Mật khẩu được tạo ngẫu nhiên có an toàn không?

Các ứng dụng như Roboform cho phép tạo mật khẩu ngẫu nhiên. Có thể có những chương trình hacker thông minh và biết cách tạo mật khẩu hoạt động cho phép chúng bẻ khóa mật khẩu dễ dàng hơn? Có lẽ họ biết một số mô hình?

Ngoài ra, bạn nghĩ gì về LastPass? Mật khẩu của bạn được lưu trữ trên đám mây ở đâu đó. Ai biết điều gì có thể xảy ra ở đó ... Quản trị viên có thể tò mò hoặc tin tặc có thể hack đám mây.

Có lẽ. Đó là ngẫu nhiên, nó có thể đi ra như password1!

Hay chính xác hơn là Có, chúng an toàn . Họ không thực sự là giả danh (Hoặc ít nhất, bất kỳ trình tạo tốt nào, như bạn tìm thấy trong một ứng dụng quản lý mật khẩu phù hợp), nhưng tuân theo các quy tắc được thiết kế để tạo mật khẩu không ngẫu nhiên, nhưng rất khó đoán.

Bẻ khóa mật khẩu là một điều đã biết, có thể dự đoán được và bạn có thể sử dụng nó để tạo mật khẩu có hiệu quả trong việc chống lại nó. Không phải từ trong từ điển, dài, có ký hiệu, cả hai trường hợp chữ, số, v.v. Tạo một mật khẩu sẽ khiến một cỗ máy hiện đại mất vài triệu năm để bẻ khóa không phải là một thách thức khó khăn - bởi vì trong khi những người viết các cracker biết máy phát điện hoạt động như thế nào, thì những người viết máy phát điện cũng biết cách các cracker hoạt động.

Đối với Lastpass, theo như tôi biết, hộp chứa mật khẩu của bạn được mã hóa và giải mã cục bộ, vì vậy rất, rất ít khả năng điều đó bị xâm phạm. Thật không may, bạn không thể sử dụng Lastpass để bảo vệ container cuối cùng của mình, vì vậy bạn sẽ phải dựa vào các kỹ năng tạo mật khẩu của riêng mình để ghi nhớ cái đó!

Tôi là tác giả của trang tạo mật khẩu ngẫu nhiên http://passwordcreator.org . Đây là những gì tôi học được trong quá trình tạo trang web đó về việc tạo mật khẩu ngẫu nhiên an toàn:

Nguồn ngẫu nhiên

Hầu hết các trình tạo số ngẫu nhiên trên máy tính là psuedorandom. Chúng dựa trên các thuật toán và không thích hợp để tạo mật khẩu. Họ thường được gieo hạt với thời gian hiện tại. Nếu một phần thông tin được biết (hoặc có thể đoán được), có thể sao chép đầu ra của chúng và xem mật khẩu sẽ được tạo.

Để tạo mật khẩu, nên sử dụng trình tạo số giả ngẫu nhiên an toàn bằng mật mã (CPRNG) . Từ Wikipedia, hai yêu cầu của loại trình tạo số ngẫu nhiên này là:

• với các bit k đầu tiên của chuỗi ngẫu nhiên, không có thuật toán đa thức thời gian nào có thể dự đoán bit (k + 1) với xác suất thành công tốt hơn 50%.
• Trong trường hợp một phần hoặc toàn bộ trạng thái của nó đã được tiết lộ (hoặc đoán chính xác), không thể xây dựng lại dòng số ngẫu nhiên trước khi tiết lộ. Ngoài ra, nếu có một đầu vào entropy trong khi chạy, việc sử dụng kiến ​​thức về trạng thái của đầu vào để dự đoán các điều kiện trong tương lai của trạng thái CSPRNG là không khả thi.

Các trình duyệt web hiện đại (ngoại trừ đáng chú ý là Internet Explorer) hiện có API mã hóa có sẵn cho JavaScript có trình tạo số ngẫu nhiên an toàn bằng mật mã . Điều này giúp các trang web như của tôi dễ dàng tạo mật khẩu duy nhất và không thể đoán được dựa trên việc biết khi nào và nơi chúng được tạo.

Độ dài mật khẩu

Một cuộc tấn công phổ biến chống lại mật khẩu là để kẻ tấn công truy cập vào cơ sở dữ liệu nơi mật khẩu được mã hóa (băm) được lưu trữ. Kẻ tấn công sau đó có thể tạo ra các dự đoán, băm các dự đoán bằng thuật toán băm tương tự và xem liệu chúng có nhận được bất kỳ kết quả khớp nào không. Đây là một bài viết chỉ ra có bao nhiêu mật khẩu dễ bị tấn công như vậy. Máy tính hiện đủ mạnh để những kẻ tấn công được biết là thử 100 tỷ mật khẩu mỗi giây. Các máy tính của quân đội và gián điệp bí mật có thể có thể thực hiện các mệnh lệnh lớn hơn.

Từ quan điểm thực tế, điều đó có nghĩa là mật khẩu cần phải được chọn từ một nhóm các khả năng. 96 ký tự có thể được gõ trên bàn phím chỉ có thể tạo ra bốn triệu khả năng bằng mật khẩu tám ký tự. Để được bảo mật, mật khẩu phải dài hơn ngày hôm nay so với trước đây. Máy tính sẽ trở nên mạnh hơn trong tương lai và bạn có thể muốn chọn mật khẩu thậm chí dài hơn những gì bạn có thể cần để cảm thấy an toàn ngày hôm nay để chúng không thể bị bẻ khóa dễ dàng trong tương lai. Tôi muốn giới thiệu ít nhất độ dài 10 cho mật khẩu ngẫu nhiên dựa trên 96 ký tự có thể, nhưng sử dụng độ dài 12 hoặc 14 sẽ tốt hơn nhiều cho bảo mật trong tương lai.

Nếu các tham số của thói quen tạo mật khẩu hoàn toàn độc lập với bối cảnh mật khẩu được tạo cho (ví dụ: nó không yêu cầu url trang web và tên đăng nhập và bao gồm dữ liệu này theo cách lặp lại trong khi tạo mật khẩu) người ta có thể tương đối chắc chắn rằng bất kỳ mật khẩu nào được tạo bởi thói quen này sẽ đủ mạnh (với độ dài và độ phức tạp phù hợp).

Nếu bất kỳ máy nào liên quan đến kịch bản trên bị buộc tội theo bất kỳ cách nào thì chắc chắn rằng mật khẩu có thể cung cấp bất kỳ mức độ bảo mật nào đều có thể bị giảm.