Hur man använder en slumpmässig lösenordgenerator

Lösenord är fruktansvärda. Om du använder ett svagt lösenord för din bankwebbplats riskerar du att förlora dina medel till en sprickkraftsattack. Men om du gör lösenordet för slumpmässigt kanske du glömmer det och blir låst ur kontot. Du kanske väljer att memorera bara ett komplext lösenord och använda det överallt, men om du gör det avslöjar ett intrång på en webbplats alla dina konton. Din enda rimliga kurs är att få hjälp av en lösenordshanterare och ändra alla dina svaga och duplicerade lösenord till unika, slumpmässiga strängar med tecken.

Nästan varje lösenordshanterare har en komponent för lösenordgenerator, så du behöver inte ta med de slumpmässiga lösenorden själv. (Men om du vill ha en gör-det-själv-lösning, visar vi dig hur du bygger din egen slumpmässiga lösenordgenerator). Men inte alla lösenordgeneratorer skapas lika. När du vet hur de fungerar kan du välja den som är bäst för dig och använda den du har på ett intelligent sätt.

Lösenordgeneratorer - slumpmässigt eller inte?

När du kastar ett par tärningar får du ett riktigt slumpmässigt resultat. Ingen kan förutsäga om du får ormögon, boxkar eller lyckosju. Men på datorområdet är fysiska randomiserare som tärningar inte tillgängliga. Ja, det finns några slumpmässiga antal källor baserade på radioaktivt förfall, men du hittar inte dessa i den genomsnittliga lösenordshanteraren för konsumenten.

Lösenordshanterare och andra datorprogram använder det som kallas en pseudo-slumpmässig algoritm. Denna algoritm börjar med ett nummer som kallas ett frö. Algoritmen bearbetar fröet och får ett nytt nummer utan spårbar anslutning till det gamla, och det nya numret blir nästa utsäde. Det ursprungliga fröet dyker aldrig upp förrän vartannat nummer har kommit upp. Om fröet var ett 32-bitars heltal betyder det att algoritmen skulle gå igenom 4 294 967 295 andra siffror innan en upprepning.

Detta är bra för vardagligt bruk och är bra för de flesta människors lösenordgenerering. Det är dock teoretiskt möjligt för en skicklig hackare att bestämma den pseudo-slumpmässiga algoritmen som används. Med tanke på den informationen och fröet kunde hackaren tänkbart replikera sekvensen med slumpmässiga nummer (även om det skulle vara svårt).

Den typen av riktad hacking är utomordentligt osannolik, utom i en dedikerad nationstatsattack eller företagsspionage. Om du är föremål för en sådan attack kan din säkerhetssvit förmodligen inte skydda dig; lyckligtvis är du nästan säkert inte målet för den här typen av cyberespionage.

Trots det arbetar några lösenordshanterare aktivt för att eliminera till och med fjärrmöjligheten för en sådan fokuserad attack. Genom att integrera dina egna musrörelser eller slumpmässiga karaktärer i den slumpmässiga algoritmen får de ett verkligt slumpmässigt resultat. Bland de som erbjuder denna verkliga randomisering är AceBIT Password Depot, KeePass och Steganos Password Manager. Skärmdumpen visar Password Depots matrix-stil randomiserare; ja, tecken tappar när du flyttar musen.

Behöver du verkligen lägga till randomisering i verkligheten? Antagligen inte. Men om det gör dig lycklig, gå efter det!

Lösenordshanterare minskar slumpmässigheten

Naturligtvis returnerar lösenordgeneratorer bokstavligen inte slumpmässiga nummer. Snarare returnerar de en sträng tecken med slumpmässiga siffror för att välja bland de tillgängliga teckenuppsättningarna. Du bör alltid aktivera användning av alla tillgängliga teckenuppsättningar, såvida du inte genererar ett lösenord för en webbplats som till exempel inte tillåter specialtecken.

Poolen med tillgängliga tecken innehåller 26 versaler, 26 små bokstäver och 10 siffror. Det innehåller också en samling specialtecken som kan variera från produkt till produkt. För enkelhetens skull, låt oss säga att det finns 18 specialtecken tillgängliga. Det gör en fin runda totalt 80 tecken att välja mellan. I ett helt slumpmässigt lösenord finns det 80 möjligheter för varje tecken. Om du väljer ett åtta-karakterslösenord är antalet möjligheter 80 till åttonde makten, eller 1 677 721 600 000 000 - mer än en kvadrillion. Det är tufft slogging för en spräckkraft-krackningsattack och gissning av brute-force är verkligen det enda sättet att knäcka ett riktigt slumpmässigt lösenord.

Naturligtvis kommer en helt slumpmässig generator så småningom att producera "aaaaaaaa" och "Covfefe!" och "12345678", eftersom dessa är lika troliga som någon annan sekvens av åtta tecken. Vissa lösenordgeneratorer filtrerar aktivt sin utgång för att undvika sådana lösenord. Det är bra, men om en hacker vet om dessa filter, minskar det faktiskt antalet möjligheter och underlättar sprickkraften.

Här är ett extremt exempel. Det finns 40 960 000 lösenord med fyra tecken som kan komma från en samling av 80 tecken. Men vissa lösenordgeneratorer tvingar val av minst en från varje typ av karaktär, och som skär ner möjligheterna drastiskt. Det finns fortfarande 80 möjligheter för den första karaktären. Anta att det är en stor bokstav; poolen för det andra tecknet är 54 (80 minus de 26 stora tecknen). Anta vidare att det andra tecknet är en liten bokstav. För det tredje tecknet återstår bara siffror och specialtecken för 28 val. Och om det tredje tecknet är skiljetecken måste den sista vara en siffra, 10 val. Våra 40 miljoner möjligheter sjunker till 1 209 600.

Att använda alla teckenuppsättningar är en nödvändighet för många webbplatser. För att undvika att låta det kravet krympa din lösenordspool, ställ in lösenordslängden hög. När lösenordet är tillräckligt länge blir effekten av att tvinga alla teckentyper försumbar.

Andra gränser som lösenordshanterare tillämpar reducerar poolen av möjliga lösenord i onödan. Till exempel anger RememBear Premium det exakta antalet tecken från var och en av de fyra teckenuppsättningarna, vilket drastiskt minskar poolen. Som standard kräver det två stora bokstäver, två siffror, 14 små bokstäver och inga symboler för totalt 18 tecken. Detta resulterar i en lösenordspool som är hundratals miljoner gånger mindre än om den helt enkelt krävde en eller flera av varje karaktärstyp. Här igen kan du kompensera problemet genom att ställa in en längre lösenordslängd.

LastPass och flera andra vill undvika tvetydiga teckenpar som siffran 0 och bokstaven O. När du inte behöver komma ihåg lösenordet är detta inte nödvändigt; stäng av det här alternativet. På samma sätt väljer du inte alternativet att generera ett uttalbart lösenord som "entlestmospa". Det här alternativet är bara viktigt om det är ett lösenord du måste komma ihåg. Att tillämpa detta alternativ begränsar dig inte bara till små bokstäver, det avvisar det stora antalet möjligheter som lösenordsgeneratorn anser vara obestämbar.

Generera långa lösenord

Som vi har sett väljer inte nödvändigtvis lösenordsgeneratorer från poolen med alla möjliga lösenord som matchar längden och teckenuppsättningarna du valt. I det extrema exemplet på ett lösenord med fyra tecken med alla teckenuppsättningar visas ungefär 97 procent av eventuella lösenord med fyra tecken. Lösningen är enkel; gå långt! Du behöver inte komma ihåg dessa lösenord, så de kan vara enorma. Åtminstone lika enormt som webbplatsen i fråga accepterar; vissa sätter gränser.

Ju större sökutrymmet (vad jag har kallat poolen med tillgängliga lösenord), desto längre tid tar det en brute force-attack att hända med ditt lösenord. Du kan spela med Password Haystack Calculator (som i, nål i en höstack) på Gibson Research-webbplatsen för att få en känsla för längden.

Ange bara ett lösenord för att se hur lång tid det skulle ta att spricka. (Webbplatsen lovar "INGENTING du gör här någonsin lämnar din webbläsare. Vad som händer här, stannar här." Men försiktighet tyder på att du undviker att använda dina faktiska lösenord). Ett lösenord med fyra tecken som 1eA och det tar inte en dag att knäcka, om hackaren måste skicka gissningar online. Men i ett offline-scenario, där hackaren kan prova gissningar i hög hastighet, är spricktiden en bråkdel av en sekund.

I min artikel om att skapa minnesvärda starka lösenord (för saker som en lösenordshanterares huvudlösenord) föreslår jag en mnemonisk teknik som omvandlar en rad från en dikt eller ett spel till ett slumpmässigt utseende lösenord. Till exempel blev en rad från Romeo och Juliet, Act 2, Scene 2, "bS, wLtYdWdB? A2S2". Detta är inte ett slumpmässigt lösenord, men en cracker vet inte det. När vi tappar den i Gibsons kalkylator får vi veta att även med en massiv sprickuppsättning skulle det ta 1, 41 hundra miljoner århundraden för att brute-force den här.

Gör ett informerat val av lösenordshanterare

Så nu vet du - den viktigaste faktorn för att skapa starka slumpmässiga lösenord är att göra dem långa. Vissa lösenordgeneratorer avvisar lösenord som inte innehåller alla teckenuppsättningar, vissa avvisar de med inbäddade ordbok, vissa kasserar lösenord som innehåller tvetydiga tecken som små l och siffror 1. Alla dessa begränsningar begränsar poolen med möjliga lösenord, men när längden är tillräckligt hög, denna begränsning spelar bara ingen roll.

Naturligtvis är det teoretiskt (om inte praktiskt) möjligt att någon malefaktor kan hacka lösenordsgenereringsschemat för din favoritlösenordshanterare och därmed få förmågan att förutsäga de pseudo-slumpmässiga lösenord som det kommer att erbjuda dig. Ett skuggigt lösenordshanteringsprogram kan skicka dina slumpmässiga lösenord tillbaka till företagets huvudkontor. Detta är verkligen i den paranoia nivån av tinano-bekymmer. Men om du verkligen inte vill lita på någon annan för dina slumpmässiga lösenord kan du skapa din egen slumpmässiga lösenordgenerator i Excel.