Зміст:
- Генератори паролів - випадкові чи ні?
- Менеджери паролів зменшують випадковість
- Створення довгих паролів
- Зробіть неінформований вибір менеджера паролів
Відео: Как мы теряем и зарабатываем деньги? (Листопад 2024)
Паролі жахливі. Якщо ви використовуєте слабкий пароль для свого веб-сайту банку, ви ризикуєте втратити свої кошти на грубої атаки. Але якщо ви зробите пароль занадто випадковим, ви можете його забути і заблокувати з облікового запису. Ви можете запам'ятати лише один складний пароль і використовувати його скрізь, але якщо ви це зробите, порушення на одному сайті відкриває всі ваші облікові записи. Ваш єдиний розумний курс - заручитися допомогою диспетчера паролів та змінити всі ваші слабкі та дублюючі паролі на унікальні, випадкові рядки символів.
Майже кожен менеджер паролів містить компонент генератора паролів, тому вам не доведеться самостійно придумувати ці випадкові паролі. (Але якщо ви хочете зробити самостійно рішення, ми покажемо вам, як створити власний генератор випадкових паролів). Однак не всі генератори паролів створюються рівними. Коли ви знаєте, як вони працюють, ви можете вибрати той, який найкраще підходить вам, і використовувати той, який у вас розумно.
Генератори паролів - випадкові чи ні?
Коли ви кинете пару кісток, ви отримаєте справді випадковий результат. Ніхто не може передбачити, чи потраплять у вас зміїні очі, коробки або щаслива сімка. Але в комп'ютерній царині такі фізичні рандомізери, як кістки, недоступні. Так, є кілька джерел випадкових чисел, заснованих на радіоактивному розпаді, але їх ви не знайдете в середньому менеджері паролів на рівні споживачів.
Менеджери паролів та інші комп'ютерні програми використовують алгоритм псевдовипадкових випадків. Цей алгоритм починається з числа, що називається початковим. Алгоритм обробляє насіння і отримує нове число без простежуваного зв'язку зі старим, а нове число стає наступним набором. Оригінальне насіння ніколи не з’являється знову, поки не з’явиться кожен інший номер. Якщо насіння було 32-бітним цілим числом, це означає, що алгоритм повинен повторювати 4, 294, 967, 295 інших чисел перед повторенням.
Це добре для щоденного використання та добре для потреб більшості людей у створенні паролів. Однак теоретично можливо кваліфікованому хакеру визначити використаний псевдовипадковий алгоритм. Враховуючи цю інформацію та насіння, хакер міг би повторити послідовність випадкових чисел (хоча це буде важко).
Такий націлений хакерство надзвичайно малоймовірний, за винятком спеціальної атаки національної держави чи корпоративного шпигунства. Якщо ви є предметом такої атаки, ваш пакет безпеки, ймовірно, не може захистити вас; на щастя, ви майже напевно не є ціллю для цього виду кібереспіонажу.
Незважаючи на це, кілька менеджерів паролів активно працюють над тим, щоб усунути навіть віддалену можливість такої цілеспрямованої атаки. Включивши власні рухи миші або випадкових символів у випадковий алгоритм, вони отримують справді випадковий результат. Серед тих, хто пропонує цю рандомізацію в реальному світі, є AceBIT Password Depot, KeePass і Steganos Manager Manager. На скріншоті зображений матричний рандомізатор стилю Password Depot; так, символи падають під час переміщення миші.
Вам дійсно потрібно додати рандомізацію в реальному світі? Напевно, ні. Але якщо це зробить тебе щасливим, піди на це!
Менеджери паролів зменшують випадковість
Звичайно, генератори паролів буквально не повертають випадкові числа. Швидше вони повертають рядок символів, використовуючи випадкові числа для вибору з доступних наборів символів. Ви завжди повинні дозволити використовувати всі наявні набори символів, якщо ви не створюєте пароль для веб-сайту, який, скажімо, не дозволяє спеціальних символів.
Пул доступних символів включає 26 великих літер, 26 малих літер та 10 цифр. Вона також включає колекцію спеціальних символів, які можуть відрізнятися від продукту до продукту. Для простоти, скажімо, доступно 18 спеціальних символів. Це робить хороший круглий загальний 80 символів на вибір. У абсолютно випадковому паролі є 80 можливостей для кожного персонажа. Якщо ви вибрали вісім знаків пароля, кількість можливостей становить від 80 до восьмої потужності, або 1, 677, 721, 600, 000, 000 - більше, ніж чотиримільйон. Це складне тестування для нападу злому грубої сили, а відгадування жорстокої сили - це єдиний спосіб зламати справді випадковий пароль.
Звичайно, абсолютно випадковий генератор врешті-решт виробить "aaaaaaaa" та "Covfefe!" та "12345678", оскільки вони так само вірогідні, як і будь-яка інша послідовність із восьми символів. Деякі генератори паролів активно фільтрують свій вихід, щоб уникнути таких паролів. Це добре, але якщо хакер знає про ці фільтри, він фактично зменшує кількість можливостей і полегшує злом грубої сили.
Ось крайній приклад. Існує 40 960 000 можливих чотирьох символьних паролів, що складаються з колекції з 80 символів. Але деякі генератори паролів змушують вибір хоча б одного з кожного типу символів, і це різко знижує можливості. Є ще 80 можливостей для першого персонажа. Припустимо, це велика літера; пул для другого символу становить 54 (80 мінус 26 великих літер). Далі припустимо, що другий символ - це малі літери. Для третього символу залишаються лише цифри та спеціальні символи для 28 варіантів. І якщо третім символом є розділові знаки, останній повинен бути цифрою, 10 варіантів. Наші 40 мільйонів можливостей зменшилися до 1 209 600.
Використання всіх наборів символів є необхідністю для багатьох веб-сайтів. Щоб уникнути того, щоб ця вимога скоротила пул паролів, встановіть довжину пароля високою. Коли пароль достатньо довгий, ефект примушування всіх типів символів стає незначним.
Інші обмеження, які застосовують менеджери паролів, надмірно скорочують пул можливих паролів. Наприклад, RememBear Premium визначає точну кількість символів з кожного з чотирьох наборів символів, що різко зменшує пул. За замовчуванням для нього потрібні дві великі літери, дві цифри, 14 малих літер та відсутність символів для загальної кількості 18 символів. Це призводить до створення паролів паролів, що в сотні мільйонів разів менше, ніж якщо б просто було потрібно один або кілька типів кожного символу. Тут знову можна усунути цю проблему, встановивши більшу довжину пароля.
LastPass та декілька інших за замовчуванням уникають неоднозначних пар символів, як цифра 0 та літера O. Коли вам не потрібно запам'ятати пароль, це не потрібно; вимкніть цю опцію. Так само не вибирайте параметр для створення пароля, який вимовляється, як "entlestmospa". Цей варіант важливий лише в тому випадку, якщо ви повинні запам'ятати пароль. Застосовуючи цей параметр, ви не обмежуєте лише малі символи, але він відкидає величезну кількість можливостей, які генератор паролів вважає невимовними.
Створення довгих паролів
Як ми бачили, генератори паролів не обов'язково вибирають із пулу всіх можливих паролів, що відповідають довжині та наборам символів, які ви вибрали. На крайньому прикладі чотирьох символьних паролів, що використовують усі набори символів, приблизно 97 відсотків можливих чотирьох символьних паролів ніколи не з’являються. Рішення просте; йди довго! Вам не потрібно пам’ятати ці паролі, тому вони можуть бути величезними. Принаймні, настільки величезним, як приймає відповідний веб-сайт; деякі накладають обмеження.
Чим більший простір пошуку (як я називаю пул доступних паролів), тим довше знадобиться жорстока атака на ваш пароль. Ви можете пограти з калькулятором паролю сіна (як, голка в стозі сіна) на веб-сайті Gibson Research, щоб отримати відчуття значення довжини.
Просто введіть пароль, щоб побачити, скільки часу це займе. (Сайт обіцяє: "НІЧО ви тут не залишаєте свого веб-переглядача. Те, що відбувається тут, залишається тут". Але обережність пропонує вам уникати використання фактичних паролів). Чотирисимвольний пароль на зразок 1eA & зламав би не один день, якщо хакер повинен надсилати здогадки в Інтернеті. Але в офлайн-сценарії, коли хакер може спробувати здогадки з високою швидкістю, час розтріскування - це частка секунди.
У своїй статті про створення пам’ятних міцних паролів (для таких речей, як головний пароль менеджера паролів) я пропоную мнемонічну техніку, яка перетворює рядок із вірша чи грає у пароль, який виглядає випадково. Наприклад, рядок від Ромео і Джульєтти, акт 2, сцена 2, став "bS, wLtYdWdB? A2S2". Це не випадковий пароль, але зломщик цього не знає. Закинувши його в калькулятор Гібсона, ми дізнаємось, що навіть за допомогою масивного тріщинного масиву знадобиться 1, 41 сотня мільйонів століть, щоб набити цей.
Зробіть неінформований вибір менеджера паролів
Отже, тепер ви знаєте - найважливіший фактор для створення надійних випадкових паролів - це зробити їх довгими. Деякі генератори паролів відхиляють паролі, що не містять усіх наборів символів, деякі відхиляють ті із вбудованими словниковими словами, деякі відкидають паролі, що містять неоднозначний символ, наприклад, малий l та цифра 1. Усі ці обмеження обмежують пул можливих паролів, але коли довжина досить висока, це обмеження не має значення.
Звичайно, теоретично (якщо не практично) можливо, що якийсь зловмисник може зламати схему генерації паролів улюбленого менеджера паролів і тим самим отримати можливість передбачати псевдовипадкові паролі, які він вам запропонує. Тіньова програма керування паролями може відправити ваші випадкові паролі назад до штаб-квартири компанії. Це дійсно на рівні занепокоєння паранойї tinfoil-hat. Але якщо ви справді не хочете покладатися на когось іншого за випадковими паролями, ви можете створити власний генератор випадкових паролів у Excel.