Безопасны ли случайно сгенерированные пароли?
Такие приложения, как Roboform, которые позволяют генерировать случайный пароль. Может быть, есть хакерские программы, которые умны и знают, как работают генераторы паролей, что позволяет им легче взламывать пароли? Может быть, они знают какой-то шаблон?
И что ты думаешь о LastPass? Ваши пароли хранятся где-то в облаке. Кто знает, что там может произойти... Администраторы могут заинтересоваться, или хакеры могут взломать облако.
3 ответа
Наверное. Это случайно, это может выйти как password1
!
Или, точнее, да, они в безопасности . Они не совсем псевдослучайные (или, по крайней мере, любой хороший генератор, как вы могли бы найти в надлежащем приложении для управления паролями), но следуют правилам, разработанным для создания паролей, которые не случайны, но очень трудно угадать.
Взлом паролей - известная, предсказуемая вещь, и вы можете использовать ее для создания паролей, которые эффективно противостоят ей. Не словарные слова, длинные, с символами, в обоих случаях буквы, цифры и т. Д. Генерация пароля, который взломал бы современную машину за несколько миллионов лет, не является сложной задачей, потому что, хотя люди, пишущие взломщики, знают, как работает генератор, люди, пишущие генератор, знают, как взломщики тоже работают.
Что касается lastpass, насколько я знаю, ваш контейнер паролей зашифрован и дешифрован локально, так что очень и очень мало шансов на то, что это когда-либо будет скомпрометировано. К сожалению, вы не можете использовать lastpass для защиты вашего последнего прохода контейнера, поэтому вам придется полагаться на свои собственные навыки генерации паролей, чтобы запомнить это!
Я являюсь автором сайта генерации случайных паролей http://passwordcreator.org/ . Вот что я узнал в процессе создания этого сайта о создании безопасных случайных паролей:
Случайный источник
Большинство генераторов случайных чисел на компьютерах псевдослучайны. Они основаны на алгоритмах и не подходят для генерации паролей. Как правило, они посеяны с текущим временем. Если эта часть информации известна (или может быть угадана), можно воспроизвести их вывод и увидеть пароли, которые были бы сгенерированы.
Для генерации пароля должен использоваться криптографически безопасный генератор псевдослучайных чисел (CPRNG) . Из Википедии два требования этого типа генератора случайных чисел:
- учитывая первые k битов случайной последовательности, не существует алгоритма полиномиального времени, который мог бы прогнозировать (k + 1) -й бит с вероятностью успеха лучше, чем 50%.
- В случае, если часть или все его состояние было обнаружено (или угадано правильно), должно быть невозможно восстановить поток случайных чисел до открытия. Кроме того, если во время работы имеется энтропийный вход, должно быть невозможно использовать знания о состоянии входа для прогнозирования будущих условий состояния CSPRNG.
Современные веб-браузеры (за исключением Internet Explorer) теперь имеют криптографический API, доступный для JavaScript, который имеет криптографически безопасный генератор случайных чисел . Это облегчает для таких сайтов, как мой, генерирование уникальных паролей, которые невозможно угадать, основываясь на знании того, когда и где они были созданы.
Длина пароля
Распространенная атака на пароли заключается в том, что злоумышленник получает доступ к базе данных, в которой хранятся зашифрованные (хешированные) пароли. Затем злоумышленник может генерировать догадки, хэшировать их, используя тот же алгоритм хеширования, и посмотреть, получат ли они совпадения. Вот статья, которая показывает, сколько паролей уязвимо для такой атаки. Компьютеры теперь достаточно мощные, поэтому злоумышленники, как известно, используют 100 миллиардов паролей в секунду. Компьютеры секретных военных и шпионских агентств могут делать на порядок больше.
С практической точки зрения это означает, что пароль должен быть выбран из пула квинтиллионов возможностей. 96 символов, которые можно набрать на клавиатуре, могут генерировать только четыре миллиарда возможностей с использованием восьмисимвольного пароля. Чтобы быть в безопасности, пароли сегодня должны быть длиннее, чем когда-либо в прошлом. Компьютеры станут более мощными в будущем, и вы, возможно, захотите выбрать пароли, которые будут даже длиннее, чем те, которые вам могут понадобиться, чтобы чувствовать себя в безопасности сегодня, чтобы в будущем их тоже нельзя было легко взломать. Я бы порекомендовал по крайней мере длину 10 для случайных паролей, основанную на 96 возможных символах, но использование длины 12 или 14 было бы намного лучше для будущей безопасности.
Если параметры itake подпрограммы генерации пароля полностью независимы от контекста, для которого генерируется пароль (например: он не запрашивает URL-адрес веб-сайта, а также имя для входа в систему и включает эти данные повторяемым образом при генерации пароля), тогда можно быть относительно уверенным в том, что любой пароль, сгенерированный этой подпрограммой, будет достаточно надежным (учитывая достаточную длину и сложность).
Если какой-либо из компьютеров, участвующих в описанном выше сценарии, каким-либо образом компрометируется, то вероятность того, что пароль может обеспечить любой уровень безопасности, может быть уменьшена.