Безопасны ли случайно сгенерированные пароли?

1325
Boris_yo

Такие приложения, как Roboform, которые позволяют генерировать случайный пароль. Может быть, есть хакерские программы, которые умны и знают, как работают генераторы паролей, что позволяет им легче взламывать пароли? Может быть, они знают какой-то шаблон?

И что ты думаешь о LastPass? Ваши пароли хранятся где-то в облаке. Кто знает, что там может произойти ... Администраторы могут заинтересоваться, или хакеры могут взломать облако.

8
Случайный пароль должен соответствовать тем же правилам, что и любой другой пароль. У SuperUser есть вопрос относительно рекомендаций по паролям - http://superuser.com/questions/15388/what-are-the-guidelines-for-creation-of-a-secure-passwords/15404#15404 dvin 11 лет назад 0

3 ответа на вопрос

8
Phoshi

Наверное. Это случайно, это может произойти как password1!

Или, точнее, да, они в безопасности . Они не совсем псевдослучайные (или, по крайней мере, любой хороший генератор, как вы могли бы найти в правильном приложении для управления паролями), но следуют правилам, разработанным для создания паролей, которые не случайны, но очень трудно угадать.

Взлом паролей - известная, предсказуемая вещь, и вы можете использовать ее для создания паролей, которые эффективно противостоят ей. Не словарные слова, длинные, с символами, в обоих случаях буквы, цифры и т. Д. Генерация пароля, который взломал бы современную машину за несколько миллионов лет, не является сложной задачей, потому что, хотя люди, пишущие взломщики, знают, как работает генератор, люди, пишущие генератор, знают, как взломщики тоже работают.

Что касается lastpass, насколько я знаю, ваш контейнер паролей зашифрован и дешифрован локально, так что очень и очень мало шансов на то, что это когда-либо будет взломано. К сожалению, вы не можете использовать lastpass для защиты вашего последнего прохода контейнера, поэтому вам придется полагаться на свои собственные навыки генерации паролей, чтобы запомнить это!

3
Stephen Ostermiller

I'm the author of the random password generating site http://passwordcreator.org. Here is what I learned in the process of creating that site about creating secure random passwords:

Random Source

Most random number generators on computers are psuedorandom. They are based on algorithms and not appropriate for generating passwords. They are generally seeded with the current time. If that one piece of information is known (or can be guessed), it is possible to reproduce their output and see the passwords that would have been generated.

To generate a password, a cryptographically secure pseudo-random number generator (CPRNG) should be used. From Wikipedia, the two requirements of this type of random number generator are:

  • given the first k bits of a random sequence, there is no polynomial-time algorithm that can predict the (k+1)th bit with probability of success better than 50%.
  • In the event that part or all of its state has been revealed (or guessed correctly), it should be impossible to reconstruct the stream of random numbers prior to the revelation. Additionally, if there is an entropy input while running, it should be infeasible to use knowledge of the input's state to predict future conditions of the CSPRNG state.

Modern web browsers (with the notable exception of Internet Explorer) now have a crypto API available to JavaScript that has a cryptographically secure random number generator. This makes it easy for websites like mine to generate passwords that are unique and not guessable based on knowing when and where they were generated.

Password Length

A common attack against passwords is for the attacker to gain access to the database where the encrypted (hashed) passwords are stored. The attacker can then generate guesses, hash the guesses using the same hashing algorithm, and see if they get any matches. Here is an article that show just how many passwords are vulnerable to such an attack. Computers are now powerful enough that attackers are known to try 100 billion passwords per second. Secret military and spy agency computers may be able to do orders of magnitude more.

From a practical standpoint, that means that a password needs to be chosen from a pool of quintillions of possibilities. The 96 characters that can be typed on a keyboard can only generate quadrillions of possibilities using an eight character password. To be secure, passwords must be longer today than their ever have in the past. Computers will become more powerful in the future and you may want to choose passwords that are even longer than what you might need to feel secure today so that they cannot be cracked easily in the future either. I'd recommend at least a length of 10 for random passwords based on 96 possible characters, but using a length of 12 or 14 would be much better for future security.

0
Frederick

Если параметры itake подпрограммы генерации пароля полностью независимы от контекста, для которого генерируется пароль (например: он не запрашивает URL-адрес веб-сайта, а также имя входа и повторное включение этих данных при создании пароля), тогда Можно быть относительно уверенным, что любой пароль, сгенерированный этой подпрограммой, будет достаточно надежным (учитывая достаточную длину и сложность).

Если какой-либо из компьютеров, участвующих в описанном выше сценарии, каким-либо образом компрометируется, то вероятность того, что пароль может обеспечить любой уровень безопасности, может быть уменьшена.

Похожие вопросы