Jak používat generátor náhodných hesel

Hesla jsou hrozná. Používáte-li pro své webové stránky slabé heslo, riskujete ztrátu svých prostředků na útok brutální síly. Pokud však uděláte heslo příliš náhodným, můžete na něj zapomenout a dostat se mimo účet. Můžete si zvolit zapamatování pouze jednoho složitého hesla a jeho použití všude, ale pokud tak učiníte, porušení na jednom webu odhalí všechny vaše účty. Váš jediný rozumný kurz je získat pomoc správce hesel a změnit všechna vaše slabá a duplicitní hesla na jedinečné, náhodné řetězce znaků.

Téměř každý správce hesel obsahuje součást generátoru hesel, takže s těmito náhodnými hesly nemusíte přijít sami. (Ale pokud chcete řešení do-it-yourself, ukážeme vám, jak vytvořit vlastní generátor náhodných hesel). Ne všechny generátory hesel jsou však vytvořeny stejně. Když víte, jak fungují, můžete si vybrat ten, který je pro vás nejlepší, a použít ten, který máte, inteligentně.

Generátory hesel - náhodně nebo ne?

Když hodíte kostkou, získáte opravdu náhodný výsledek. Nikdo nemůže předvídat, zda budete mít hadí oči, boxerky nebo štěstí sedm. Ale v počítačové oblasti nejsou fyzické randomizéry jako kostky k dispozici. Ano, existuje několik zdrojů náhodných čísel založených na radioaktivním rozpadu, ty však nenajdete v průměrném správci hesel pro spotřebitele.

Správci hesel a další počítačové programy používají tzv. Pseudonáhodný algoritmus. Tento algoritmus začíná číslem zvaným semeno. Algoritmus zpracuje semeno a získá nové číslo bez zpětného spojení se starým a nové číslo se stane dalším semenem. Původní semeno se nikdy neobjeví, dokud nenastane každé další číslo. Pokud by semeno bylo 32bitové celé číslo, znamenalo by to, že by algoritmus provedl přes opakování 4 294 967 295 dalších čísel.

To je v pořádku pro každodenní použití a pokutu pro potřeby generování hesel většiny lidí. Je však teoreticky možné, aby zkušený hacker určil použitý pseudonáhodný algoritmus. Vzhledem k těmto informacím a semenu mohl hacker myslitelně replikovat posloupnost náhodných čísel (i když by to bylo obtížné).

Tento druh řízeného hackování je mimořádně nepravděpodobný, s výjimkou zvláštního útoku na národní stát nebo podnikové špionáže. Pokud jste předmětem takového útoku, vaše bezpečnostní sada vás pravděpodobně nemůže ochránit; naštěstí jste téměř určitě cílem tohoto druhu kybernetické špionáže.

Několik správců hesel přesto aktivně pracuje na odstranění i vzdálené možnosti takového soustředěného útoku. Začleněním vlastních pohybů myši nebo náhodných znaků do náhodného algoritmu získáte skutečně náhodný výsledek. Mezi ty, které nabízejí tuto randomizaci v reálném světě, patří AceBIT Password Depot, KeePass a Steganos Password Manager. Snímek obrazovky ukazuje randomizer ve stylu matrix Depot; ano, postavy klesají při pohybu myší.

Opravdu potřebujete přidat randomizaci v reálném světě? Asi ne. Ale pokud vás to potěší, jděte na to!

Správci hesel snižují náhodnost

Generátory hesel samozřejmě náhodně nevrací náhodná čísla. Spíše vrací řetězec znaků a pomocí náhodných čísel vybírá z dostupných znakových sad. Vždy byste měli povolit použití všech dostupných znakových sad, pokud nevygenerujete heslo pro web, který například nepovoluje speciální znaky.

Skupina dostupných znaků obsahuje 26 velkých písmen, 26 malých písmen a 10 číslic. Zahrnuje také sbírku zvláštních znaků, které se mohou u jednotlivých produktů lišit. Pro jednoduchost řekněme, že je k dispozici 18 speciálních znaků. Díky tomu je pěkné kolo celkem 80 znaků na výběr. V naprosto náhodném hesle je pro každou postavu 80 možností. Pokud zvolíte osmimístné heslo, počet možností je 80 až osmý výkon, nebo 1 677 721 600 000 000 - více než čtvrt milionu. To je tvrdé slogování pro praskající útok brutální síly a hádání hrubou silou je opravdu jediný způsob, jak rozbít skutečně náhodné heslo.

Samozřejmě, zcela náhodný generátor nakonec vytvoří "aaaaaaaa" a "Covfefe!" a „12345678“, protože jsou stejně pravděpodobné jako jakákoli jiná posloupnost osmi znaků. Někteří generátoři hesel aktivně filtrují svůj výstup, aby se vyhnuli těmto heslům. To je v pořádku, ale pokud hacker ví o těchto filtrech, ve skutečnosti snižuje počet možností a usnadňuje praskání hrubou silou.

Zde je extrémní příklad. Existuje 40 960 000 možných čtyřmístných hesel, čerpajících ze sbírky 80 znaků. Někteří generátoři hesel však nutí výběr alespoň jednoho z každého typu postavy, a to drasticky snižuje možnosti. Pro první postavu je stále 80 možností. Předpokládejme, že se jedná o velké písmeno; fond pro druhý znak je 54 (80 minus 26 velkých písmen). Dále předpokládejme, že druhým znakem je malé písmeno. U třetího znaku zůstanou pouze 28 číslic a speciální znaky. A pokud je třetí znak interpunkční znaménko, poslední musí být číslice, 10 možností. Naše 40 milionů možností klesá na 1 209 600.

Použití všech znakových sad je nutností pro mnoho webových stránek. Chcete-li se vyhnout tomu, aby tento požadavek zmenšil vaši skupinu hesel, nastavte délku hesla na vysokou. Pokud je heslo dostatečně dlouhé, účinek nucení všech typů znaků se stane zanedbatelným.

Další omezení, která používají správci hesel, zbytečně omezují okruh možných hesel. Například RememBear Premium určuje přesný počet znaků z každé ze čtyř znakových sad, což drasticky snižuje fond. Ve výchozím nastavení vyžaduje dvě velká písmena, dvě číslice, 14 malými písmeny a žádné symboly pro celkem 18 znaků. Výsledkem je fond hesel, který je stokrát miliónkrát menší, než kdyby jednoduše vyžadoval jeden nebo více z každého typu znaku. Zde můžete tento problém vyrovnat nastavením vyšší délky hesla.

LastPass a několik dalších implicitně brání dvojznačným párům znaků, jako je číslice 0 a písmeno O. Pokud si nemusíte pamatovat heslo, není to nutné; vypněte tuto možnost. Stejně tak nevybírejte možnost generovat vyslovitelné heslo jako „entlestmospa“. Tato možnost je důležitá pouze v případě, že se jedná o heslo, které si musíte pamatovat. Použitím této možnosti se nejen omezíte na malá písmena, ale také odmítnete obrovské množství možností, které generátor hesel považuje za nevyslovitelné.

Generujte dlouhá hesla

Jak jsme viděli, generátory hesel si nemusí nutně vybírat ze souboru všech možných hesel odpovídajících délce a znakové sadě, kterou jste vybrali. V extrémním příkladu čtyřmístného hesla používajícího všechny znakové sady se asi 97 procent možných čtyřmístných hesel nikdy neobjeví. Řešení je jednoduché; jdi dlouho! Tato hesla si nemusíte pamatovat, takže mohou být obrovská. Přinejmenším tak velké, jak přijímaný web akceptuje; někteří stanovují limity.

Čím větší je vyhledávací prostor (to, čemu jsem říkal soubor dostupných hesel), tím déle by se na vaše heslo stalo útokem hrubou silou. Můžete si hrát s kalkulačkou Haystack Password (jako v jehla v kupce sena) na webu Gibson Research, abyste získali cit pro hodnotu délky.

Stačí zadat heslo a zjistit, jak dlouho by to praskání trvalo. (Stránka slibuje: „Nic, co tady děláte, opustí váš prohlížeč. Co se tady stane, zůstane tady.“ Ale opatrnost navrhuje, abyste se vyhnuli používání skutečných hesel). Čtyřmístné heslo, jako je 1eA &, by prasklo necelý den, pokud hacker musí odeslat odhady online. Ale v offline scénáři, kde hacker může zkusit odhady vysokou rychlostí, je doba praskání zlomek sekundy.

V mém článku o vytváření nezapomenutelných silných hesel (například pro hlavní heslo správce hesel) navrhuji mnemotechnickou techniku, která transformuje linii z básně nebo hraje na náhodně vypadající heslo. Například řádek z Romeo a Julie, akt 2, scéna 2, se stal "bS, wLtYdWdB? A2S2". Toto není náhodné heslo, ale cracker to neví. Když jsme ji vložili do Gibsonovy kalkulačky, zjistili jsme, že i kdybychom použili obrovské pole prasklin, trvalo by to brutální silou 1, 41 set miliónů století.

Vyberte volbu Správce informovaných hesel

Teď už víte - nejdůležitějším faktorem při vytváření silných náhodných hesel je zkrátit jejich délku. Někteří generátoři hesel odmítají hesla, která neobsahují všechny znakové sady, jiní odmítají hesla s vloženými slovy slovníku, jiná vyřazovací hesla, která obsahují dvojznačný znak, jako je malé písmeno l a číslice 1. Všechna tato omezení omezují soubor možných hesel, ale když je délka je dostatečně vysoká, na tomto omezení prostě nezáleží.

Samozřejmě je teoreticky (ne-li prakticky) možné, že by nějaký malefaktor mohl hacknout schéma generování hesla vašeho oblíbeného správce hesel, a získat tak schopnost předpovídat pseudonáhodná hesla, která vám nabídne. Stínovaný program pro správu hesel mohl poslat vaše náhodná hesla zpět do sídla společnosti. To je opravdu na úrovni tinfoil-hat paranoia. Ale pokud se opravdu nechcete spoléhat na někoho jiného pro vaše náhodná hesla, můžete si vytvořit svůj vlastní generátor náhodných hesel v Excelu.