วิธีการใช้เครื่องสร้างรหัสผ่านแบบสุ่ม

รหัสผ่านแย่มาก หากคุณใช้รหัสผ่านที่อ่อนแอสำหรับเว็บไซต์ธนาคารของคุณคุณมีความเสี่ยงที่จะสูญเสียเงินทุนของคุณจากการโจมตีที่รุนแรง แต่ถ้าคุณสร้างรหัสผ่านสุ่มเกินไปคุณอาจลืมรหัสผ่านและล็อคออกจากบัญชี คุณอาจเลือกที่จะจดจำรหัสผ่านที่ซับซ้อนเพียงรหัสเดียวและใช้งานได้ทุกที่ แต่หากคุณทำเช่นนั้นการละเมิดที่ไซต์เดียวจะเปิดเผยบัญชีทั้งหมดของคุณ หลักสูตรที่เหมาะสมเพียงอย่างเดียวของคุณคือการขอความช่วยเหลือจากผู้จัดการรหัสผ่านและเปลี่ยนรหัสผ่านที่อ่อนแอและซ้ำทั้งหมดของคุณให้เป็นสตริงอักขระแบบสุ่มและไม่ซ้ำกัน

ผู้จัดการรหัสผ่านเกือบทุกคนมีส่วนประกอบเครื่องกำเนิดรหัสผ่านดังนั้นคุณไม่ต้องคิดรหัสผ่านเหล่านั้นด้วยตัวเอง (แต่ถ้าคุณ ต้องการ วิธีแก้ปัญหาด้วยตนเองเราจะแสดงวิธีสร้างตัวสร้างรหัสผ่านแบบสุ่มของคุณเอง) อย่างไรก็ตามเครื่องกำเนิดรหัสผ่านทั้งหมดจะไม่ถูกสร้างขึ้นเท่ากัน เมื่อคุณรู้ว่ามันทำงานอย่างไรคุณสามารถเลือกสิ่งที่ดีที่สุดสำหรับคุณและใช้สิ่งที่คุณมีอย่างชาญฉลาด

รหัสผ่านกำเนิด - สุ่มหรือไม่?

เมื่อคุณโยนลูกเต๋าคู่หนึ่งคุณจะได้รับผลการสุ่มอย่างแท้จริง ไม่มีใครสามารถทำนายได้ว่าคุณจะได้ตางู, รถตู้หรือเจ็ดคนที่โชคดี แต่ในขอบเขตของคอมพิวเตอร์เครื่องสุ่มแบบฟิสิคัลอย่างลูกเต๋าไม่สามารถใช้ได้ ใช่มีแหล่งที่มาของตัวเลขสุ่มสองสามตัวจากการสลายตัวของสารกัมมันตรังสี แต่คุณจะไม่พบสิ่งเหล่านี้ในตัวจัดการรหัสผ่านด้านผู้บริโภคโดยเฉลี่ย

ตัวจัดการรหัสผ่านและโปรแกรมคอมพิวเตอร์อื่น ๆ ใช้สิ่งที่เรียกว่าอัลกอริทึมแบบหลอกเทียม อัลกอริทึมนี้เริ่มต้นด้วยจำนวนที่เรียกว่าเมล็ด อัลกอริทึมจะประมวลผลเมล็ดพืชและรับหมายเลขใหม่โดยไม่มีการเชื่อมต่อที่ตรวจสอบย้อนกลับไปยังหมายเลขเก่าและหมายเลขใหม่จะกลายเป็นเมล็ดพันธุ์ถัดไป เมล็ดพันธุ์ดั้งเดิมจะไม่ปรากฏขึ้นอีกจนกว่าจำนวนอื่น ๆ จะเกิดขึ้น หากเมล็ดนั้นเป็นจำนวนเต็ม 32 บิตนั่นหมายความว่าอัลกอริทึมจะทำงานผ่านหมายเลขอื่น ๆ 4, 294, 967, 295 ก่อนทำซ้ำ

นี่เป็นสิ่งที่ดีสำหรับการใช้งานในชีวิตประจำวันและใช้ได้กับความต้องการการสร้างรหัสผ่านของคนส่วนใหญ่ อย่างไรก็ตามเป็นไปได้ในทางทฤษฎีสำหรับแฮ็กเกอร์ที่มีทักษะในการกำหนดอัลกอริทึมแบบหลอกเทียมที่ใช้ จากข้อมูลและเมล็ดพันธุ์แฮ็กเกอร์สามารถทำซ้ำลำดับของตัวเลขสุ่ม (แม้ว่ามันจะเป็นเรื่องยาก)

การแฮ็คโดยตรงนั้นไม่น่าเป็นไปได้ยกเว้นในการโจมตีโดยรัฐชาติโดยเฉพาะหรือการจารกรรมของ บริษัท หากคุณเป็นหัวข้อของการโจมตีดังกล่าวชุดความปลอดภัยของคุณอาจไม่สามารถปกป้องคุณได้ โชคดีที่คุณไม่ได้ตกเป็นเป้าหมายของการโจมตีทางไซเบอร์แบบนี้

ถึงกระนั้นผู้จัดการรหัสผ่านไม่กี่คนก็ทำงานอย่างแข็งขันเพื่อกำจัดแม้กระทั่งความเป็นไปได้จากระยะไกลของการโจมตีที่มุ่งเน้น โดยการรวมการเคลื่อนไหวของเมาส์ของคุณเองหรือตัวอักษรแบบสุ่มเข้าไปในอัลกอริทึมแบบสุ่มพวกมันจะได้ผลลัพธ์แบบสุ่มอย่างแท้จริง ในบรรดาผู้ที่เสนอการสุ่มตัวอย่างในโลกแห่งความจริงนี้คือคลังรหัสผ่าน AceBIT, KeePass และ Steganos Password Manager สกรีนช็อตแสดงตัวสุ่มเมทริกซ์สไตล์รหัสผ่านของสถานีรถไฟ; ใช่ตัวละครจะลดลงเมื่อคุณเลื่อนเมาส์

คุณต้องการเพิ่มการสุ่มแบบตามจริงหรือไม่? อาจจะไม่. แต่ถ้ามันทำให้คุณมีความสุขไปเลย!

ผู้จัดการรหัสผ่านลดการสุ่ม

แน่นอนกำเนิดรหัสผ่านจะไม่ส่งคืนตัวเลขสุ่ม แต่จะส่งกลับสตริงของอักขระ โดยใช้ ตัวเลขสุ่มเพื่อเลือกจากชุดอักขระที่มี คุณควรเปิดใช้งานการใช้ชุดอักขระที่มีอยู่ทั้งหมดยกเว้นว่าคุณสร้างรหัสผ่านสำหรับเว็บไซต์ที่ว่าไม่อนุญาตให้ใช้อักขระพิเศษ

กลุ่มของอักขระที่มีอยู่ประกอบด้วยตัวอักษรตัวพิมพ์ใหญ่ 26 ตัวอักษรตัวพิมพ์เล็ก 26 ตัวและตัวเลข 10 หลัก นอกจากนี้ยังมีชุดอักขระพิเศษที่อาจแตกต่างกันไปในแต่ละผลิตภัณฑ์ เพื่อความง่ายสมมติว่ามีอักขระพิเศษให้ใช้ได้ 18 ตัว นั่นทำให้มีตัวละครทั้งหมด 80 ตัวให้เลือก ในรหัสผ่านแบบสุ่มทั้งหมดมี 80 ตัวเลือกสำหรับทุกตัวละคร หากคุณเลือกรหัสผ่านแปดตัวอักษรจำนวนของความเป็นไปได้คือ 80 ถึงกำลังแปดหรือ 1, 677, 721, 600, 000, 000 มากกว่าสี่พันล้าน นั่นเป็นการหวดที่ยากสำหรับการโจมตีที่กำลังแตกและการคาดเดาแบบเดรัจฉานเป็นวิธีเดียวที่จะถอดรหัสรหัสผ่านแบบสุ่มได้อย่างแท้จริง

แน่นอนตัวสร้างแบบสุ่มทั้งหมดจะผลิต "aaaaaaaa" และ "Covfefe!" ในที่สุด และ "12345678" เนื่องจากสิ่งเหล่านี้น่าจะเป็นลำดับแปดอักขระอื่น ๆ ตัวสร้างรหัสผ่านบางตัวกรองเอาต์พุตของตนเพื่อหลีกเลี่ยงรหัสผ่านดังกล่าว ไม่เป็นไร แต่ถ้าแฮ็กเกอร์รู้เกี่ยวกับตัวกรองเหล่านั้นจริง ๆ แล้วจะลดจำนวนของความเป็นไปได้และทำให้แรงเดรัจฉานแตกง่ายขึ้น

นี่เป็นตัวอย่างที่ดี มีรหัสผ่านสี่อักขระที่เป็นไปได้ 40, 960, 000 รหัสโดยวาดจากชุดอักขระ 80 ตัว แต่ตัวสร้างรหัสผ่านบางตัวบังคับให้เลือกอย่างน้อยหนึ่งตัวจากแต่ละประเภทของอักขระและนั่นจะลดความเป็นไปได้อย่างมาก ยังมีความเป็นไปได้ 80 ประการสำหรับตัวอักษรตัวแรก สมมติว่ามันเป็นตัวอักษรตัวพิมพ์ใหญ่ พูลสำหรับอักขระตัวที่สองคือ 54 (80 ลบด้วยอักขระตัวพิมพ์ใหญ่ 26 ตัว) ต่อไปสมมติว่าตัวละครตัวที่สองเป็นตัวอักษรตัวเล็ก สำหรับอักขระตัวที่สามจะมีเพียงตัวเลขและตัวอักษรพิเศษเท่านั้นสำหรับ 28 ตัวเลือก และถ้าอักขระตัวที่สามเป็นเครื่องหมายวรรคตอนตัวสุดท้ายจะต้องเป็นตัวเลข 10 ตัวเลือก ความเป็นไปได้ 40 ล้านของเราลดลงเหลือ 1, 209, 600

การใช้ชุดอักขระทั้งหมดเป็นสิ่งจำเป็นสำหรับเว็บไซต์จำนวนมาก หากต้องการหลีกเลี่ยงการปล่อยให้ข้อกำหนดนั้นหดพูลรหัสผ่านให้ตั้งค่าความยาวรหัสผ่านสูง เมื่อรหัสผ่านมีความยาวเพียงพอเอฟเฟกต์การบังคับตัวละครทุกประเภทจะเล็กน้อย

ข้อ จำกัด อื่น ๆ ที่ตัวจัดการรหัสผ่านใช้จะลดจำนวนรหัสผ่านที่เป็นไปได้โดยไม่จำเป็น ตัวอย่างเช่น RememBear Premium ระบุจำนวนอักขระที่แม่นยำจากแต่ละชุดอักขระสี่ตัวซึ่งลดจำนวนพูลลงอย่างมาก โดยค่าเริ่มต้นมันต้องมีตัวอักษรใหญ่สองหลักสองหลักตัวอักษรตัวเล็ก 14 ตัวและไม่มีสัญลักษณ์รวม 18 ตัวอักษร ผลลัพธ์นี้ในกลุ่มรหัสผ่านที่มีขนาดเล็กกว่าหลายร้อยล้านเท่าหากต้องการเพียงหนึ่งประเภทของอักขระแต่ละตัว ที่นี่อีกครั้งคุณสามารถชดเชยปัญหานี้โดยการตั้งค่าความยาวรหัสผ่านที่สูงขึ้น

LastPass และอื่น ๆ หลายค่าเริ่มต้นเพื่อหลีกเลี่ยงการจับคู่อักขระที่ไม่ชัดเจนเช่นตัวเลข 0 และตัวอักษร O เมื่อคุณไม่ต้องจำรหัสผ่านสิ่งนี้ไม่จำเป็น ปิดตัวเลือกนี้ ในทำนองเดียวกันอย่าเลือกตัวเลือกในการสร้างรหัสผ่านออกเสียงเช่น "entlestmospa" ตัวเลือกนั้นมีความสำคัญหากเป็นรหัสผ่านที่คุณต้องจำไว้ การใช้ตัวเลือกนี้ไม่เพียง แต่ จำกัด ตัวคุณของตัวพิมพ์เล็กเท่านั้น แต่ยังปฏิเสธความเป็นไปได้มากมายที่เครื่องสร้างรหัสผ่านคิดว่าไม่สามารถออกเสียงได้

สร้างรหัสผ่านแบบยาว

ดังที่เราได้เห็นเครื่องสร้างรหัสผ่านไม่จำเป็นต้องเลือกจากกลุ่มรหัสผ่านที่เป็นไปได้ทั้งหมดที่ตรงกับความยาวและชุดอักขระที่คุณเลือก ในตัวอย่างสุดขีดของรหัสผ่านสี่ตัวอักษรโดยใช้ชุดอักขระทั้งหมดประมาณ 97 เปอร์เซ็นต์ของรหัสผ่านสี่ตัวอักษรที่เป็นไปได้จะไม่ปรากฏขึ้น วิธีแก้ปัญหานั้นง่าย ไปนาน! คุณไม่จำเป็นต้องจำรหัสผ่านเหล่านี้เพื่อให้สามารถมีขนาดใหญ่ อย่างน้อยที่สุดเท่าที่เว็บไซต์ยอมรับยอมรับ; บางคนมีข้อ จำกัด

พื้นที่ค้นหาที่ใหญ่ขึ้น (สิ่งที่ฉันเรียกว่ารหัสผ่านที่มีอยู่) ยิ่งใช้เวลานานเท่าไรการโจมตีด้วยเดรัจฉานก็ยิ่งจะเกิดขึ้นกับรหัสผ่านของคุณ คุณสามารถเล่นกับเครื่องคิดเลขรหัสผ่าน Haystack (ใน, เข็มในกองหญ้า) ที่เว็บไซต์ Gibson Research เพื่อรับรู้ถึงคุณค่าของความยาว

เพียงป้อนรหัสผ่านเพื่อดูว่าจะใช้เวลาแคร็กนานเท่าใด (ไซต์สัญญาว่า "ไม่ว่าคุณจะทำอะไรที่นี่จะออกจากเบราว์เซอร์เกิดอะไรขึ้นที่นี่อยู่ที่นี่" แต่ข้อควรระวังแนะนำให้คุณหลีกเลี่ยงการใช้รหัสผ่านจริงของคุณ) รหัสผ่านสี่ตัวละครเช่น 1eA และใช้เวลาไม่นานในการถอดรหัสหากแฮกเกอร์ต้องส่งการเดาออนไลน์ แต่ในสถานการณ์ออฟไลน์ที่แฮ็กเกอร์สามารถลองเดาได้ด้วยความเร็วสูงเวลาในการถอดรหัสคือเสี้ยววินาที

ในบทความของฉันเกี่ยวกับการสร้างรหัสผ่านที่คาดเดายาก (สำหรับสิ่งต่าง ๆ เช่นรหัสผ่านหลักของผู้จัดการรหัสผ่าน) ฉันแนะนำเทคนิคช่วยในการจำที่เปลี่ยนบรรทัดจากบทกวีหรือเล่นเป็นรหัสผ่านแบบสุ่ม ตัวอย่างเช่นบรรทัดจาก Romeo and Juliet, Act 2, Scene 2 กลายเป็น "bS, wLtYdWdB? A2S2" นี่ไม่ใช่รหัสผ่านแบบสุ่ม แต่แครกเกอร์ไม่ทราบ การทิ้งลงในเครื่องคิดเลขของกิบสันเราเรียนรู้ว่าแม้จะใช้ชุดการแคร็กขนาดใหญ่มันจะใช้เวลา 1.41 ร้อยล้านศตวรรษในการบังคับเดรัจฉาน

เลือกตัวจัดการรหัสผ่านที่มีข้อมูล

ตอนนี้คุณรู้แล้ว - ปัจจัยที่สำคัญที่สุดในการสร้างรหัสผ่านแบบสุ่มที่แข็งแกร่งคือการทำให้รหัสผ่านยาว ผู้สร้างรหัสผ่านบางคนปฏิเสธรหัสผ่านที่ไม่มีชุดอักขระทั้งหมดบางคนปฏิเสธผู้ที่มีคำในพจนานุกรมที่ฝังตัวรหัสผ่านบางส่วนที่มีอักขระที่ไม่ชัดเจนเช่นตัวอักษรขนาดเล็กและตัวเลข 1 ข้อ จำกัด ทั้งหมดเหล่านี้จะ จำกัด รหัสผ่านที่เป็นไปได้ สูงพอข้อ จำกัด นี้ก็ไม่สำคัญ

แน่นอนว่ามันเป็นไปได้ในทางทฤษฎี (หากไม่ใช่ในทางปฏิบัติ) เป็นไปได้ว่าผู้กระทำผิดบางคนอาจแฮ็ครูปแบบการสร้างรหัสผ่านของตัวจัดการรหัสผ่านที่คุณชื่นชอบและทำให้สามารถทำนายรหัสผ่านแบบสุ่มหลอกได้ โปรแกรมจัดการรหัสผ่านที่ร่มรื่นสามารถส่งรหัสผ่านแบบสุ่มของคุณกลับไปยังสำนักงานใหญ่ของ บริษัท ได้ นี่เป็นเรื่องที่น่าวิตกอย่างยิ่งในระดับวิตกกังวล แต่ถ้าคุณไม่ต้องการพึ่งพาคนอื่นสำหรับรหัสผ่านแบบสุ่มของคุณคุณสามารถสร้างตัวสร้างรหัสผ่านแบบสุ่มของคุณเองใน Excel