כיצד להשתמש במחולל סיסמאות אקראי

סיסמאות נוראיות. אם אתה משתמש בסיסמה חלשה עבור אתר הבנק שלך, אתה מסתכן באובדן הכספים שלך להתקפת פיצוח בכוח. אבל אם אתה הופך את הסיסמה לאקראית מדי, אתה עלול לשכוח אותה ולהינעל מהחשבון. אתה יכול לבחור לשנן סיסמה מורכבת אחת בלבד ולהשתמש בה בכל מקום, אך אם תעשה זאת, הפרה באתר אחד חושפת את כל החשבונות שלך. הקורס הסביר היחיד שלך הוא לגייס את עזרתו של מנהל סיסמאות, ולשנות את כל הסיסמאות החלשות והכפולות שלך למחרוזות ייחודיות ואקראיות של תווים.

כמעט כל מנהל סיסמאות כולל רכיב מחולל סיסמאות, כך שאתה לא צריך לבוא עם אותן סיסמאות אקראיות בעצמך. (אבל אם אתה רוצה פיתרון של עשה זאת בעצמך, נראה לך כיצד לבנות מחולל סיסמאות אקראי משלך). עם זאת, לא כל מחוללי הסיסמאות נוצרים שווים. כשאתה יודע איך הם עובדים, אתה יכול לבחור את זה שהכי מתאים לך, ולהשתמש בזה שיש לך באופן מושכל.

מחוללי סיסמאות - אקראי או לא?

כשזורקים זוג קוביות מקבלים תוצאה אקראית באמת. אף אחד לא יכול לחזות אם תקבלו עיני נחש, רכבי תיבה או שבע מזל. אבל בתחום המחשבים, מקצבים פיזיים כמו קוביות אינם זמינים. כן, ישנם כמה מקורות מספר אקראיים המבוססים על דעיכה רדיואקטיבית, אך לא תמצאו אותם במנהל הסיסמאות הממוצע לצרכן.

מנהלי סיסמאות ותוכנות מחשב אחרות משתמשים במה שמכונה אלגוריתם פסאודו אקראי. אלגוריתם זה מתחיל במספר הנקרא זרע. האלגוריתם מעבד את הזרע ומקבל מספר חדש ללא קשר למעקב ישן, והמספר החדש הופך לזרע הבא. הזרע המקורי לא מופיע שוב עד שכל מספר אחר עלה. אם הזרע היה מספר שלם של 32 סיביות, פירוש הדבר שהאלגוריתם יעבור 4, 294, 967, 295 מספרים אחרים לפני חזרה.

זה בסדר לשימוש יומיומי, ונכון לצורכי יצירת הסיסמאות של רוב האנשים. עם זאת, תיאורטית אפשרית עבור האקר מיומן לקבוע את האלגוריתם הפסאודו המשמש. בהתחשב במידע זה ובזרע, האקר יכול היה לשכפל את רצף המספרים האקראיים (אם כי זה יהיה קשה).

פריצה מכוונת מעין זו אינה סבירה במיוחד, למעט מתקפה ייעודית של מדינת לאום, או ריגול תאגידי. אם אתה נושא להתקפה כזו, חבילת האבטחה שלך כנראה לא יכולה להגן עליך; למרבה המזל אתה כמעט בוודאי לא היעד לסוג זה של ריגול רשת.

אף על פי כן, כמה מנהלי סיסמאות פועלים באופן פעיל בכדי לחסל אפילו את האפשרות המרוחקת להתקפה כה ממוקדת. על ידי שילוב תנועות העכבר שלך או תווים אקראיים באלגוריתם האקראי, הם משיגים תוצאה אקראית באמת. בין אלה המציעים אקראיות אמיתית זו, ניתן למצוא את AceBIT Password Depot, KeePass ו- Steganos Manager Manager. צילום המסך מציג את הרנדומיזר בסגנון המטריצה ​​בסיסמה; כן, הדמויות נופלות כשאתה מזיז את העכבר.

האם אתה באמת צריך להוסיף אקראיות בעולם האמיתי? כנראה שלא. אבל אם זה משמח אותך, לכי על זה!

מנהלי סיסמאות מפחיתים את האקראיות

כמובן, מחוללי סיסמאות אינם מחזירים ממש מספרים אקראיים. במקום זאת, הם מחזירים מחרוזת תווים, תוך שימוש במספרים אקראיים לבחירה מבין ערכות התווים הזמינות. עליך תמיד לאפשר שימוש בכל קבוצות התווים הזמינות, אלא אם כן אתה יוצר סיסמה לאתר אינטרנט, שלדברינו, אינו מאפשר תווים מיוחדים.

מאגר התווים הזמין כולל 26 אותיות גדולות, 26 אותיות קטנות ו -10 ספרות. זה כולל גם אוסף של תווים מיוחדים שעשויים להשתנות ממוצר למוצר. לשם הפשטות, נניח שיש 18 תווים מיוחדים זמינים. זה הופך סיבוב נחמד לסך הכל של 80 תווים לבחירה. בסיסמה אקראית לחלוטין, יש 80 אפשרויות לכל דמות. אם אתה בוחר סיסמה בת שמונה תווים, מספר האפשרויות הוא 80 לכוח השמיני, או 1, 677, 721, 600, 000, 000 - יותר מרבע. זו סיסמה קשה למתקפה של פיצוח-כוח סוער, וניחוש כוח-ברוט הוא באמת הדרך היחידה לפצח סיסמא אקראית באמת.

כמובן שגנרטור אקראי לחלוטין יפיק בסופו של דבר "aaaaaaaa" ו- "Covfefe!" ו- "12345678", מכיוון שאלו סבירים באותה מידה כמו כל רצף אחר בן שמונה תווים. חלק מחוללי הסיסמאות מסננים באופן פעיל את הפלט שלהם כדי להימנע מסיסמאות כאלה. זה בסדר, אבל אם האקר יודע על המסננים הללו, הוא למעשה מצמצם את מספר האפשרויות ומקלה על הפיצוח בכוח.

הנה דוגמא קיצונית. ישנן 40, 960, 000 סיסמאות אפשריות של ארבע תווים, מתוך אוסף של 80 תווים. אבל כמה מחוללי סיסמאות מאלצים בחירה של לפחות אחד מכל סוג של דמות, וזה מפיל את האפשרויות בצורה דרסטית. יש עדיין 80 אפשרויות לדמות הראשונה. נניח שמדובר באותיות גדולות; הבריכה לתו השני היא 54 (80 פחות מ -26 התווים הגדולים). עוד נניח שהדמות השנייה היא אותיות קטנות. עבור הדמות השלישית נותרו רק ספרות ותווים מיוחדים, למשך 28 אפשרויות. ואם התו השלישי הוא פיסוק, האחרון חייב להיות ספרה, 10 אפשרויות. 40 מיליון האפשרויות שלנו מתמעטות ל -1, 209, 600.

השימוש בכל מערכות התווים הוא הכרח עבור אתרים רבים. כדי למנוע מתן דרישה לכווץ את מאגר הסיסמאות שלך, הגדר את אורך הסיסמה לגובה. כאשר הסיסמה ארוכה מספיק, ההשפעה של אילוץ כל סוגי התווים הופכת לזניחה.

מגבלות אחרות שמנהלי הסיסמאות מיישמות מקטינות את מאגר הסיסמאות האפשריות שלא לצורך. לדוגמה, RememBear Premium מציין את המספר המדויק של התווים מכל אחת מארבע התווים, מה שמקטין באופן דרסטי את הבריכה. כברירת מחדל, זה דורש שתי אותיות גדולות, שתי ספרות, 14 אותיות קטנות ובלי סימנים, בסך הכל 18 תווים. התוצאה היא מאגר סיסמאות שקטן במאות מיליוני פעמים מאשר אם פשוט נדרש אחד או יותר מכל סוג תו. גם כאן תוכלו לקזז בעיה זו על ידי הגדרת אורך סיסמא גבוה יותר.

LastPass ועוד כמה אחרים מחליטים להימנע מצמד תווים דו-משמעי כמו הספרה 0 והאות O. כשלא צריך לזכור את הסיסמה, הדבר אינו הכרחי; כבה אפשרות זו. באופן דומה, אל תבחר באפשרות לייצר סיסמא שניתן לבטאה כמו "entlestmospa". אפשרות זו חשובה רק אם זו סיסמה שעליך לזכור. החלת אפשרות זו לא רק מגבילה אתכם לתווים קטנים, היא דוחה את מספר האפשרויות העצום שמחשבת הסיסמאות גורמת לו שאינה ניתנת לביטוי.

צור סיסמאות ארוכות

כפי שראינו, מחוללי סיסמאות אינם בהכרח בוחרים מתוך המאגר של כל הסיסמאות האפשריות התואמות את אורך ותווי התווים שבחרת. בדוגמה הקיצונית של סיסמה בת ארבע תווים המשתמשים בכל קבוצות התווים, כ -97 אחוז מהסיסמאות האפשריות של ארבע תווים לא מופיעות לעולם. הפיתרון הוא פשוט; לך הרבה! אתה לא צריך לזכור את הסיסמאות האלה, כך שהן יכולות להיות ענקיות. לפחות, ענק כמו שמקבל האתר המדובר; יש כאלה שמטילים גבולות.

ככל ששטח החיפוש יהיה גדול יותר (מה שקראתי למאגר הסיסמאות הזמינות), כך ייקח להתקפה של כוח ברוט על הסיסמה שלך. אתה יכול לשחק עם מחשבון סיבוב הגבינה (כמו מחט בערימת שחת) באתר מחקר גיבסון כדי לקבל תחושה לערך האורך.

פשוט הזן סיסמה כדי לראות כמה זמן ייקח לפיצוח. (האתר מבטיח "שום דבר שלא תעשה כאן אי פעם יעזוב את הדפדפן שלך. מה שקורה כאן, נשאר כאן." אבל זהירות מציעה לך להימנע משימוש בסיסמאות שלך בפועל). סיסמה בת ארבע תווים כמו 1eA ולוקח לא ממש יום אחד לפיצוח, אם ההאקר צריך לשלוח ניחושים ברשת. אבל בתרחיש לא מקוון, בו האקר יכול לנסות לנחש במהירות גבוהה, זמן הפיצוח הוא שבריר שנייה.

במאמר שלי בנושא יצירת סיסמאות חזקות ובלתי נשכחות (לדברים כמו סיסמת אב של מנהל סיסמאות) אני מציע טכניקה ממנומונית שהופכת שורה משיר או משחק לסיסמא למראה אקראי. לדוגמה, קו מרומיאו ויוליה, פעולה 2, סצינה 2, הפך ל" bS, wLtYdWdB? A2S2 ". זו אינה סיסמא אקראית, אך הפצח לא יודע זאת. משחרר אותו למחשבון של גיבסון אנו למדים כי אפילו באמצעות מערך פיצוח מאסיבי ייקח 1.41 מאות מיליון מאות שנים כדי להכריח את הכוח הזה.

בחר בחירת מנהל סיסמאות מושכל

אז עכשיו אתם יודעים - הגורם החשוב ביותר ביצירת סיסמאות חזקות ואקראיות הוא לגרום להם להתארך. חלק מחוללי הסיסמאות דוחים סיסמאות שאינן מכילות את כל קבוצות התווים, חלקם דוחים את אלה עם מילות מילון משובצות, חלקם משליכים סיסמאות המכילות תו דו-משמעי כמו L קטן וספרה 1. כל ההגבלות הללו מגבילות את מאגר הסיסמאות האפשריות, אך כאשר האורך הוא מספיק גבוה, המגבלה הזו פשוט לא משנה.

כמובן, תיאורטית (אם לא מעשית) יתכן כי איזה גורם שגוי עשוי לפרוץ את ערכת יצירת הסיסמאות של מנהל הסיסמאות המועדף עליך, ובכך להשיג את היכולת לחזות את הסיסמאות הפסאודו-אקראיות שהיא תציע לך. תוכנית מנהלת סיסמאות מוצלת יכולה להחזיר את הסיסמאות האקראיות שלך למטה החברה. זה באמת ברמת הדאגה לפרנויה-כובע מצנפת. אבל אם אתה באמת לא רוצה לסמוך על מישהו אחר על הסיסמאות האקראיות שלך, אתה יכול ליצור מחולל סיסמאות אקראי משלך ב- Excel.