Как использовать генератор случайных паролей

Пароли ужасны. Если вы используете слабый пароль для своего банковского веб-сайта, вы рискуете потерять свои средства из-за взлома методом перебора. Но если вы сделаете пароль слишком случайным, вы можете забыть его и заблокировать из учетной записи. Вы можете запомнить только один сложный пароль и использовать его повсюду, но если вы сделаете это, взлом одного сайта разоблачит все ваши учетные записи. Единственный разумный способ - заручиться помощью менеджера паролей и заменить все ваши слабые и дублированные пароли уникальными случайными строками символов.

Почти каждый менеджер паролей включает в себя компонент генератора паролей, поэтому вам не нужно придумывать эти случайные пароли самостоятельно. (Но если вам нужно решение «сделай сам», мы покажем вам, как создать собственный генератор случайных паролей). Однако не все генераторы паролей созданы равными. Когда вы знаете, как они работают, вы можете выбрать тот, который лучше для вас, и использовать тот, который у вас есть, разумно.

Генераторы паролей - случайно или нет?

Когда вы бросаете пару костей, вы получаете действительно случайный результат. Никто не может предсказать, получишь ли ты змеиные глаза, вагоны или счастливую семерку. Но в компьютерной сфере физические рандомизаторы, такие как игральные кости, недоступны. Да, есть несколько источников случайных чисел, основанных на радиоактивном распаде, но вы не найдете их в обычном менеджере паролей на стороне потребителя.

Менеджеры паролей и другие компьютерные программы используют так называемый псевдослучайный алгоритм. Этот алгоритм начинается с числа, называемого начальным числом. Алгоритм обрабатывает начальное число и получает новый номер без прослеживаемой связи со старым, а новый номер становится следующим начальным числом. Исходное семя никогда не появляется снова, пока не появятся все остальные числа. Если начальное число было 32-разрядным целым числом, это означает, что алгоритм будет проходить через 4 294 967 295 других чисел перед повторением.

Это хорошо для повседневного использования, и хорошо для нужд генерации паролей большинства людей. Тем не менее, для опытного хакера теоретически возможно определить используемый псевдослучайный алгоритм. Учитывая эту информацию и семя, хакер мог предположительно воспроизвести последовательность случайных чисел (хотя это было бы сложно).

Такого рода хакерские атаки крайне маловероятны, за исключением случаев нападения на национальное государство или корпоративного шпионажа. Если вы подвергаетесь такой атаке, ваш пакет безопасности, вероятно, не сможет вас защитить; к счастью, вы почти наверняка не цель такого кибершпионажа.

Несмотря на это, несколько менеджеров паролей активно работают, чтобы исключить даже отдаленную возможность такой целенаправленной атаки. Включая ваши собственные движения мыши или случайные символы в случайный алгоритм, они получают действительно случайный результат. Среди тех, кто предлагает эту реальную рандомизацию, AceBIT Password Depot, KeePass и Steganos Password Manager. На скриншоте изображен матричный рандомизатор Password Depot; да, символы выпадают при перемещении мыши.

Вам действительно нужно добавить реальную рандомизацию? Возможно нет. Но если это делает тебя счастливым, дерзай!

Менеджеры паролей уменьшают случайность

Конечно, генераторы паролей буквально не возвращают случайные числа. Скорее, они возвращают строку символов, используя случайные числа для выбора из доступных наборов символов. Вы должны всегда разрешать использование всех доступных наборов символов, если только вы не генерируете пароль для веб-сайта, который, например, не допускает использование специальных символов.

В пул доступных символов входят 26 заглавных букв, 26 строчных букв и 10 цифр. Он также включает в себя набор специальных символов, которые могут варьироваться от продукта к продукту. Для простоты предположим, что доступно 18 специальных символов. Таким образом, получается всего 80 символов на выбор. В абсолютно случайном пароле есть 80 возможностей для каждого персонажа. Если вы выберете восьмисимвольный пароль, число вариантов будет от 80 до восьмой степени, или 1 677 721 600 000 000 - больше, чем квадриллион. Это грубая атака для взлома методом «грубой силы», и угадывание методом «грубой силы» - действительно единственный способ взломать действительно случайный пароль.

Конечно, абсолютно случайный генератор в конечном итоге будет производить "aaaaaaaa" и "Covfefe!" и «12345678», поскольку они так же вероятны, как и любая другая последовательность из восьми символов. Некоторые генераторы паролей активно фильтруют свои выходные данные, чтобы избежать таких паролей. Это нормально, но если хакер знает об этих фильтрах, это фактически уменьшает количество возможностей и облегчает взлом.

Вот крайний пример. Существует 40 960 000 возможных четырехсимвольных паролей, взятых из набора из 80 символов. Но некоторые генераторы паролей вынуждают выбирать по крайней мере один из символов каждого типа, и это резко сокращает возможности. Есть еще 80 возможностей для первого персонажа. Предположим, это заглавная буква; пул для второго символа - 54 (80 минус 26 символов в верхнем регистре). Далее предположим, что второй символ является строчной буквой. Для третьего символа остаются только цифры и специальные символы для 28 вариантов выбора. И если третий символ - пунктуация, последний должен быть цифрой, 10 вариантов. Наши 40 миллионов возможностей сокращаются до 1 209 600.

Использование всех наборов символов является необходимостью для многих сайтов. Чтобы это требование не уменьшало ваш пул паролей, установите большую длину пароля. Когда пароль достаточно длинный, эффект форсирования всех типов символов становится незначительным.

Другие ограничения, применяемые менеджерами паролей, сокращают пул возможных паролей без необходимости. Например, RememBear Premium указывает точное количество символов из каждого из четырех наборов символов, что резко сокращает пул. По умолчанию для него требуется две заглавные буквы, две цифры, 14 строчных букв и никаких символов, всего 18 символов. В результате получается пул паролей, который в сотни миллионов раз меньше, чем если бы он просто требовал один или несколько символов каждого типа. Здесь снова, вы можете решить эту проблему, установив большую длину пароля.

LastPass и некоторые другие по умолчанию избегают неоднозначных пар символов, таких как цифра 0 и буква О. Когда вам не нужно запоминать пароль, это не обязательно; отключите эту опцию. Аналогично, не выбирайте опцию для генерации произносимого пароля, такого как «entlestmospa». Эта опция важна, только если вы должны запомнить пароль. Применение этой опции не только ограничивает вас строчными буквами, но и отвергает огромное количество возможностей, которые генератор паролей считает непроизносимыми.

Генерация длинных паролей

Как мы видели, генераторы паролей не обязательно выбирают из пула всех возможных паролей, соответствующих выбранной длине и наборам символов. В крайнем примере четырехсимвольного пароля, использующего все наборы символов, около 97 процентов возможных четырехсимвольных паролей никогда не появляются. Решение простое; идти долго! Вам не нужно запоминать эти пароли, поэтому они могут быть огромными. По крайней мере, настолько большой, насколько этот веб-сайт принимает; некоторые налагают ограничения.

Чем больше область поиска (то, что я называю пулом доступных паролей), тем дольше будет происходить атака с использованием грубой силы на ваш пароль. Вы можете поиграть с помощью калькулятора сена паролей (как, например, иголка в стоге сена) на веб-сайте Gibson Research, чтобы понять значение длины.

Просто введите пароль, чтобы узнать, сколько времени займет взлом. (Сайт обещает: «НИЧЕГО, что вы здесь делаете, никогда не покидаете ваш браузер. То, что здесь происходит, остается здесь.» Но осторожность предполагает, что вы не должны использовать свои настоящие пароли). Четырехсимвольный пароль, такой как 1eA &, взломал бы не один день, если хакер должен отправить догадки онлайн. Но в автономном сценарии, когда хакер может попытаться угадать на высокой скорости, время взлома составляет доли секунды.

В моей статье о создании запоминающихся надежных паролей (для таких вещей, как главный пароль менеджера паролей) я предлагаю мнемоническую технику, которая превращает строку из стихотворения или пьесы в случайный пароль. Например, строка из ромео и джульетты, акт 2, сцена 2, стала "bS, wLtYdWdB? A2S2". Это не случайный пароль, но взломщик этого не знает. Бросив его в калькулятор Гибсона, мы узнаем, что даже при использовании массивного массива для взлома понадобится 1, 41 млн. Столетий, чтобы перебить его.

Сделайте выбор менеджера информированных паролей

Итак, теперь вы знаете - самый важный фактор в создании надежных, случайных паролей - сделать их длинными. Некоторые генераторы паролей отклоняют пароли, которые не содержат все наборы символов, некоторые отклоняют пароли со встроенными словарными словами, некоторые сбрасывают пароли, которые содержат неоднозначные символы, такие как маленькая буква l и цифра 1. Все эти ограничения ограничивают пул возможных паролей, но когда длина достаточно высока, это ограничение просто не имеет значения.

Конечно, теоретически (если не практически) возможно, что какой-нибудь злоумышленник может взломать схему генерации паролей вашего любимого менеджера паролей и тем самым получить возможность предсказать псевдослучайные пароли, которые он вам предложит. Программа теневого менеджера паролей может отправить ваши случайные пароли обратно в штаб-квартиру компании. Это действительно в уровне паранойи оловянной шляпы беспокойства. Но если вы действительно не хотите полагаться на кого-то другого для получения случайных паролей, вы можете создать собственный генератор случайных паролей в Excel.