Чи безпечні випадково створені паролі?

Такі програми, як Roboform, що дозволяє генерувати випадковий пароль. Можливо, є хакерські програми, які розумні і знають, як працюють генератори паролів, що дозволяє їм легше зламати паролі? Може вони знають якусь закономірність?

Також що ви думаєте про LastPass? Ваші паролі десь зберігаються в хмарі. Хто знає, що там може статися ... Адміністраторам може стати цікаво, або хакери можуть зламати хмару.

Мабуть. Це випадково, це може вийти як password1!

Або точніше, так, вони надійні . Вони не справді псевдовипадкові (Або принаймні будь-який хороший генератор, як ви знайдете в належному додатку для управління паролем), але дотримуйтесь правил, створених для створення паролів, які не є випадковими, але дуже важко здогадатися.

Злом пароля - відома, передбачувана річ, і ви можете використовувати його для створення паролів, які ефективно протистоять цьому. Не слова словника, довгі, із символами, обидва регістри букв, цифр тощо. Створення пароля, який потребує зламання сучасної машини за кілька мільйонів років, не є складним викликом - тому що, коли люди, що пишуть сухарі, знають, як працює генератор, люди, що пишуть генератор, також знають, як працюють сухарики.

Що стосується lastpass, наскільки я знаю, ваш контейнер паролів шифрується та розшифровується локально, тому дуже, дуже мало шансів, що коли-небудь буде порушено. На жаль, ви не можете використовувати Lastpass для захисту контейнера Lastpass, тому вам доведеться покладатися на власні навички створення пароля, щоб запам'ятати це!

Я автор сайту, що генерує випадкові паролі http://passwordcreator.org . Ось що я дізнався в процесі створення цього сайту про створення захищених випадкових паролів:

Випадкове джерело

Більшість генераторів випадкових чисел на комп’ютерах є псуедорандоми. Вони засновані на алгоритмах і не підходять для генерації паролів. Вони, як правило, висіваються з поточним часом. Якщо ця інформація відома (або її можна здогадатися), можна відтворити їх вихід і побачити паролі, які були б створені.

Для створення пароля слід використовувати криптографічно захищений генератор псевдовипадкових чисел (CPRNG) . З Вікіпедії два вимоги цього типу генератора випадкових чисел:

• з огляду на перші k біти випадкової послідовності, не існує алгоритму багаточленного часу, який би міг передбачити (k + 1)-й біт з вірогідністю успіху кращою 50%.
• У випадку, якщо частина або весь її стан був виявлений (або правильно здогадався), не можна реконструювати потік випадкових чисел до відкриття. Крім того, якщо під час запуску є ентропійний вхід, було б неможливо використовувати знання про стан введення для прогнозування майбутніх умов стану CSPRNG.

Сучасні веб-браузери (за винятком Internet Explorer) тепер мають крипто API для JavaScript, який має криптографічно захищений генератор випадкових чисел . Це спрощує веб-сайти, такі як мій, генерувати унікальні паролі та не підлягати довідці на основі того, коли знати, коли і де вони були створені.

Довжина пароля

Поширена атака проти паролів - це зловмисник отримати доступ до бази даних, де зберігаються зашифровані (хешовані) паролі. Тоді зловмисник може генерувати здогадки, хешувати здогадки, використовуючи той самий алгоритм хешування, і бачити, чи отримали вони відповідність. Ось стаття, яка показує, скільки паролів вразливі до такої атаки. Комп'ютери зараз досить потужні, що, як відомо, зловмисники намагаються спробувати 100 мільярдів паролів в секунду. Секретні військові та шпигунські комп'ютерні комп’ютери можуть більше робити замовлення.

З практичної точки зору це означає, що потрібно вибрати пароль із пулу квінтільйонів можливостей. 96 символів, які можна набрати на клавіатурі, можуть генерувати чотирилітні можливості, використовуючи вісім символів пароля. Щоб бути безпечними, паролі повинні бути довшими сьогодні, ніж колись у минулому. В майбутньому комп’ютери стануть більш потужними, і ви, можливо, захочете вибирати паролі, які ще довші, ніж ті, що вам можуть знадобитися, щоб відчувати себе захищеними сьогодні, щоб вони не могли легко зламатись у майбутньому. Я рекомендую принаймні довжину 10 для випадкових паролів на основі 96 можливих символів, але використання довжини 12 або 14 було б набагато краще для майбутньої безпеки.

Якщо параметри itake режиму генерації пароля повністю не залежать від контексту, для якого створюється пароль (наприклад: він не запитує URL-адресу веб-сайту, а також увійдіть до імені та включіть ці дані повторюваним чином під час генерації пароля), можна бути відносно впевненим, що будь-який пароль, створений цією процедурою, був би досить надійним (з огляду на достатню довжину та складність).

Якщо будь-яка з машин, що беруть участь у вищезазначеному сценарії, будь-яким чином скомпрометована, то впевненість у тому, що пароль може забезпечити будь-який рівень безпеки, може бути зменшена.