Как использовать генератор случайных паролей

Пароли ужасные. Если вы используете ненадежный пароль для веб-сайта своего банка, вы рискуете потерять свои средства в результате взлома методом грубой силы. Но если вы сделаете пароль слишком случайным, вы можете забыть его и выйти из учетной записи. Вы можете запомнить только один сложный пароль и использовать его везде, но если вы это сделаете, взлом на одном сайте сделает доступными все ваши учетные записи. Ваш единственный разумный выход – заручиться помощью менеджера паролей и заменить все ваши слабые и повторяющиеся пароли на уникальные случайные строки символов.

Почти каждый менеджер паролей включает компонент генератора паролей, поэтому вам не нужно придумывать эти случайные пароли самостоятельно. (Но если ты хотеть решение своими руками, мы покажем вам, как создать собственный генератор случайных паролей). Однако не все генераторы паролей одинаковы. Когда вы знаете, как они работают, вы можете выбрать тот, который лучше всего подходит для вас, и разумно использовать тот, который у вас есть.

Генераторы паролей – случайные или нет?

Когда вы бросаете пару кубиков, вы получаете действительно случайный результат. Никто не может предсказать, получите ли вы змеиные глаза, товарные вагоны или счастливую семерку. Но в компьютерной сфере физические рандомизаторы, такие как игральные кости, недоступны. Да, есть несколько источники случайных чисел на основе радиоактивного распада, но вы не найдете их в обычном диспетчере паролей на стороне потребителя.

Менеджеры паролей и другие компьютерные программы используют так называемый псевдослучайный алгоритм. Этот алгоритм начинается с числа, называемого начальным числом. Алгоритм обрабатывает начальное число и получает новое число без прослеживаемой связи со старым, и новое число становится следующим начальным числом. Исходное семя никогда не появится снова, пока не появятся все остальные числа. Если начальное число было 32-битным целым числом, это означает, что алгоритм будет обрабатывать 4 294 967 295 других чисел перед повторением.

Это нормально для повседневного использования и подходит для большинства людей, генерирующих пароли. Однако опытный хакер теоретически может определить используемый псевдослучайный алгоритм. Учитывая эту информацию и начальное значение, хакер мог бы предположительно воспроизвести последовательность случайных чисел (хотя это было бы сложно).

Такой вид направленного взлома крайне маловероятен, за исключением целенаправленной атаки на государство или корпоративного шпионажа. Если вы подвергаетесь такой атаке, ваш пакет безопасности, вероятно, не сможет вас защитить; к счастью, вы почти наверняка не являетесь мишенью для такого рода кибершпионажа.

Несмотря на это, некоторые менеджеры паролей активно работают над устранением даже отдаленной возможности такой целенаправленной атаки. Включая ваши собственные движения мыши или случайные символы в случайный алгоритм, они получают действительно случайный результат. Среди тех, кто предлагает эту реальную рандомизацию, – AceBIT Password Depot, KeePass и Steganos Password Manager. На снимке экрана показан рандомизатор в виде матрицы Password Depot; да, символы падают, когда вы перемещаете мышь.

Вам действительно нужно добавить рандомизацию в реальном мире? Возможно нет. Но если это делает вас счастливым, дерзайте!

Менеджеры паролей уменьшают случайность

Конечно, генераторы паролей буквально не возвращают случайные числа. Скорее, они возвращают строку символов, с помощью случайные числа на выбор из доступных наборов символов. Вы всегда должны разрешать использование всех доступных наборов символов, если только вы не создаете пароль для веб-сайта, который, скажем, не допускает использование специальных символов.

Пул доступных символов включает 26 заглавных букв, 26 строчных букв и 10 цифр. Он также включает набор специальных символов, которые могут отличаться от продукта к продукту. Для простоты предположим, что доступно 18 специальных символов. Таким образом получается хороший раунд из 80 персонажей на выбор. В полностью случайном пароле есть 80 вариантов для каждого символа. Если вы выберете восьмизначный пароль, количество возможных вариантов составит 80 в восьмой степени, или 1 677 721 600 000 000, то есть больше квадриллиона. Это сложная процедура для взлома методом перебора, а угадывание методом перебора – единственный способ взломать действительно случайный пароль.

Конечно, полностью случайный генератор в конечном итоге произведет «аааааааа» и «Ковфеф!» и «12345678», поскольку они так же вероятны, как и любая другая последовательность из восьми символов. Некоторые генераторы паролей активно фильтруют свой вывод, чтобы избежать таких паролей. Это нормально, но если хакер знает об этих фильтрах, это фактически уменьшает количество возможностей и упрощает взлом методом грубой силы.

Вот крайний пример. Существует 40 960 000 возможных четырехсимвольных паролей, взятых из набора из 80 символов. Но некоторые генераторы паролей принудительно выбирают хотя бы по одному символу каждого типа, и это резко сокращает возможности. Есть еще 80 вариантов для первого персонажа. Предположим, это заглавная буква; пул для второго символа – 54 (80 минус 26 заглавных букв). Далее предположим, что второй символ – это строчная буква. Для третьего символа остаются только цифры и специальные символы из 28 вариантов. И если третий символ пунктуации, последний должен быть цифрой, 10 вариантов. Наши 40 миллионов возможностей сокращаются до 1 209 600.

Использование всех наборов символов необходимо для многих веб-сайтов. Чтобы это требование не привело к сокращению пула паролей, установите большую длину пароля. Когда пароль достаточно длинный, эффект от принуждения всех типов символов становится незначительным.

Другие ограничения, которые применяют менеджеры паролей, излишне сокращают пул возможных паролей. Например, RememBear Premium указывает точное количество символов из каждого из четырех наборов символов, что резко сокращает пул. По умолчанию для этого требуются две заглавные буквы, две цифры, 14 строчных букв и никаких символов, всего 18 символов. Это приводит к тому, что пул паролей в сотни миллионов раз меньше, чем если бы он просто требовал одного или нескольких символов каждого типа. И здесь вы можете решить эту проблему, установив более высокую длину пароля.

LastPass и некоторые другие по умолчанию избегают неоднозначных пар символов, таких как цифра 0 и буква O. Если вам не нужно запоминать пароль, в этом нет необходимости; отключите эту опцию. Точно так же не выбирайте вариант создания произносимого пароля, такого как «entlestmospa». Эта опция важна только в том случае, если вы должны запомнить пароль. Применение этой опции не только ограничивает вас строчными буквами, но и отвергает огромное количество возможностей, которые генератор паролей считает непроизносимыми.

Создавайте длинные пароли

Как мы видели, генераторы паролей не обязательно выбирают из пула всех возможных паролей, совпадающих по длине и наборам символов, которые вы выбрали. В крайнем примере четырехсимвольного пароля, использующего все наборы символов, около 97 процентов возможных четырехсимвольных паролей никогда не появляются. Решение простое; идти долго! Вам не нужно запоминать эти пароли, поэтому они могут быть огромными. По крайней мере, настолько огромен, насколько принимает рассматриваемый веб-сайт; некоторые действительно устанавливают ограничения.

Чем больше пространство поиска (то, что я назвал пулом доступных паролей), тем больше времени потребуется для атаки грубой силы на ваш пароль. Вы можете играть с Калькулятор стога паролей (например, иголка в стоге сена) на веб-сайте Gibson Research, чтобы почувствовать ценность длины.

Просто введите пароль, чтобы узнать, сколько времени потребуется для взлома. (Сайт обещает: «НИЧЕГО из того, что вы здесь делаете, никогда не покидает ваш браузер. То, что здесь происходит, остается здесь». Но осторожность предлагает вам избегать использования ваших реальных паролей). Четырехсимвольный пароль, такой как 1eA &, может занять не один день, если хакеру придется отправлять предположения в Интернете. Но в автономном сценарии, когда хакер может делать предположения на высокой скорости, время взлома составляет доли секунды.

В моей статье о создании запоминающихся надежных паролей (для таких вещей, как главный пароль менеджера паролей) я предлагаю мнемоническую технику, которая преобразует строку из стихотворения или пьесы в пароль наугад. Например, строка из «Ромео и Джульетта», действие 2, сцена 2, стала «bS, wLtYdWdB? A2S2». Это не случайный пароль, но взломщик этого не знает. Бросив его в калькулятор Гибсона, мы узнаем, что даже при использовании огромного массива взлома потребуется 1,41 миллиона столетий, чтобы взломать его.

Сделайте осознанный выбор менеджера паролей

Итак, теперь вы знаете, что самый важный фактор в создании надежных случайных паролей – сделать их длинными. Некоторые генераторы паролей отклоняют пароли, которые содержат не все наборы символов, некоторые отклоняют пароли со встроенными словарными словами, некоторые отбрасывают пароли, содержащие неоднозначный символ, например маленький l и цифру 1. Все эти ограничения ограничивают пул возможных паролей, но когда длина достаточно велико, это ограничение не имеет значения.

Конечно, теоретически (если не практически) возможно, что какой-то злоумышленник может взломать схему генерации паролей вашего любимого менеджера паролей и тем самым получить возможность предсказывать псевдослучайные пароли, которые он вам предложит. Программа теневого менеджера паролей может отправить ваши случайные пароли обратно в штаб-квартиру компании. Это действительно вызывает беспокойство на уровне паранойи из фольги. Но если вы действительно не хотите полагаться на кого-то другого для получения случайных паролей, вы можете создать свой собственный генератор случайных паролей в Excel.