Czy hasła generowane losowo są bezpieczne?

8

Aplikacje takie jak Roboform, które umożliwiają generowanie losowego hasła. Może istnieją programy hakerów, które są inteligentne i wiedzą, jak działają generatory haseł, co pozwala im łatwiej łamać hasła? Może znają jakiś wzór?

Co sądzisz o LastPass? Twoje hasła są gdzieś przechowywane w chmurze. Kto wie, co może się tam zdarzyć ... Administratorzy mogą się zaciekawić lub hakerzy mogą zhakować chmurę.

Boris_yo
źródło
Losowe hasło musi spełniać te same wytyczne, co każde hasło. SuperUser ma pytanie dotyczące rekomendacji haseł - superuser.com/questions/15388/...
dvin

Odpowiedzi:

8

Prawdopodobnie. Jest losowy, może wyjść jak password1!

Lub dokładniej: Tak, są bezpieczne . Nie są to tak naprawdę pseudolosowe (a przynajmniej jakikolwiek dobry generator, jaki można znaleźć we właściwej aplikacji do zarządzania hasłami), ale przestrzegają zasad zaprojektowanych do tworzenia haseł, które nie są losowe, ale bardzo trudne do odgadnięcia.

Łamanie haseł jest znaną i przewidywalną rzeczą, której można używać do tworzenia haseł, które skutecznie się jej opierają. Nie słowniki, długie, z symbolami, oba przypadki liter, cyfr i tak dalej. Wygenerowanie hasła, które złamałoby nowoczesną maszynę kilka milionów lat, nie jest trudnym wyzwaniem - ponieważ ludzie piszący krakersy wiedzą, jak działa generator, ludzie piszący generator wiedzą, jak działają krakersy.

Jeśli chodzi o lastpass, o ile wiem, twój kontener haseł jest szyfrowany i odszyfrowywany lokalnie, więc bardzo mała szansa na to, że kiedykolwiek zostanie to naruszone. Niestety, nie możesz użyć lastpass do ochrony swojego kontenera lastpass, więc będziesz musiał polegać na własnych umiejętnościach generowania hasła, aby zapamiętać ten!

Phoshi
źródło
3

Jestem autorem strony generującej losowe hasła http://passwordcreator.org . Oto, czego nauczyłem się podczas tworzenia tej witryny na temat tworzenia bezpiecznych losowych haseł:

Losowe źródło

Większość generatorów liczb losowych na komputerach jest psuedorandom. Opierają się na algorytmach i nie są odpowiednie do generowania haseł. Zazwyczaj są one zaszczepione bieżącym czasem. Jeśli ta jedna informacja jest znana (lub można ją odgadnąć), możliwe jest odtworzenie ich wyników i zobaczenie wygenerowanych haseł.

Aby wygenerować hasło, należy użyć kryptograficznie bezpiecznego generatora liczb pseudolosowych (CPRNG) . Z Wikipedii dwa wymagania tego typu generatora liczb losowych to:

  • biorąc pod uwagę pierwsze k bitów losowej sekwencji, nie ma algorytmu wielomianowego, który mógłby przewidzieć (k + 1) bit z prawdopodobieństwem sukcesu większym niż 50%.
  • W przypadku ujawnienia części lub całości jej stanu (lub prawidłowego odgadnięcia) odtworzenie strumienia liczb losowych przed objawieniem powinno być niemożliwe. Ponadto, jeśli podczas działania istnieje wejście entropii, wykorzystanie wiedzy o stanie wejścia do prognozowania przyszłych warunków stanu CSPRNG powinno być niewykonalne.

Nowoczesne przeglądarki internetowe (z godnym uwagi wyjątkiem Internet Explorer) mają teraz dostępne w JavaScript JavaScript do szyfrowania, które ma kryptograficznie bezpieczny generator liczb losowych . Ułatwia to stronom takim jak moje generowanie haseł, które są unikalne i nie można ich zgadnąć na podstawie wiedzy o tym, kiedy i gdzie zostały wygenerowane.

Długość hasła

Częstym atakiem na hasła jest atakujący w celu uzyskania dostępu do bazy danych, w której przechowywane są zaszyfrowane (zaszyfrowane) hasła. Atakujący może następnie generować domysły, mieszać domysły za pomocą tego samego algorytmu haszującego i sprawdzać, czy dostaną jakieś dopasowania. Oto artykuł pokazujący, ile haseł jest podatnych na taki atak. Komputery są teraz na tyle potężne, że atakujący znają się na próbowaniu 100 miliardów haseł na sekundę. Tajne komputery agentów wojskowych i agencji szpiegowskich mogą być w stanie wykonywać większe zamówienia.

Z praktycznego punktu widzenia oznacza to, że hasło należy wybrać z puli kwintillionów możliwości. 96 znaków, które można wpisać na klawiaturze, może wygenerować kwadryliony możliwości przy użyciu ośmioznakowego hasła. Aby być bezpiecznym, hasła muszą być dziś dłuższe niż kiedykolwiek w przeszłości. Komputery staną się mocniejsze w przyszłości i możesz wybrać hasła, które są nawet dłuższe niż to, czego możesz potrzebować, aby czuć się dziś bezpiecznie, aby nie można było ich łatwo złamać w przyszłości. Polecam przynajmniej 10 dla losowych haseł opartych na 96 możliwych znakach, ale użycie długości 12 lub 14 byłoby znacznie lepsze dla przyszłego bezpieczeństwa.

Stephen Ostermiller
źródło
0

Jeśli parametry itake procedury generowania hasła są całkowicie niezależne od kontekstu, dla którego hasło jest generowane (na przykład: nie pyta o adres URL strony internetowej i nazwę logowania i dołącz te dane w sposób powtarzalny podczas generowania hasła) można być względnie pewnym, że każde hasło wygenerowane przez tę procedurę będzie wystarczająco silne (biorąc pod uwagę odpowiednią długość i złożoność).

Jeśli którakolwiek z maszyn biorących udział w powyższym scenariuszu zostanie w jakikolwiek sposób skompromitowana, pewność, że hasło może zapewnić dowolny poziom bezpieczeństwa, może zostać zmniejszona.

Frederick
źródło