Hvordan bruke en tilfeldig passordgenerator

Passord er forferdelig. Hvis du bruker et svakt passord for banknettstedet ditt, risikerer du å miste midlene dine til et sprengkraftsangrep. Men hvis du gjør passordet for tilfeldig, kan du glemme det og bli låst ute av kontoen. Du kan velge å huske bare ett komplekst passord og bruke det overalt, men hvis du gjør det, vil et brudd på ett nettsted avsløre alle kontoene dine. Det eneste fornuftige kurset ditt er å verve hjelp fra en passordbehandler, og endre alle svake og dupliserte passord til unike, tilfeldige strenger med tegn.

Nesten hver passordbehandling inneholder en passordgeneratorkomponent, så du trenger ikke å komme med de tilfeldige passordene selv. (Men hvis du ønsker en gjør-det-selv-løsning, viser vi deg hvordan du bygger din egen tilfeldige passordgenerator). Imidlertid er ikke alle passordgeneratorer opprettet like. Når du vet hvordan de fungerer, kan du velge den som er best for deg, og bruke den du har intelligent.

Passordgeneratorer - Tilfeldig eller ikke?

Når du kaster et par terninger, får du et virkelig tilfeldig resultat. Ingen kan forutsi om du får slangeøyne, kassevogner eller en heldig syv. Men på datamaskinområdet er ikke fysiske randomiserere som terninger tilgjengelige. Ja, det er noen få tilfeldige kilder basert på radioaktivt forfall, men du finner ikke disse i den gjennomsnittlige passordbehandleren på forbrukersiden.

Passordledere og andre dataprogrammer bruker det som kalles en pseudo-tilfeldig algoritme. Denne algoritmen starter med et tall som kalles et frø. Algoritmen behandler frøet og får et nytt nummer uten sporbar forbindelse til det gamle, og det nye nummeret blir neste frø. Det originale frøet dukker aldri opp igjen før hvert annet nummer har kommet opp. Hvis frøet var et 32-bits heltall, betyr det at algoritmen ville løpe gjennom 4.294.967.295 andre tall før en gjenta.

Dette er fint til daglig bruk, og greit for de fleste passordgenerasjonsbehov. Imidlertid er det teoretisk mulig for en dyktig hacker å bestemme den pseudo-tilfeldige algoritmen som brukes. Gitt den informasjonen og frøet, kunne hacker tenkelig gjenta replikasjonssekvensen (selv om det ville være vanskelig).

Den slags rettet hacking er usedvanlig usannsynlig, bortsett fra i et dedikert nasjonalstatangrep, eller spionasje til selskaper. Hvis du er gjenstand for et slikt angrep, kan sikkerhetspakken din sannsynligvis ikke beskytte deg; Heldigvis er du nesten ikke målet for denne typen nettespionasje.

Likevel jobber noen få passordledere aktivt for å eliminere til og med den fjerne muligheten for et så fokusert angrep. Ved å innlemme dine egne musebevegelser eller tilfeldige tegn i den tilfeldige algoritmen, oppnår de et virkelig tilfeldig resultat. Blant dem som tilbyr denne virkelige verden randomisering er AceBIT Password Depot, KeePass og Steganos Password Manager. Skjermbildet viser Password Depots matrix-stil randomiserer; ja, tegnene faller mens du beveger musen.

Trenger du virkelig å tilføre randomisering i den virkelige verden? Sannsynligvis ikke. Men hvis det gjør deg lykkelig, kan du gå for det!

Passordbehandlere reduserer tilfeldigheten

Selvfølgelig gir passordgeneratorer bokstavelig talt ikke tilfeldige tall. Snarere returnerer de en streng med tegn ved å bruke tilfeldige tall for å velge fra de tilgjengelige tegnsettene. Du bør alltid aktivere bruk av alle tilgjengelige tegnsett, med mindre du genererer et passord for et nettsted som for eksempel ikke tillater spesialtegn.

Bassenget med tilgjengelige tegn inkluderer 26 store bokstaver, 26 små bokstaver og 10 sifre. Det inkluderer også en samling spesialtegn som kan variere fra produkt til produkt. For enkelhets skyld, la oss si at det er 18 spesialtegn tilgjengelig. Det gjør en fin runde på totalt 80 tegn å velge mellom. I et helt tilfeldig passord er det 80 muligheter for hvert tegn. Hvis du velger et passord på åtte tegn, er antall muligheter 80 til den åttende makten, eller 1 677 721 600 000 000 000 000 mer enn en firemiljon. Det er tøff slogging for et brute-force cracking-angrep, og gjetting av brute-force er virkelig den eneste måten å knekke et virkelig tilfeldig passord.

Selvfølgelig vil en totalt tilfeldig generator til slutt produsere "aaaaaaaa" og "Covfefe!" og "12345678", siden disse er like sannsynlige som en hvilken som helst annen sekvens på åtte tegn. Noen passordgeneratorer filtrerer aktivt utdataene for å unngå slike passord. Det er greit, men hvis en hacker vet om disse filtrene, reduserer den faktisk antallet muligheter og gjør bruddkraften lettere.

Her er et ekstremt eksempel. Det er 40 960 000 mulige firetegn passord, tegning fra en samling av 80 tegn. Men noen passordgeneratorer tvinger valg av minst en fra hver type karakter, og som barberer mulighetene drastisk. Det er fremdeles 80 muligheter for den første karakteren. Anta at det er en stor bokstav; bassenget for det andre tegnet er 54 (80 minus de 26 store bokstavene). Anta videre at det andre tegnet er en liten bokstav. For det tredje tegnet er det bare sifre og spesialtegn igjen, for 28 valg. Og hvis det tredje tegnet er tegnsetting, må det siste være et siffer, 10 valg. Våre 40 millioner muligheter synker til 1 209 600.

Å bruke alle tegnsett er en nødvendighet for mange nettsteder. Angi passordlengden høy for å unngå å la kravet krympe passordpoolen. Når passordet er langt nok, blir effekten av å tvinge alle karaktertypene ubetydelig.

Andre grenser som passordadministratorer bruker reduserer bassenget med mulige passord unødvendig. For eksempel spesifiserer RememBear Premium det nøyaktige antallet tegn fra hvert av de fire tegnsettene, noe som drastisk reduserer bassenget. Som standard krever det to store bokstaver, to sifre, 14 små bokstaver og ingen symboler for totalt 18 tegn. Dette resulterer i et passordbasseng som er hundrevis av millioner ganger mindre enn hvis det bare krevde en eller flere av hver karaktertype. Her igjen kan du oppveie dette problemet ved å stille inn en høyere passordlengde.

LastPass og flere andre prøver å unngå tvetydige tegnpar som sifferet 0 og bokstaven O. Når du ikke trenger å huske passordet, er dette ikke nødvendig; slå av dette alternativet. På samme måte må du ikke velge alternativet for å generere et uttalelig passord som "entlestmospa". Dette alternativet er bare viktig hvis det er et passord du må huske. Hvis du bruker dette alternativet, begrenser du ikke bare små bokstaver, det avviser det store antallet muligheter som passordgeneratoren anser som uforutsigbar.

Generer lange passord

Som vi har sett, velger ikke passordgeneratorer nødvendigvis fra puljen av alle mulige passord som samsvarer med lengden og tegnsettene du valgte. I det ekstreme eksempelet på et passord med fire tegn som bruker alle tegnsett, vises omtrent 97 prosent av mulige firetegnpassord aldri. Løsningen er enkel; gå lenge! Du trenger ikke å huske disse passordene, så de kan være enorme. I det minste så enormt som det aktuelle nettstedet godtar; noen setter grenser.

Jo større søkeplass (det jeg har kalt bassenget med tilgjengelige passord), jo lenger tid vil det ta et brute force-angrep å skje på passordet ditt. Du kan leke med Password Haystack Calculator (som i nålen i en høystakk) på nettstedet Gibson Research for å få en følelse av lengden.

Bare skriv inn et passord for å se hvor lang sprekker det vil ta. (Nettstedet lover at "INGENTING du gjør her noen gang forlater nettleseren din. Det som skjer her, blir her." Men forsiktighet antyder at du unngår å bruke de faktiske passordene dine). Et passord med fire tegn som 1eA og det vil ikke ta en dag å sprekke, hvis hackeren må sende gjetninger på nettet. Men i et offline scenario, der hackeren kan prøve gjetninger i høy hastighet, er sprekketiden et brøkdel av et sekund.

I artikkelen min om å lage minneverdige sterke passord (for ting som passordlederens hovedpassord) foreslår jeg en mnemonisk teknikk som forvandler en linje fra et dikt eller et spill til et tilfeldig passord. For eksempel ble en linje fra Romeo og Juliet, Act 2, Scene 2, "bS, wLtYdWdB? A2S2". Dette er ikke et tilfeldig passord, men en cracker vet ikke det. Når vi slipper den inn i Gibsons kalkulator, lærer vi at selv ved bruk av et enormt sprekkeropplegg vil det ta 1, 41 hundre millioner århundrer å brute-force denne.

Gjør et informert passordbehandlingsvalg

Så nå vet du - den viktigste faktoren for å generere sterke, tilfeldige passord er å gjøre dem lange. Noen passordgeneratorer avviser passord som ikke inneholder alle tegnsett, noen avviser de med innebygde ordbokord, noen kaster passord som inneholder tvetydig karakter som lite l og siffer 1. Alle disse begrensningene begrenser puljen av mulige passord, men når lengden er høy nok, denne begrensningen betyr ikke noe.

Selvfølgelig er det teoretisk (om ikke praktisk) mulig at en eller annen malefaktor kan hacke passordgenereringsskjemaet til favorittpassordbehandleren din, og dermed få muligheten til å forutsi de pseudo-tilfeldige passordene den vil tilby deg. Et skyggefullt passord-lederprogram kan sende tilfeldige passord tilbake til selskapets hovedkvarter. Dette er virkelig i tinfoil-hat paranoia bekymringsnivå. Men hvis du virkelig ikke vil stole på noen andre for de tilfeldige passordene dine, kan du lage din egen tilfeldige passordgenerator i Excel.