Bagaimana untuk menggunakan penjana kata laluan rawak

Kata laluan amat dahsyat. Sekiranya anda menggunakan kata laluan yang lemah untuk laman web bank anda, anda akan kehilangan wang anda untuk serangan retak kekerasan. Tetapi jika anda membuat kata laluan terlalu rawak, anda mungkin lupa dan dikunci daripada akaun. Anda mungkin memilih untuk menghafal hanya satu kata laluan yang kompleks dan menggunakannya di mana-mana sahaja, tetapi jika anda melakukannya, pelanggaran di satu tapak mendedahkan semua akaun anda. Kursus yang hanya munasabah anda adalah untuk mendapatkan bantuan pengurus kata laluan, dan menukar semua kata laluan lemah dan pendua anda kepada rentetan aksara yang unik, rawak.

Hampir setiap pengurus kata laluan termasuk komponen penjana kata laluan, jadi anda tidak perlu membuat kata laluan rawak itu sendiri. (Tetapi jika anda mahu penyelesaian do-it-yourself, kami akan menunjukkan kepada anda bagaimana untuk membina penjana kata laluan rawak anda sendiri). Walau bagaimanapun, tidak semua penjana kata laluan dicipta sama. Apabila anda tahu bagaimana ia berfungsi, anda boleh memilih yang terbaik untuk anda, dan gunakan yang anda telah bijak.

Penjana kata laluan-Rawak atau Tidak?

Apabila anda membuang sepasang dadu, anda akan mendapat hasil yang rawak. Tiada siapa yang boleh meramalkan sama ada anda akan mendapat mata ular, peti, atau tujuh yang bernasib baik. Tetapi dalam bidang komputer, pengedit fizikal seperti dadu tidak tersedia. Ya, terdapat beberapa sumber nombor rawak berdasarkan peluruhan radioaktif, tetapi anda tidak akan dapati ini dalam pengurus kata laluan sisi pengguna biasa.

Pengurus kata laluan dan program komputer lain menggunakan apa yang dipanggil algoritma pseudo-rawak. Algoritma ini bermula dengan nombor yang dipanggil benih. Algoritma memproses benih dan mendapat nombor baru tanpa sambungan yang dapat ditelusuri kepada yang lama, dan nombor baru menjadi benih yang akan datang. Benih asal tidak pernah berubah lagi sehingga setiap nombor lain telah muncul. Jika benih adalah integer 32-bit, itu bermakna algoritma akan berjalan melalui 4, 294, 967, 295 nombor-nombor lain sebelum ulangi.

Ini baik untuk kegunaan seharian, dan baik untuk keperluan generasi kata kunci kebanyakan orang. Walau bagaimanapun, secara teorinya mungkin bagi penggodam mahir untuk menentukan algoritma pseudo-rawak yang digunakan. Memandangkan maklumat dan benih tersebut, penggodam dapat meniru urutan nombor rawak (walaupun sukar).

Peretasan seperti yang dilakukan adalah sangat luar biasa, kecuali dalam serangan negara-negara yang berdedikasi, atau pengintipan korporat. Jika anda menjadi subjek serangan sedemikian, suite keselamatan anda mungkin tidak dapat melindungi anda; mujurlah anda hampir tidak pasti sasaran untuk jenis cyberpresence ini.

Walau begitu, beberapa pengurus kata laluan aktif berfungsi untuk menghapuskan kemungkinan jauh dari serangan yang difokuskan. Dengan memasukkan pergerakan tetikus anda sendiri atau aksara rawak ke dalam algoritma rawak, mereka memperoleh keputusan yang benar-benar rawak. Antara yang menawarkan rawak dunia nyata ini adalah AceBIT Password Depot, KeePass, dan Steganos Password Manager. Tangkapan skrin menunjukkan penggera gaya matriks Depot; ya, aksara jatuh ketika anda menggerakkan tetikus anda.

Adakah anda benar-benar perlu menambah rawak dunia nyata? Mungkin tidak. Tetapi jika ia membuatkan anda gembira, pergi!

Pengurus Kata Laluan Mengurangkan Kepincangan

Sudah tentu, penjana kata laluan tidak secara literal mengembalikan nombor rawak. Sebaliknya, mereka mengembalikan beberapa aksara, menggunakan nombor rawak untuk memilih dari set aksara yang tersedia. Anda harus sentiasa mendayakan penggunaan semua set aksara yang tersedia, melainkan jika anda menghasilkan kata laluan untuk tapak web yang, katakan, tidak membenarkan aksara khas.

Kumpulan aksara yang ada termasuk 26 huruf besar, 26 huruf kecil, dan 10 digit. Ia juga termasuk koleksi watak-watak khas yang mungkin berbeza dari produk ke produk. Untuk kesederhanaan, katakan terdapat 18 watak istimewa yang ada. Ini menjadikan jumlah pusingan yang bagus sebanyak 80 aksara untuk dipilih. Dalam kata laluan yang rawak, terdapat 80 kemungkinan untuk setiap watak. Jika anda memilih kata laluan lapan huruf, bilangan kemungkinan adalah 80 kepada kuasa kelapan, atau 1, 677, 721, 600, 000, 000-lebih daripada satu kuadran. Itu mencederakan sukar untuk serangan retak pasukan yang kasar, dan meneka kuasa kasar adalah satu-satunya cara untuk memecahkan kata laluan yang benar-benar rawak.

Sudah tentu, penjana yang rawak akhirnya akan menghasilkan "aaaaaaaa" dan "Covfefe!" dan "12345678, " kerana ini sama seperti urutan lain lapan aksara. Beberapa penjana kata laluan secara aktif menapis output mereka untuk mengelakkan kata laluan sedemikian. Tidak mengapa, tetapi jika seorang penggodam tahu tentang penapis itu, ia sebenarnya mengurangkan bilangan kemungkinan dan menjadikan retak kekerasan lebih mudah.

Berikut adalah contoh yang melampau. Terdapat 40, 960, 000 kata laluan empat huruf yang mungkin, menarik dari koleksi 80 aksara. Tetapi beberapa penjana kata laluan memaksa pemilihan sekurang-kurangnya satu dari setiap jenis watak, dan yang mencukur kemungkinan-kemungkinan secara drastik. Terdapat 80 kemungkinan untuk watak pertama. Katakan ia huruf besar; Kolam untuk watak kedua adalah 54 (80 tolak 26 aksara besar). Selanjutnya anggap watak kedua adalah huruf kecil. Untuk watak ketiga, hanya digit dan aksara khas kekal, untuk 28 pilihan. Dan jika watak ketiga adalah tanda baca, yang terakhir mestilah angka, 10 pilihan. Kemungkinan 40 juta kita berkurangan kepada 1, 209, 600.

Menggunakan semua set aksara adalah keperluan untuk banyak laman web. Untuk mengelakkan daripada membiarkan keperluan itu menyusut kolam kata laluan anda, tetapkan panjang kata laluan yang tinggi. Apabila kata laluan cukup panjang, kesan memaksa semua jenis watak boleh diabaikan.

Had lain yang digunakan oleh pengurus kata laluan mengurangkan kumpulan kata laluan yang mungkin tidak perlu. Contohnya, RememBear Premium menentukan bilangan watak yang tepat dari setiap set aksara empat, yang secara drastik mengurangkan kolam. Secara lalai, ia memerlukan dua huruf besar, dua digit, 14 huruf kecil, dan tiada simbol, untuk sejumlah 18 huruf. Ini menghasilkan kolam kata laluan yang beratus-ratus juta kali lebih kecil daripada jika hanya memerlukan satu atau lebih jenis setiap aksara. Di sini sekali lagi, anda boleh mengimbangi masalah ini dengan menetapkan panjang kata laluan yang lebih tinggi.

LastPass dan beberapa yang lain lalai untuk menghindari pasangan karakter yang tidak jelas seperti angka 0 dan huruf O. Bila anda tidak perlu mengingat kata laluan, ini tidak perlu; matikan pilihan ini. Begitu juga, jangan pilih pilihan untuk menghasilkan kata laluan yang boleh dibaca seperti "entlestmospa". Pilihan itu hanya penting jika kata laluan yang anda mesti ingat. Memohon opsyen ini bukan hanya mengehadkan anda kepada aksara huruf kecil, tetapi ia menolak kemungkinan besar bahawa penjana kata laluan tidak boleh disangkut.

Menjana Kata Laluan Panjang

Seperti yang telah kita lihat, penjana kata laluan tidak semestinya memilih dari kumpulan semua kata laluan yang mungkin sepadan dengan panjang dan aksara yang anda pilih. Dalam contoh yang melampau kata laluan empat huruf menggunakan semua set aksara, kira-kira 97 peratus daripada kata laluan empat aksara yang mungkin tidak pernah muncul. Penyelesaiannya mudah; pergi lama! Anda tidak perlu ingat kata laluan ini, jadi mereka boleh menjadi besar. Sekurang-kurangnya, begitu banyak laman web yang dipersoalkan; sesetengahnya mengenakan had.

Lebih besar ruang carian (apa yang saya panggil kumpulan kata laluan yang ada), semakin lama ia akan mengambil serangan kekerasan yang berlaku untuk kata laluan anda. Anda boleh bermain dengan Kalkulator Haystack Kata Laluan (seperti dalam, jarum dalam storan jerami) di laman web Gibson Research untuk merasakan nilai panjang.

Masukkan kata laluan untuk melihat berapa lama retak yang diperlukan. (Laman ini menjanjikan "BAGAIMANA anda lakukan di sini yang pernah meninggalkan penyemak imbas anda. Apa yang berlaku di sini, kekal di sini." Tetapi berhati-hati menyarankan anda mengelakkan menggunakan kata laluan sebenar anda). Kata laluan empat watak seperti 1eA & akan mengambil masa tidak cukup satu hari untuk retak, jika penggodam perlu menghantar teka-teki dalam talian. Tetapi dalam senario luar talian, di mana penggodam boleh mencuba meneka pada kelajuan tinggi, masa retak adalah sebahagian daripada sesaat.

Dalam artikel saya tentang mencipta kata laluan yang tidak dapat dilupakan (untuk kata-kata seperti kata laluan master password kata laluan) saya mencadangkan teknik mnemonik yang mengubah garis dari puisi atau bermain menjadi kata laluan rawak. Sebagai contoh, garis dari Romeo dan Juliet, Akta 2, Pemandangan 2, menjadi "bS, wLtYdWdB? A2S2". Ini bukan kata laluan rawak, tetapi cracker tidak tahu itu. Menjatuhkannya ke dalam kalkulator Gibson kita belajar bahawa walaupun menggunakan pelbagai retak besar-besaran, ia akan mengambil masa 1.41 ratus juta abad untuk menimbulkan kekerasan.

Buat Pilihan Pengurus Katalaluan Maklumat

Jadi sekarang anda tahu-faktor yang paling penting dalam menghasilkan kata laluan yang kuat, rawak adalah untuk menjadikannya panjang. Beberapa penjana kata laluan menolak kata laluan yang tidak mengandungi semua set aksara, ada yang menolak kata-kata kamus yang tertanam, beberapa kata laluan yang dilarang mengandungi aksara samar-samar seperti l kecil dan digit 1. Semua sekatan ini mengehadkan kumpulan kata laluan yang mungkin, tetapi apabila panjang cukup tinggi, batasan ini tidak penting.

Sudah tentu, secara teorinya (jika tidak praktikal) kemungkinan bahawa sesetengah malefactor mungkin menggodam skema generasi kata laluan pengurus kata laluan kegemaran anda, dan dengan itu mendapat keupayaan untuk meramal kata laluan pseudo-rawak yang akan menawarkan anda. Program pengatur kata laluan yang rendang boleh menghantar kata laluan rawak anda ke ibu pejabat syarikat. Ini benar-benar dalam tahap perhatian paranoia-topi tinfoil. Tetapi jika anda benar-benar tidak mahu bergantung kepada orang lain untuk kata laluan rawak anda, anda boleh membuat penjana kata laluan rawak anda sendiri dalam Excel.