Sådan bruges en tilfældig generatoradgangskode

Adgangskoder er forfærdelige. Hvis du bruger en svag adgangskode til dit bankwebsted, risikerer du at miste dine midler til et brute-force krakningsangreb. Men hvis du gør adgangskoden for tilfældig, kan du muligvis glemme den og blive låst ud af kontoen. Du kan vælge at huske kun et komplekst kodeord og bruge det overalt, men hvis du gør det, udsættes et brud på et sted alle dine konti. Dit eneste fornuftige kursus er at få hjælp fra en adgangskodeadministrator og ændre alle dine svage og duplikate adgangskoder til unikke, tilfældige strenge af tegn.

Næsten hver passwordadministrator inkluderer en adgangskodegeneratorkomponent, så du behøver ikke at komme med disse tilfældige adgangskoder selv. (Men hvis du vil have en gør-det-selv-løsning, viser vi dig, hvordan du bygger din egen tilfældige kodeordgenerator). Imidlertid oprettes ikke alle adgangskodegeneratorer lige. Når du ved, hvordan de fungerer, kan du vælge den, der er bedst for dig, og bruge den, du har intelligent.

Adgangskodegeneratorer - Tilfældig eller ikke?

Når du kaster et par terninger, får du et virkelig tilfældigt resultat. Ingen kan forudsige, om du får slangeøje, boxcars eller en heldig syv. Men i computerområdet er fysiske randomisatorer som terninger ikke tilgængelige. Ja, der er et par tilfældige antal kilder, der er baseret på radioaktivt henfald, men du finder dem ikke i den gennemsnitlige adgangskodehåndtering på forbrugersiden.

Adgangskodeadministratorer og andre computerprogrammer bruger det, der kaldes en pseudo-tilfældig algoritme. Denne algoritme starter med et tal kaldet et frø. Algoritmen behandler frøet og får et nyt nummer uden sporbar forbindelse til det gamle, og det nye nummer bliver det næste frø. Det originale frø dukker aldrig op igen, før hvert andet nummer er kommet op. Hvis frøet var et 32-bit heltal, betyder det, at algoritmen ville løbe gennem 4.294.967.295 andre numre inden en gentagelse.

Dette er fint til daglig brug og fint for de fleste menneskers adgangskodegenerationsbehov. Imidlertid er det teoretisk muligt for en dygtig hacker at bestemme den anvendte pseudo-tilfældige algoritme. I betragtning af denne information og frøet kunne hacker tænkeligt gentage sekvensen af ​​tilfældige tal (skønt det ville være vanskeligt).

Den slags direkte hacking er usædvanligt usandsynligt, undtagen i et dedikeret nationstatsangreb eller virksomhedsspionage. Hvis du er genstand for et sådant angreb, kan din sikkerhedspakke sandsynligvis ikke beskytte dig; heldigvis er du næsten bestemt ikke målet for denne slags cyberespionage.

Alligevel arbejder et par adgangskodeadministratorer aktivt for at eliminere endda den fjerne mulighed for et sådant fokuseret angreb. Ved at inkorporere dine egne musebevægelser eller tilfældige tegn i den tilfældige algoritme opnår de et virkelig tilfældigt resultat. Blandt dem, der tilbyder denne virkelige verden randomisering er AceBIT Password Depot, KeePass og Steganos Password Manager. Skærmbillede viser Password Depots matrix-stil randomizer; ja, tegnene falder, mens du bevæger musen.

Har du virkelig brug for at tilføje den virkelige verden randomisering? Sikkert ikke. Men hvis det gør dig glad, så gå efter det!

Adgangskodeadministratorer reducerer tilfældighed

Naturligvis returnerer kodeordgeneratorer ikke bogstaveligt talt tilfældige tal. Snarere returnerer de en streng med tegn ved hjælp af tilfældige tal til at vælge fra de tilgængelige tegnsæt. Du skal altid aktivere brug af alle tilgængelige tegnsæt, medmindre du genererer en adgangskode til et websted, som f.eks. Ikke tillader specialtegn.

Puljen med tilgængelige tegn inkluderer 26 store bogstaver, 26 små bogstaver og 10 cifre. Det inkluderer også en samling specialtegn, der kan variere fra produkt til produkt. Lad os sige, at der er 18 specialtegn tilgængelige for enkelhed. Det gør en dejlig runde i alt 80 karakterer at vælge imellem. I en helt tilfældig adgangskode er der 80 muligheder for hvert tegn. Hvis du vælger en adgangskode med otte tegn, er antallet af muligheder 80 til den ottende magt, eller 1.677.721.600.000.000 - mere end en quadrillion. Det er hårdt slogging for et brute-force krakningsangreb, og brute-force gætte er virkelig den eneste måde at knække et virkelig tilfældigt kodeord.

Selvfølgelig vil en totalt tilfældig generator til sidst producere "aaaaaaaa" og "Covfefe!" og "12345678", da disse er lige så sandsynlige som enhver anden sekvens på otte tegn. Nogle adgangskodegeneratorer filtrerer aktivt deres output for at undgå sådanne adgangskoder. Det er fint, men hvis en hacker kender til disse filtre, reducerer den faktisk antallet af muligheder og gør brugen af ​​kraftspænding lettere.

Her er et ekstremt eksempel. Der er 40.960.000 mulige adgangskoder til fire tegn, der tegner fra en samling af 80 tegn. Men nogle adgangskodegeneratorer tvinger valg af mindst en fra hver type karakter, og det barberer mulighederne drastisk. Der er stadig 80 muligheder for den første karakter. Antag, at det er et stort bogstav; puljen til det andet tegn er 54 (80 minus de 26 store bogstaver). Antag endvidere, at det andet tegn er et lille bogstav. For det tredje tegn er der kun cifre og specialtegn tilbage for 28 valg. Og hvis det tredje tegn er tegnsætning, skal det sidste være et ciffer, 10 valg. Vores 40 millioner muligheder aftager til 1.209.600.

Brug af alle tegnsæt er en nødvendighed for mange websteder. For at undgå at lade dette krav krympe din adgangskodepool, skal du indstille adgangskodelængden høj. Når adgangskoden er lang nok, bliver effekten af ​​at tvinge alle karaktertyper ubetydelig.

Andre grænser, som passwordadministratorer anvender, reducerer unødvendigt poolen af ​​mulige adgangskoder. For eksempel specificerer RememBear Premium det præcise antal tegn fra hvert af de fire tegnsæt, hvilket drastisk reducerer puljen. Som standard kræver det to store bogstaver, to cifre, 14 små bogstaver og ingen symboler for i alt 18 tegn. Dette resulterer i en adgangskodepulje, der er hundreder af millioner gange mindre, end hvis den blot krævede en eller flere af hver karaktertype. Her igen kan du opveje dette problem ved at indstille en højere adgangskodelængde.

LastPass og flere andre standarder at undgå tvetydige karakterpar som cifferet 0 og bogstavet O. Når du ikke behøver at huske adgangskoden, er dette ikke nødvendigt; slå denne mulighed fra. Ligeledes skal du ikke vælge muligheden for at generere en udtegnelig adgangskode som "entlestmospa". Denne mulighed er kun vigtig, hvis det er en adgangskode, du skal huske. Anvendelse af denne mulighed begrænser dig ikke kun til små bogstaver, men afviser det store antal muligheder, som kodeordgeneratoren anser for at være ubeskrivelig.

Generer lange adgangskoder

Som vi har set, vælger kodeordgeneratorer ikke nødvendigvis fra puljen af ​​alle mulige adgangskoder, der matcher den valgte længde og tegnsæt. I det ekstreme eksempel på en adgangskode til fire tegn, der bruger alle tegnsæt, vises cirka 97 procent af mulige adgangskoder til fire tegn aldrig. Løsningen er enkel; gå lang! Du behøver ikke at huske disse adgangskoder, så de kan være enorme. I det mindste så enormt, som det pågældende websted accepterer; nogle sætter grænser.

Jo større søgepladsen (hvad jeg har kaldt puljen med tilgængelige adgangskoder), jo længere vil det tage et brute force-angreb for at ske efter dit kodeord. Du kan lege med Password Haystack Calculator (som i, nål i en høstak) på Gibson Research-webstedet for at få en fornemmelse af længden.

Indtast bare en adgangskode for at se, hvor lang tid det vil tage at revne. (Webstedet lover "INGENTING du gør her nogensinde forlader din browser. Hvad der sker her, forbliver her." Men forsigtighed antyder, at du undgår at bruge dine faktiske adgangskoder). En adgangskode med fire tegn som 1eA og det tager ikke helt en dag at knække, hvis hackeren skal sende gætte online. Men i et offline-scenarie, hvor hackeren kan prøve gætte i høj hastighed, er krakketiden en brøkdel af et sekund.

I min artikel om oprettelse af mindeværdige stærke adgangskoder (til ting som en password manager's hovedadgangskode) foreslår jeg en mnemonisk teknik, der omdanner en linje fra et digt eller et spil til et tilfældigt udseende kodeord. For eksempel blev en linje fra Romeo og Juliet, akt 2, scene 2, "bS, wLtYdWdB? A2S2". Dette er ikke en tilfældig adgangskode, men en cracker ved ikke det. At droppe det ned i Gibsons lommeregner lærer vi, at selv ved hjælp af et massivt krakningsarray ville det tage 1.41 hundrede millioner århundreder at brute-force denne.

Lav et informeret passwordadministratorvalg

Så nu ved du - den vigtigste faktor i at generere stærke, tilfældige adgangskoder er at gøre dem lange. Nogle adgangskodegeneratorer afviser adgangskoder, der ikke indeholder alle tegnsæt, nogle afviser dem med indlejrede ordbogsord, nogle kasserer adgangskoder, der indeholder tvetydig karakter som lille l og ciffer 1. Alle disse begrænsninger begrænser puljen af ​​mulige adgangskoder, men når længden er høj nok, denne begrænsning betyder bare ikke noget.

Naturligvis er det teoretisk (hvis ikke praktisk) muligt, at en eller anden ondskabsfuldmand muligvis kan hacke kodeordgenereringsskemaet for din foretrukne adgangskodeadministrator og derved få evnen til at forudsige de pseudo-tilfældige adgangskoder, det vil tilbyde dig. Et skyggefuldt password-manager-program kunne sende dine tilfældige adgangskoder tilbage til virksomhedens hovedkvarter. Dette er virkelig i tinfoil-hat paranoia niveau af bekymring. Men hvis du virkelig ikke ønsker at stole på en anden til dine tilfældige adgangskoder, kan du oprette din egen tilfældige kodeordgenerator i Excel.