dvojznačným párom znakov, ako je číslica 0 a písmeno O. Ak si nemusíte pamätať heslo, nie je to potrebné; vypnite túto možnosť. Rovnako nevyberajte možnosť generovania výrazného hesla, napríklad „entlestmospa“. Táto možnosť je dôležitá, iba ak je to heslo, ktoré si musíte pamätať. Aplikácia tejto možnosti vás nielen obmedzuje na malé písmená, ale odmieta obrovské množstvo možností, ktoré generátor hesiel považuje za nevylúčiteľné.

Vytvorte dlhé heslá

Ako sme videli, generátory hesiel si nevyhnutne nevyberajú zo súboru všetkých možných hesiel, ktoré zodpovedajú zvolenej dĺžke a znakovej sade. V extrémnom príklade štvormiestneho hesla používajúceho všetky sady znakov sa asi 97 percent možných štvormiestnych hesiel nikdy neobjaví. Riešenie je jednoduché; choď dlho! Tieto heslá si nemusíte pamätať, takže môžu byť obrovské. Aspoň tak veľké, ako akceptuje príslušná webová stránka; niektoré stanovujú obmedzenia.

Čím väčší je vyhľadávací priestor (to, čomu hovorím skupina dostupných hesiel), tým dlhšie bude trvať útok hrubou silou na vaše heslo. Môžete si zahrať s kalkulačkou Haystack Password (ako v ihle v kupce sena) na webovej stránke Gibson Research, aby ste získali cit pre hodnotu dĺžky.

Stačí zadať heslo, aby ste videli, ako dlho by to trvalo. (Stránka sľubuje: „NIČ sa tu vôbec neopúšťa váš prehliadač. Čo sa tu stane, zostáva tu.“ Avšak opatrnosť naznačuje, že sa nemusíte používať svoje skutočné heslá). Ak má hacker poslať odhady online, štvorlôžkové heslo ako 1eA & nebude trvať ani jeden deň. Ale v offline scenári, keď hacker môže vyskúšať odhady vysokou rýchlosťou, je krakovacia doba zlomok sekundy.

V mojom článku o vytváraní nezabudnuteľných silných hesiel (napríklad na hlavné heslo správcu hesiel) navrhujem mnemotechnickú techniku, ktorá transformuje riadok z básne alebo sa prehráva na náhodne vyzerajúce heslo. Napríklad línia z Romeo a Julie, 2. dej, scéna 2, sa stala „bS, wLtYdWdB? A2S2“. Toto nie je náhodné heslo, ale cracker to nevie. Pri páde do Gibsonovej kalkulačky sa dozvieme, že aj keby sme použili obrovské pole krakovania, bolo by potrebné, keby sme si vybrali 1, 41 sto miliónov storočí.

Vyberte si informovaného správcu hesiel

Takže teraz viete - najdôležitejším faktorom pri vytváraní silných náhodných hesiel je ich dlhá doba. Niektorí generátori hesiel odmietajú heslá, ktoré neobsahujú všetky sady znakov, iní odmietajú heslá so zabudovanými slovníkmi, iné heslá, ktoré obsahujú nejednoznačný znak, napríklad malé písmeno l a číslicu 1. Všetky tieto obmedzenia obmedzujú skupinu možných hesiel, ale keď je ich dĺžka je dostatočne vysoká, na tomto obmedzení jednoducho nezáleží.

Teoreticky (ak nie prakticky) je možné, že nejaký malefaktor by mohol hacknúť schému generovania hesla vášho obľúbeného správcu hesiel a získať tak schopnosť predpovedať pseudonáhodné heslá, ktoré vám ponúkne. Tieňový program na správu hesiel by mohol poslať vaše náhodné heslá späť do sídla spoločnosti. Je to skutočne na úrovni obavy z paranoja tinfoil-hat. Ale ak sa naozaj nechcete spoliehať na niekoho iného, ​​pokiaľ ide o vaše náhodné heslá, môžete si vytvoriť svoj vlastný generátor náhodných hesiel v Exceli.