Rasgele bir şifre üreticisi nasıl kullanılır?

Şifreler korkunç. Banka web siteniz için zayıf bir şifre kullanırsanız, fonlarınızı kaba kuvvet kırma saldırısına kaybetme riskiyle karşı karşıya kalırsınız. Ancak parolayı çok rastgele yaparsanız, unutabilir ve hesaptan kilitlenebilirsiniz. Yalnızca bir karmaşık şifreyi ezberlemeyi ve her yerde kullanmayı seçebilirsiniz, ancak bunu yaparsanız, bir sitedeki ihlal tüm hesaplarınızı gösterir. Tek makul yolunuz bir şifre yöneticisinin yardımını almak ve tüm zayıf ve kopya şifrelerinizi benzersiz, rastgele karakter dizeleri olarak değiştirmek.

Hemen hemen her şifre yöneticisi bir şifre üreticisi bileşeni içerir, bu yüzden bu rastgele şifreleri kendiniz bulmak zorunda değilsiniz. (Ancak kendin yap çözümü istiyorsan, kendi rasgele şifre üreticini nasıl oluşturacağını göstereceğiz). Ancak, tüm şifre üreticileri eşit yaratılmaz. Nasıl çalıştıklarını bildiğiniz zaman, sizin için en uygun olanı seçebilir ve akıllıca olanı kullanabilirsiniz.

Şifre Jeneratörleri - Rastgele mi Değil mi?

Bir çift zar attığınızda, gerçekten rastgele bir sonuç elde edersiniz. Hiç kimse yılan gözü, vagon ya da şanslı bir yedili olup olmadığını tahmin edemez. Ancak bilgisayar aleminde, zar gibi fiziksel randomizatörler mevcut değildir. Evet, radyoaktif bozulmaya dayanan birkaç rasgele sayı kaynağı var, ancak bunları ortalama tüketici tarafı şifre yöneticisinde bulamazsınız.

Parola yöneticileri ve diğer bilgisayar programları, sözde rastgele algoritma denilen şeyi kullanır. Bu algoritma, tohum denilen bir sayı ile başlar. Algoritma, tohumu işler ve eskimeye izlenebilir bağlantısı olmayan yeni bir sayı alır ve yeni sayı bir sonraki tohum haline gelir. Orijinal tohum, diğer tüm numaralar gelinceye kadar bir daha asla ortaya çıkmaz. Eğer tohum 32 bit bir tamsayıysa, algoritma bir tekrarlamadan önce 4, 294, 967, 295 diğer numaralardan geçeceği anlamına gelir.

Bu, günlük kullanım için iyidir ve çoğu kişinin şifre oluşturma ihtiyaçları için iyidir. Bununla birlikte, yetenekli bir bilgisayar korsanının kullanılan sözde rastgele algoritmayı belirlemesi teorik olarak mümkündür. Bu bilgi ve tohum göz önüne alındığında, bilgisayar korsanı rastgele sayılar dizisini makul bir şekilde çoğaltabilir (zor olsa da).

Bu tür bir yönlendirilmiş saldırı, özel bir ulus devlet saldırısı veya şirket casusluğu dışında olağanüstü bir ihtimal değildir. Böyle bir saldırıya maruz kalırsanız, güvenlik süitiniz muhtemelen sizi koruyamaz; Neyse ki bu tür bir siber casusluğun hedefi kesinlikle değilsiniz.

Buna rağmen, birkaç parola yöneticisi aktif bir şekilde bu tür bir odaklanmış saldırının uzak ihtimalini bile ortadan kaldırmak için çalışıyor. Kendi fare hareketlerinizi veya rastgele karakterlerinizi rastgele algoritmaya dahil ederek, gerçekten rastgele bir sonuç elde ederler. Gerçek dünyadaki bu randomizasyonu sunanlar arasında AceBIT Password Depot, KeePass ve Steganos Password Manager var. Ekran görüntüsü Password Depot'un matris tarzı randomizeri; Evet, fareyi hareket ettirdiğinizde karakterler düşer.

Gerçekten gerçek dünya randomizasyonu eklemeniz mi gerekiyor? Muhtemelen değil. Ama seni mutlu ederse, devam et!

Şifre Yöneticileri Rastgele Küçültme

Elbette, şifre üreticileri tam anlamıyla rasgele sayılar döndürmezler. Aksine, mevcut karakter kümelerinden seçmek için rastgele sayıları kullanarak bir karakter dizisi döndürürler. Özel karakterlere izin vermeyen bir web sitesi için bir şifre oluşturmadığınız sürece, daima mevcut tüm karakter setlerinin kullanımını etkinleştirmelisiniz.

Kullanılabilir karakterlerin havuzunda 26 büyük harf, 26 küçük harf ve 10 rakam bulunur. Ayrıca, üründen ürüne değişebilen özel karakter koleksiyonunu da içerir. Basit olması için diyelim ki 18 özel karakter var. Bu seçim için toplam 80 karakterden oluşan hoş bir tur atıyor. Tamamen rastgele bir şifre ile her karakter için 80 olasılık vardır. Sekiz karakterli bir şifre seçerseniz, olasılıkların sayısı sekizinci güce 80, veya bir katrilyondan fazla olan 1.677.721.600.000.000 olur. Bu kaba kuvvet kırma saldırısı için zorlu bir duruş ve kaba kuvvet tahmini gerçekten rastgele bir şifreyi kırmanın tek yoludur.

Tabii ki, tamamen rasgele bir jeneratör sonunda "aaaaaaaa" ve "Covfefe!" Üretecek. ve "12345678, " çünkü bunlar diğer sekiz karakter dizisi kadar muhtemeldir. Bazı şifre üreticileri, bu tür şifreleri önlemek için çıkışlarını aktif olarak filtreler. Sorun değil, ancak bir bilgisayar korsanı bu filtreleri bilirse, olasılık sayısını azaltır ve kaba kuvvet kırılmasını kolaylaştırır.

İşte aşırı bir örnek. 80 karakterlik bir koleksiyondan çizim 40.960.000 olası dört karakterli şifreler vardır. Ancak bazı şifre üreticileri, her karakter tipinden en az birini seçmeye zorlar ve bu olasılıkları büyük ölçüde azaltır. İlk karakter için hala 80 olasılık var. Büyük bir harf olduğunu varsayalım; ikinci karakterin havuzu 54'tür (80 eksi 26 büyük harf karakter). Ayrıca ikinci karakterin küçük harf olduğunu varsayalım. Üçüncü karakter için, 28 seçenek için yalnızca rakamlar ve özel karakterler kalır. Ve üçüncü karakter noktalama ise, son rakam 10 seçenek olmalıdır. 40 milyon olasılığımız 1.209.600'e düştü.

Tüm karakter setlerini kullanmak birçok web sitesi için bir gerekliliktir. Bu gereksinimin şifre havuzunuzu küçültmesine izin vermemek için şifre uzunluğunu yüksek bir değere ayarlayın. Parola yeterince uzun olduğunda, tüm karakter türlerini zorlamanın etkisi ihmal edilebilir hale gelir.

Parola yöneticilerinin uyguladığı diğer sınırlamalar, gereksiz parola havuzunu gereksiz yere azaltır. Örneğin, RememBear Premium, havuzu büyük ölçüde azaltan dört karakter kümesinden her birinin kesin karakter sayısını belirtir. Varsayılan olarak, toplam 18 karakter için iki büyük harf, iki rakam, 14 küçük harf ve hiçbir sembol gerektirmez. Bu, her karakter tipinden bir veya daha fazlasına ihtiyaç duyulmasından yüz milyonlarca kat daha küçük bir şifre havuzuna neden olur. Burada yine daha yüksek bir şifre uzunluğu ayarlayarak bu sorunu giderebilirsiniz.

LastPass ve diğerleri, 0 rakamı ve O harfi gibi belirsiz karakter çiftlerinden kaçınmak için varsayılan olarak parolayı hatırlamanız gerekmediğinde, bu gerekli değildir; Bu seçeneği kapatın. Aynı şekilde, "entlestmospa" gibi belirgin bir şifre oluşturma seçeneğini de seçmeyin. Bu seçenek sadece hatırlamanız gereken bir şifre ise önemlidir. Bu seçeneği kullanmak yalnızca sizi küçük harflerle sınırlandırmakla kalmaz, aynı zamanda şifre oluşturucunun önlenemez olduğunu düşündüğü çok sayıda olasılığı reddeder.

Uzun Şifreler Üret

Gördüğümüz gibi, şifre üreticileri mutlaka seçtiğiniz uzunluk ve karakter kümeleriyle eşleşen tüm şifreler havuzundan seçim yapmazlar. Tüm karakter kümelerini kullanan dört karakterli bir parolanın aşırı örneğinde, olası dört karakterli parolaların yaklaşık yüzde 97'si hiçbir zaman görünmez. Çözüm basit; uzun git! Bu şifreleri hatırlamak zorunda değilsiniz, bu yüzden büyük olabilirler. En azından, söz konusu web sitesinin kabul ettiği kadar büyük; Bazıları sınırlar koyar.

Arama alanı ne kadar büyükse (kullanılabilir şifreler havuzuna ne denirse), şifreniz üzerinde gerçekleşen kaba kuvvet saldırısı o kadar uzun sürer. Uzunluğa değer vermek için Gibson Research web sitesinde Parola Haystack Hesaplayıcı ile (samanlıkta iğne gibi) oynayabilirsiniz.

Çatlamanın ne kadar süreceğini görmek için bir şifre girmeniz yeterli. (Site, "Burada yaptığınız hiçbir şeyi tarayıcınızdan çıkarmaz. Burada olan, burada kalır." Sözünü verir. Hacker'ın çevrimiçi tahminler göndermesi gerekiyorsa, 1eA gibi dört karakterli bir şifrenin kırılması bir gün sürmez. Ancak, hacker'ın yüksek hızda tahminleri deneyebileceği bir çevrimdışı senaryoda, çatlama süresi bir saniyenin kesridir.

Unutulmaz, güçlü şifreler oluşturma konusundaki makalemde (bir şifre yöneticisinin ana şifresi gibi şeyler için) Bir çizgiyi bir şiirden veya oyundan rasgele görünen bir şifreye dönüştüren hatırlatıcı bir teknik öneririm. Örneğin, Romeo ve Juliet'in bir bölümü, Act 2, Scene 2, "bS, wLtYdWdB? A2S2" oldu. Bu rastgele bir şifre değil, fakat bir kraker bunu bilmiyor. Gibson'ın hesap makinesine bıraktığımızda, devasa bir çatlama dizisi kullanılsa bile, bunu zorla zorlamanın 1.41 yüz milyon yüzyıl alacağını öğreniyoruz.

Bilgilendirilmiş Şifre Yöneticisi Seçimi Yap

Şimdi biliyorsunuz - güçlü, rasgele şifreler üretmedeki en önemli faktör onları uzun yapmaktır. Bazı şifre üreticileri tüm karakter kümelerini içermeyen şifreleri, bazıları gömülü sözlük kelimelerini içerenleri reddeder, bazıları küçük l ve basamak 1 gibi belirsiz karakterleri içeren şifreleri reddeder. Tüm bu kısıtlamalar olası şifreler havuzunu sınırlar, ancak uzunluk yeterince yüksek, bu sınırlama sadece önemli değil.

Elbette, teorik olarak (pratik olmasa bile), bazı erkek faktörlerin en sevdiğiniz şifre yöneticisinin şifre oluşturma şemasını kırması ve böylece size sunduğu sahte rastgele şifreleri tahmin etme yeteneği kazanması mümkün. Gölgeli bir şifre yöneticisi programı, rastgele şifrelerinizi şirket merkezine geri gönderebilir. Bu gerçekten tinfoil şapka paranoya endişe düzeyinde. Ancak, rastgele şifreleriniz için gerçekten başka birine güvenmek istemiyorsanız, Excel'de kendi rastgele şifre üreticinizi oluşturabilirsiniz.