Paano gumamit ng isang random na generator ng password

Ang mga password ay kakila-kilabot. Kung gumagamit ka ng isang mahina na password para sa website ng iyong bangko, mapanganib mo ang pagkawala ng iyong mga pondo sa isang pag-atake ng pag-crack ng brute. Ngunit kung gagawin mo nang random ang password, maaari mong kalimutan ito at mai-lock ang account. Maaari mong piliin na kabisaduhin ang isang kumplikadong password at gamitin ito kahit saan, ngunit kung gagawin mo iyon, inilalantad ang isang paglabag sa isang site ng lahat ng iyong mga account. Ang iyong makatwirang kurso ay upang magpatala ng tulong ng isang tagapamahala ng password, at mabago ang lahat ng iyong mahina at dobleng mga password sa natatangi, random na mga string ng mga character.

Halos lahat ng tagapamahala ng password ay may kasamang bahagi ng generator ng password, kaya hindi mo na kailangang makabuo ng iyong mga random na password. (Ngunit kung nais mo ang isang do-it-yourself solution, ipapakita namin sa iyo kung paano bumuo ng iyong sariling random na generator ng password). Gayunpaman, hindi lahat ng mga generator ng password ay nilikha pantay. Kapag alam mo kung paano ito gumagana, maaari mong piliin ang isa na pinakamahusay para sa iyo, at gamitin ang isa mong may katalinuhan.

Mga Generator ng Password - Random o Hindi?

Kapag nagtapon ka ng isang pares ng dice, nakakakuha ka ng isang tunay na random na resulta. Walang sinuman ang maaaring mahulaan kung makakakuha ka ng mga mata ng ahas, boxcars, o isang masuwerteng pitong. Ngunit sa larangan ng computer, ang mga pisikal na randomizer tulad ng dice ay hindi magagamit. Oo, mayroong ilang mga random na mapagkukunan ng numero batay sa radioactive decay, ngunit hindi mo mahahanap ang mga ito sa average na tagapangasiwa ng tagabilang ng password.

Ang mga tagapamahala ng password at iba pang mga programa sa computer ay gumagamit ng tinatawag na isang pseudo-random algorithm. Ang algorithm na ito ay nagsisimula sa isang bilang na tinatawag na isang buto. Pinoproseso ng algorithm ang binhi at nakakakuha ng isang bagong numero na walang traceable na koneksyon sa luma, at ang bagong numero ay nagiging susunod na binhi. Ang orihinal na binhi ay hindi kailanman lumiliko muli hanggang sa ang bawat iba pang mga numero ay bumangon. Kung ang binhi ay isang 32-bit integer, nangangahulugan ito na tatakbo ang algorithm sa 4, 294, 967, 295 iba pang mga numero bago ang isang ulitin.

Maayos ito para sa pang-araw-araw na paggamit, at pagmultahin para sa mga pangangailangan ng henerasyon ng password ng karamihan. Gayunpaman, pawang teoretikal na posible para sa isang bihasang hacker upang matukoy ang pseudo-random algorithm na ginamit. Dahil sa impormasyong iyon at ang binhi, maaaring maiisip ng hacker ang pagkakasunud-sunod ng mga random na numero (kahit na mahirap).

Ang uri ng direktang pag-hack na ito ay labis na hindi malamang, maliban sa isang nakalaang pag-atake ng bansa-estado, o espanya ng korporasyon. Kung ikaw ang paksa ng tulad ng isang pag-atake, ang iyong security suite marahil ay hindi maprotektahan ka; sa kabutihang palad ikaw ay halos tiyak na hindi ang target para sa ganitong uri ng cyberespionage.

Kahit na, ang ilang mga tagapamahala ng password ay aktibong nagtatrabaho upang maalis ang kahit na ang malayong posibilidad ng naturang nakatutok na pag-atake. Sa pamamagitan ng pagsasama ng iyong sariling mga paggalaw ng mouse o mga random na character sa random algorithm, nakakakuha sila ng isang tunay na random na resulta. Kabilang sa mga nag-aalok ng real-world randomization na ito ay AceBIT Password Depot, KeePass, at Steganos Password Manager. Ang screenshot ay nagpapakita ng matris-style randomizer ng Password Depot; oo, bumababa ang mga character habang inililipat mo ang iyong mouse.

Kailangan mo bang magdagdag ng randomization ng tunay na mundo? Hindi siguro. Ngunit kung napasaya ka nito, puntahan mo ito!

Ang mga Tagapamahala ng Password Bawasan ang Randomness

Siyempre, ang mga generator ng password ay hindi literal na nagbabalik ng mga random na numero. Sa halip, ibabalik nila ang isang string ng mga character, gamit ang mga random na numero upang pumili mula sa magagamit na mga set ng character. Dapat mong palaging paganahin ang paggamit ng lahat ng magagamit na mga set ng character, maliban kung ikaw ay bumubuo ng isang password para sa isang website na, sabihin, ay hindi pinapayagan ang mga espesyal na character.

Ang pool ng magagamit na mga character ay may kasamang 26 na malalaking titik, 26 na maliliit na titik, at 10 mga numero. Kasama rin dito ang isang koleksyon ng mga espesyal na character na maaaring mag-iba mula sa produkto sa produkto. Para sa pagiging simple, sabihin nating mayroong 18 espesyal na character na magagamit. Ginagawa nito ang isang mahusay na kabuuang kabuuan ng 80 mga character na pipiliin. Sa isang ganap na random na password, mayroong 80 mga posibilidad para sa bawat character. Kung pumili ka ng isang walong character na password, ang bilang ng mga posibilidad ay 80 hanggang ikawalong kapangyarihan, o 1, 677, 721, 600, 000, 000 - higit pa sa isang parisukat. Iyan ang matigas na slogan para sa isang brute-force cracking attack, at ang brute-force na paghula ay talagang ang tanging paraan upang ma-crack ang isang tunay na random password.

Siyempre, ang isang ganap na random na generator ay sa huli ay makagawa ng "aaaaaaaa" at "Covfefe!" at "12345678, " yamang ang mga ito ay tulad ng anumang iba pang pagkakasunod-sunod ng walong character. Ang ilang mga generator ng password ay aktibong nag-filter ng kanilang output upang maiwasan ang mga naturang password. Mabuti iyon, ngunit kung ang isang hacker ay nakakaalam tungkol sa mga filter na ito, talagang binabawasan ang bilang ng mga posibilidad at ginagawang mas madali ang pag-crack ng lakas.

Narito ang isang matinding halimbawa. Mayroong 40, 960, 000 posibleng mga apat na character na password, na gumuhit mula sa isang koleksyon ng 80 character. Ngunit ang ilang mga tagalikha ng password ay pinipilit ang pagpili ng hindi bababa sa isa mula sa bawat uri ng karakter, at binabagsak ang mga posibilidad na drastically. Mayroon pa ring 80 posibilidad para sa unang karakter. Ipagpalagay na ito ay isang malalaking titik; ang pool para sa pangalawang karakter ay 54 (80 minus ang 26 na mga letrang character). Karagdagang ipagpalagay na ang pangalawang karakter ay isang maliit na titik. Para sa pangatlong karakter, nananatili lamang ang mga numero at mga espesyal na character, para sa 28 na pagpipilian. At kung ang pangatlong karakter ay bantas, ang huli ay dapat isang numero, 10 mga pagpipilian. Ang aming 40 milyong mga posibilidad ay humina sa 1, 209, 600.

Ang paggamit ng lahat ng mga set ng character ay isang pangangailangan para sa maraming mga website. Upang maiwasan ang pagpapaalam sa kinakailangang pag-urong ng iyong pool pool, itakda ang haba ng password. Kapag ang password ay sapat na mahaba, ang epekto ng pagpilit sa lahat ng mga uri ng character ay magiging pabaya.

Ang iba pang mga limitasyon na inilalapat ng mga tagapamahala ng password ay binabawasan ang pool ng mga posibleng password nang hindi kinakailangan. Halimbawa, tinukoy ng RememBear Premium ang tumpak na bilang ng mga character mula sa bawat isa sa apat na hanay ng karakter, na mababawasan na binabawasan ang pool. Bilang default, nangangailangan ito ng dalawang mga titik ng kapital, dalawang numero, 14 na maliliit na titik, at walang mga simbolo, para sa isang kabuuang 18 character. Nagreresulta ito sa isang pool pool na daan-daang milyong beses na mas maliit kaysa kung kinakailangan lamang ito ng isa o higit pa sa bawat uri ng character. Narito muli, maaari mong mai-offset ang problemang ito sa pamamagitan ng pagtatakda ng isang mas mataas na haba ng password.

Ang LastPass at ilang iba pa ay default upang maiwasan ang hindi maliwanag na mga pares ng character tulad ng numero 0 at ang letrang O. Kapag hindi mo kailangang tandaan ang password, hindi ito kinakailangan; patayin ang pagpipiliang ito. Gayundin, huwag piliin ang pagpipilian upang makabuo ng isang maliwanag na password tulad ng "entlestmospa". Mahalaga lamang ang pagpipiliang iyon kung ito ay isang password na dapat mong tandaan. Ang paglalapat ng pagpipiliang ito ay hindi lamang nililimitahan ka upang ibababa ang mga character, tinatanggihan nito ang malawak na bilang ng mga posibilidad na itinuturing na hindi napapahayag ng generator ng password.

Bumuo ng mga Long Password

Tulad ng nakita namin, ang mga tagalikha ng password ay hindi kinakailangang pumili mula sa pool ng lahat ng posibleng mga password na tumutugma sa haba at mga set ng character na iyong napili. Sa matinding halimbawa ng isang password na may apat na character na gumagamit ng lahat ng mga set ng character, halos 97 porsyento ng posibleng mga password na may apat na character na hindi lilitaw. Ang solusyon ay simple; magtagal! Hindi mo na kailangang tandaan ang mga password, kaya maaari silang maging napakalaking. Hindi bababa sa, bilang napakalaking bilang ng website na pinag-uusapan ay tinatanggap; ang ilan ay nagpapataw ng mga limitasyon.

Ang mas malaki ang puwang sa paghahanap (kung ano ang tinawag ko na pool ng magagamit na mga password), mas mahaba ang aabutin ng isang matapang na pag-atake na puwersa na mangyari sa iyong password. Maaari kang maglaro kasama ang Password ng Haystack Calculator (tulad ng, karayom ​​sa isang haystack) sa website ng Gibson Research upang makakuha ng pakiramdam para sa halaga ng haba.

Ipasok lamang ang isang password upang makita kung gaano katagal ang pag-crack. (Ipinapangako ng site na "WALA kang ginagawa dito kailanman umalis sa iyong browser. Ano ang nangyayari dito, mananatili dito." Ngunit ang pag-iingat ay iminumungkahi na maiwasan ang paggamit ng iyong aktwal na mga password). Ang isang apat na character na password tulad ng 1eA at ay hindi kukuha ng isang araw upang pumutok, kung ang hacker ay kailangang magpadala ng mga hula sa online. Ngunit sa isang offline na senaryo, kung saan maaaring subukan ng hacker ang mga hula sa mataas na bilis, ang oras ng pag-crack ay isang bahagi ng isang segundo.

Sa aking artikulo sa paglikha ng di malilimutang malakas na mga password (para sa mga bagay tulad ng master password ng tagapamahala ng password) Iminumungkahi ko ang isang mnemonic technique na nagbabago ng isang linya mula sa isang tula o naglalaro sa isang random na naghahanap ng password. Halimbawa, isang linya mula sa Romeo at Juliet, Act 2, Scene 2, ay naging "bS, wLtYdWdB? A2S2". Hindi ito isang random na password, ngunit hindi alam ng isang cracker iyon. Ang pagbagsak nito sa calculator ni Gibson ay natutunan namin na kahit na ang paggamit ng isang napakalaking pag-crack na pag-crack ay aabutin ng 1, 991 daang milyong siglo upang mapang-lakas.

Gumawa ng isang Kaalaman sa Pagpipilian sa Tagapamahala ng Password

Kaya alam mo na ngayon - ang pinakamahalagang kadahilanan sa pagbuo ng malakas, random na mga password ay upang gawin itong mahaba. Ang ilang mga tagabuo ng password ay tumanggi sa mga password na hindi naglalaman ng lahat ng mga set ng character, ang ilan ay tumanggi sa mga may naka-embed na mga salita sa diksyunaryo, ang ilang mga pagtapon ng mga password na naglalaman ng hindi maliwanag na character tulad ng maliit na l at digit 1. Ang lahat ng mga paghihigpit na ito ay naglilimita sa pool ng posibleng mga password, ngunit kapag ang haba ay sapat na mataas, ang limitasyong ito ay hindi mahalaga.

Siyempre, ito ay panteorya (kung hindi praktikal) posible na ang ilang malefactor ay maaaring i-hack ang scheme ng henerasyon ng password ng iyong paboritong tagapamahala ng password, at sa gayon makakamit ang kakayahang mahulaan ang pseudo-random na mga password na ihahandog nito sa iyo. Ang isang madilim na password-manager na programa ay maaaring maipadala ang iyong mga random na password sa pabalik na punong-tanggapan ng kumpanya. Ito ay talagang nasa antas ng pag-aalala ng paranfoil-hat paranoia. Ngunit kung ayaw mo talagang umasa sa ibang tao para sa iyong mga random na password, maaari kang lumikha ng iyong sariling mga random na generator ng password sa Excel.