Cách sử dụng trình tạo mật khẩu ngẫu nhiên

Mật khẩu thật khủng khiếp. Nếu bạn sử dụng mật khẩu yếu cho trang web ngân hàng của mình, bạn có nguy cơ mất tiền cho một cuộc tấn công bẻ khóa mạnh mẽ. Nhưng nếu bạn tạo mật khẩu quá ngẫu nhiên, bạn có thể quên nó và bị khóa khỏi tài khoản. Bạn có thể chọn ghi nhớ chỉ một mật khẩu phức tạp và sử dụng nó ở mọi nơi, nhưng nếu bạn làm điều đó, vi phạm tại một trang web sẽ làm lộ tất cả tài khoản của bạn. Khóa học hợp lý duy nhất của bạn là tranh thủ sự giúp đỡ của người quản lý mật khẩu và thay đổi tất cả mật khẩu yếu và trùng lặp thành các chuỗi ký tự ngẫu nhiên, duy nhất.

Hầu như mọi trình quản lý mật khẩu đều bao gồm một thành phần tạo mật khẩu, do đó bạn không phải tự mình nghĩ ra những mật khẩu ngẫu nhiên đó. (Nhưng nếu bạn muốn một giải pháp tự làm, chúng tôi sẽ chỉ cho bạn cách xây dựng trình tạo mật khẩu ngẫu nhiên của riêng bạn). Tuy nhiên, không phải tất cả các trình tạo mật khẩu được tạo ra bằng nhau. Khi bạn biết chúng hoạt động như thế nào, bạn có thể chọn cái tốt nhất cho mình và sử dụng cái bạn có một cách thông minh.

Máy tạo mật khẩu có ngẫu nhiên hay không?

Khi bạn ném một cặp xúc xắc, bạn sẽ nhận được một kết quả thực sự ngẫu nhiên. Không ai có thể dự đoán liệu bạn sẽ có được mắt rắn, boxcars hay bảy người may mắn. Nhưng trong lĩnh vực máy tính, các ngẫu nhiên vật lý như súc sắc không có sẵn. Có, có một vài nguồn số ngẫu nhiên dựa trên sự phân rã phóng xạ, nhưng bạn sẽ không tìm thấy những nguồn này trong trình quản lý mật khẩu phía người tiêu dùng trung bình.

Trình quản lý mật khẩu và các chương trình máy tính khác sử dụng thuật toán giả ngẫu nhiên. Thuật toán này bắt đầu với một số gọi là hạt giống. Thuật toán xử lý hạt giống và nhận được một số mới không có kết nối có thể theo dõi với số cũ và số mới trở thành hạt giống tiếp theo. Hạt giống ban đầu không bao giờ bật lại cho đến khi mọi số khác xuất hiện. Nếu hạt giống là một số nguyên 32 bit, điều đó có nghĩa là thuật toán sẽ chạy qua 4.294.967.295 số khác trước khi lặp lại.

Điều này tốt cho sử dụng hàng ngày và tốt cho hầu hết các nhu cầu tạo mật khẩu của mọi người. Tuy nhiên, về mặt lý thuyết, một hacker có thể xác định thuật toán giả ngẫu nhiên được sử dụng. Cho rằng thông tin và hạt giống, tin tặc có thể sao chép một cách có thể hình dung được chuỗi số ngẫu nhiên (mặc dù điều đó sẽ khó khăn).

Loại hack trực tiếp đó là cực kỳ khó xảy ra, ngoại trừ trong một cuộc tấn công quốc gia chuyên dụng, hoặc gián điệp của công ty. Nếu bạn là đối tượng của một cuộc tấn công như vậy, bộ bảo mật của bạn có thể không thể bảo vệ bạn; may mắn thay, bạn gần như chắc chắn không phải là mục tiêu của loại hình không gian mạng này.

Mặc dù vậy, một vài người quản lý mật khẩu tích cực làm việc để loại bỏ ngay cả khả năng từ xa của một cuộc tấn công tập trung như vậy. Bằng cách kết hợp các chuyển động chuột của riêng bạn hoặc các ký tự ngẫu nhiên vào thuật toán ngẫu nhiên, chúng sẽ thu được kết quả ngẫu nhiên thực sự. Trong số những người cung cấp ngẫu nhiên trong thế giới thực này là Kho mật khẩu AceBIT, KeePass và Trình quản lý mật khẩu Steganos. Ảnh chụp màn hình cho thấy ngẫu nhiên kiểu ma trận của Password Depot; vâng, các ký tự thả khi bạn di chuyển chuột.

Bạn có thực sự cần thêm ngẫu nhiên trong thế giới thực? Chắc là không. Nhưng nếu nó làm cho bạn hạnh phúc, đi cho nó!

Quản lý mật khẩu làm giảm tính ngẫu nhiên

Tất nhiên, trình tạo mật khẩu không thực sự trả về số ngẫu nhiên. Thay vào đó, họ trả về một chuỗi các ký tự, sử dụng các số ngẫu nhiên để chọn từ các bộ ký tự có sẵn. Bạn phải luôn luôn cho phép sử dụng tất cả các bộ ký tự có sẵn, trừ khi bạn tạo mật khẩu cho một trang web, giả sử, không cho phép các ký tự đặc biệt.

Nhóm các ký tự có sẵn bao gồm 26 chữ cái viết hoa, 26 chữ cái viết thường và 10 chữ số. Nó cũng bao gồm một bộ sưu tập các ký tự đặc biệt có thể thay đổi từ sản phẩm này sang sản phẩm khác. Để đơn giản, giả sử có 18 ký tự đặc biệt có sẵn. Điều đó làm cho tổng số 80 ký tự đẹp để lựa chọn. Trong một mật khẩu hoàn toàn ngẫu nhiên, có 80 khả năng cho mỗi ký tự. Nếu bạn chọn mật khẩu tám ký tự, số khả năng là 80 đến sức mạnh thứ tám, hoặc 1.677.721.600.000.000.000 nhiều hơn một triệu. Đó là một câu hỏi khó khăn cho một cuộc tấn công bẻ khóa vũ phu, và đoán vũ phu thực sự là cách duy nhất để bẻ khóa một mật khẩu thực sự ngẫu nhiên.

Tất nhiên, một trình tạo hoàn toàn ngẫu nhiên cuối cùng sẽ tạo ra "aaaaaaaa" và "Covfefe!" và "12345678", vì đây cũng giống như bất kỳ chuỗi tám ký tự nào khác. Một số trình tạo mật khẩu chủ động lọc đầu ra của chúng để tránh mật khẩu đó. Điều đó tốt, nhưng nếu một hacker biết về các bộ lọc đó, nó thực sự làm giảm số lượng khả năng và làm cho việc bẻ khóa dễ dàng hơn.

Đây là một ví dụ cực đoan. Có 40.960.000 mật khẩu bốn ký tự có thể, được vẽ từ bộ sưu tập 80 ký tự. Nhưng một số trình tạo mật khẩu buộc phải lựa chọn ít nhất một từ mỗi loại ký tự và điều đó làm giảm đáng kể khả năng. Vẫn còn 80 khả năng cho nhân vật đầu tiên. Giả sử đó là một chữ cái viết hoa; nhóm cho ký tự thứ hai là 54 (80 trừ 26 ký tự viết hoa). Hơn nữa giả sử ký tự thứ hai là một chữ cái viết thường. Đối với ký tự thứ ba, chỉ còn lại các chữ số và ký tự đặc biệt, cho 28 lựa chọn. Và nếu ký tự thứ ba là dấu chấm câu, cuối cùng phải là một chữ số, 10 lựa chọn. 40 triệu khả năng của chúng tôi giảm xuống còn 1.209.600.

Sử dụng tất cả các bộ ký tự là cần thiết cho nhiều trang web. Để tránh để yêu cầu đó thu hẹp nhóm mật khẩu của bạn, hãy đặt độ dài mật khẩu cao. Khi mật khẩu đủ dài, hiệu ứng buộc tất cả các loại ký tự trở nên không đáng kể.

Các giới hạn khác mà người quản lý mật khẩu áp dụng làm giảm số lượng mật khẩu có thể không cần thiết. Ví dụ, RememBear Premium chỉ định số lượng ký tự chính xác từ mỗi bộ trong bốn bộ ký tự, giúp giảm đáng kể nhóm. Theo mặc định, nó yêu cầu hai chữ cái in hoa, hai chữ số, 14 chữ cái viết thường và không có ký hiệu, cho tổng số 18 ký tự. Điều này dẫn đến một nhóm mật khẩu nhỏ hơn hàng trăm triệu lần so với việc nó chỉ yêu cầu một hoặc nhiều loại ký tự. Ở đây một lần nữa, bạn có thể bù đắp vấn đề này bằng cách đặt độ dài mật khẩu cao hơn.

LastPass và một số người khác mặc định để tránh các cặp ký tự mơ hồ như chữ số 0 và chữ O. Khi bạn không phải nhớ mật khẩu, điều này không cần thiết; tắt tùy chọn này. Tương tự, không chọn tùy chọn để tạo mật khẩu có thể phát âm được như "entlest Khía". Tùy chọn đó chỉ quan trọng nếu đó là mật khẩu bạn phải nhớ. Áp dụng tùy chọn này không chỉ giới hạn bạn trong các ký tự chữ thường, nó từ chối rất nhiều khả năng mà trình tạo mật khẩu cho là không thể phát hiện được.

Tạo mật khẩu dài

Như chúng ta đã thấy, trình tạo mật khẩu không nhất thiết phải chọn từ nhóm tất cả các mật khẩu có thể phù hợp với độ dài và bộ ký tự bạn đã chọn. Trong ví dụ cực đoan về mật khẩu bốn ký tự sử dụng tất cả các bộ ký tự, khoảng 97 phần trăm mật khẩu bốn ký tự có thể không bao giờ xuất hiện. Giải pháp rất đơn giản; đi lâu Bạn không cần phải nhớ những mật khẩu này, vì vậy chúng có thể rất lớn. Ít nhất, lớn như trang web trong câu hỏi chấp nhận; một số làm áp đặt giới hạn.

Không gian tìm kiếm càng lớn (cái mà tôi đã gọi là nhóm mật khẩu khả dụng), thời gian tấn công vũ phu sẽ xảy ra với mật khẩu của bạn càng lâu. Bạn có thể chơi với Máy tính Mật khẩu Haystack (như trong kim trong một đống cỏ khô) tại trang web của Gibson Research để cảm nhận về giá trị của độ dài.

Chỉ cần nhập mật khẩu để xem việc bẻ khóa sẽ mất bao lâu. (Trang web hứa hẹn "KHÔNG NÊN bạn làm ở đây bao giờ rời khỏi trình duyệt của bạn. Chuyện gì xảy ra ở đây, vẫn ở đây." Nhưng thận trọng đề nghị bạn tránh sử dụng mật khẩu thực tế của mình). Mật khẩu gồm bốn ký tự như 1eA và sẽ không mất một ngày để bẻ khóa, nếu tin tặc phải gửi dự đoán trực tuyến. Nhưng trong một kịch bản ngoại tuyến, nơi tin tặc có thể thử đoán ở tốc độ cao, thời gian bẻ khóa chỉ là một phần của giây.

Trong bài viết của tôi về việc tạo mật khẩu mạnh đáng nhớ (đối với những thứ như mật khẩu chính của người quản lý mật khẩu) tôi đề xuất một kỹ thuật ghi nhớ chuyển đổi một dòng từ một bài thơ hoặc chơi thành mật khẩu tìm ngẫu nhiên. Ví dụ: một dòng từ Romeo và Juliet, Act 2, Cảnh 2, đã trở thành "bS, wLtYdWdB? A2S2". Đây không phải là mật khẩu ngẫu nhiên, nhưng một cracker không biết điều đó. Thả nó vào máy tính của Gibson, chúng ta biết rằng ngay cả khi sử dụng một mảng nứt lớn, sẽ phải mất 1, 41 trăm triệu thế kỷ để chế tạo thứ này.

Thực hiện lựa chọn quản lý mật khẩu có thông tin

Vì vậy, bây giờ bạn đã biết, yếu tố quan trọng nhất trong việc tạo mật khẩu ngẫu nhiên, mạnh mẽ là làm cho chúng dài ra. Một số trình tạo mật khẩu từ chối mật khẩu không chứa tất cả các bộ ký tự, một số từ chối những mật khẩu có từ trong từ điển nhúng, một số loại bỏ mật khẩu chứa ký tự mơ hồ như chữ l nhỏ và chữ số 1. Tất cả những hạn chế này giới hạn nhóm mật khẩu có thể, nhưng khi độ dài là đủ cao, giới hạn này không thành vấn đề.

Tất nhiên, về mặt lý thuyết (nếu không thực tế) có thể một số malefactor có thể hack sơ đồ tạo mật khẩu của trình quản lý mật khẩu yêu thích của bạn và nhờ đó có được khả năng dự đoán mật khẩu giả ngẫu nhiên mà nó sẽ cung cấp cho bạn. Một chương trình quản lý mật khẩu mờ ám có thể gửi mật khẩu ngẫu nhiên của bạn trở lại trụ sở công ty. Điều này thực sự ở mức độ hoang tưởng của tinfoil-hat. Nhưng nếu bạn thực sự không muốn dựa vào người khác cho mật khẩu ngẫu nhiên của mình, bạn có thể tạo trình tạo mật khẩu ngẫu nhiên của riêng mình trong Excel.