Hoe een willekeurige wachtwoordgenerator te gebruiken

Wachtwoorden zijn verschrikkelijk. Als u een zwak wachtwoord gebruikt voor uw bankwebsite, loopt u het risico uw geld te verliezen aan een brute-force cracking-aanval. Maar als u het wachtwoord te willekeurig maakt, kunt u het vergeten en wordt u uitgesloten van het account. U kunt ervoor kiezen om slechts één complex wachtwoord te onthouden en het overal te gebruiken, maar als u dat doet, worden al uw accounts blootgesteld aan een inbreuk op één site. Je enige redelijke cursus is om de hulp van een wachtwoordbeheerder in te schakelen en al je zwakke en dubbele wachtwoorden te wijzigen in unieke, willekeurige tekenreeksen.

Bijna elke wachtwoordbeheerder bevat een component voor het genereren van wachtwoorden, zodat u niet zelf die willekeurige wachtwoorden hoeft te verzinnen. (Maar als u een doe-het-zelf-oplossing wilt, laten we u zien hoe u uw eigen willekeurige wachtwoordgenerator kunt bouwen). Niet alle wachtwoordgenerators zijn echter hetzelfde. Als je weet hoe ze werken, kun je degene kiezen die het beste voor je is en degene die je hebt intelligent gebruiken.

Wachtwoordgeneratoren - willekeurig of niet?

Als je een paar dobbelstenen gooit, krijg je een echt willekeurig resultaat. Niemand kan voorspellen of je slangogen, gesloten goederenwagens of een gelukkige zeven zult krijgen. Maar in het computerrijk zijn fysieke randomizers zoals dobbelstenen niet beschikbaar. Ja, er zijn een paar willekeurige nummerbronnen op basis van radioactief verval, maar u zult deze niet vinden in de gemiddelde wachtwoordbeheerder aan de consumentzijde.

Wachtwoordbeheerders en andere computerprogramma's gebruiken een zogenaamd pseudo-willekeurig algoritme. Dit algoritme begint met een nummer dat een seed wordt genoemd. Het algoritme verwerkt de seed en krijgt een nieuw nummer zonder traceerbare verbinding met de oude, en het nieuwe nummer wordt de volgende seed. Het oorspronkelijke zaadje komt pas weer tevoorschijn als elk ander nummer is verschenen. Als de seed een 32-bits geheel getal was, betekent dit dat het algoritme 4.294.967.295 andere nummers zou doorlopen vóór een herhaling.

Dit is prima voor dagelijks gebruik en prima voor de wachtwoordgeneratiebehoeften van de meeste mensen. Het is echter theoretisch mogelijk voor een ervaren hacker om het gebruikte pseudo-willekeurige algoritme te bepalen. Gezien die informatie en het zaad, zou de hacker de reeks willekeurige getallen mogelijk kunnen repliceren (hoewel het moeilijk zou zijn).

Dat soort gerichte hacking is buitengewoon onwaarschijnlijk, behalve bij een toegewijde nationale aanval of bedrijfsspionage. Als u het slachtoffer bent van een dergelijke aanval, kan uw beveiligingssuite u waarschijnlijk niet beschermen; gelukkig ben je vrijwel zeker niet het doelwit voor dit soort cyberespionage.

Toch werken enkele wachtwoordbeheerders actief om zelfs de externe mogelijkheid van een dergelijke gerichte aanval te elimineren. Door uw eigen muisbewegingen of willekeurige tekens in het willekeurige algoritme op te nemen, krijgen ze een echt willekeurig resultaat. Onder degenen die deze real-world randomisatie aanbieden, zijn AceBIT Password Depot, KeePass en Steganos Password Manager. De schermafbeelding toont de matrix-stijl randomizer van Password Depot; ja, de tekens vallen weg terwijl je je muis beweegt.

Moet je echt willekeurige randomisatie toevoegen? Waarschijnlijk niet. Maar als het je gelukkig maakt, ga ervoor!

Wachtwoordbeheerders verminderen willekeur

Natuurlijk genereren wachtwoordgeneratoren niet letterlijk willekeurige getallen. In plaats daarvan retourneren ze een reeks tekens, waarbij ze willekeurige getallen gebruiken om uit de beschikbare tekensets te kiezen. U moet altijd het gebruik van alle beschikbare tekensets inschakelen, tenzij u een wachtwoord genereert voor een website die bijvoorbeeld geen speciale tekens toestaat.

De verzameling beschikbare tekens bestaat uit 26 hoofdletters, 26 kleine letters en 10 cijfers. Het bevat ook een verzameling speciale tekens die van product tot product kunnen verschillen. Laten we voor de eenvoud zeggen dat er 18 speciale tekens beschikbaar zijn. Dat maakt een mooie ronde van in totaal 80 tekens om uit te kiezen. In een volledig willekeurig wachtwoord zijn er 80 mogelijkheden voor elk karakter. Als u een wachtwoord van acht tekens kiest, is het aantal mogelijkheden 80 tot de achtste macht, of 1.677.721.600.000.000 - meer dan een quadriljoen. Dat is zwaar slogging voor een brute-force kraken aanval, en brute-force raden is echt de enige manier om een ​​echt willekeurig wachtwoord te kraken.

Natuurlijk zal een volledig willekeurige generator uiteindelijk "aaaaaaaa" en "Covfefe!" Produceren. en "12345678", aangezien deze net zo waarschijnlijk zijn als elke andere reeks van acht tekens. Sommige wachtwoordgeneratoren filteren hun uitvoer actief om dergelijke wachtwoorden te voorkomen. Dat is prima, maar als een hacker op de hoogte is van die filters, vermindert dit het aantal mogelijkheden en maakt brute-force cracking gemakkelijker.

Hier is een extreem voorbeeld. Er zijn 40.960.000 mogelijke wachtwoorden van vier tekens, afkomstig uit een verzameling van 80 tekens. Maar sommige wachtwoordgeneratoren dwingen selectie van ten minste één van elk type karakter, en dat scheert de mogelijkheden drastisch. Er zijn nog 80 mogelijkheden voor het eerste karakter. Stel dat het een hoofdletter is; de pool voor het tweede karakter is 54 (80 min de 26 hoofdletters). Stel verder dat het tweede teken een kleine letter is. Voor het derde karakter blijven alleen cijfers en speciale karakters over, voor 28 keuzes. En als het derde teken interpunctie is, moet het laatste een cijfer zijn, 10 keuzes. Onze 40 miljoen mogelijkheden slinken naar 1.209.600.

Het gebruik van alle tekensets is voor veel websites een noodzaak. Om te voorkomen dat die vereiste uw wachtwoordpool verkleint, stelt u de wachtwoordlengte hoog in. Als het wachtwoord lang genoeg is, wordt het effect van het forceren van alle tekensoorten verwaarloosbaar.

Andere limieten die wachtwoordbeheerders toepassen, verminderen onnodig de pool van mogelijke wachtwoorden. RememBear Premium geeft bijvoorbeeld het precieze aantal tekens op van elk van de vier tekensets, waardoor de pool drastisch wordt verkleind. Standaard vereist het twee hoofdletters, twee cijfers, 14 kleine letters en geen symbolen, voor een totaal van 18 tekens. Dit resulteert in een wachtwoordpool die honderden miljoenen keren kleiner is dan wanneer er eenvoudigweg één of meer van elk karaktertype nodig was. Ook hier kunt u dit probleem oplossen door een langere wachtwoordlengte in te stellen.

LastPass en verschillende anderen voorkomen standaard dubbelzinnige tekenparen zoals het cijfer 0 en de letter O. Als u het wachtwoord niet hoeft te onthouden, is dit niet nodig; schakel deze optie uit. Kies ook niet de optie om een ​​uitspreekbaar wachtwoord te genereren, zoals "entlestmospa". Die optie is alleen belangrijk als het een wachtwoord is dat u moet onthouden. Het toepassen van deze optie beperkt u niet alleen tot kleine letters, het verwerpt het enorme aantal mogelijkheden dat de wachtwoordgenerator onuitsprekelijk acht.

Genereer lange wachtwoorden

Zoals we hebben gezien, kiezen wachtwoordgeneratoren niet noodzakelijkerwijs uit de pool van alle mogelijke wachtwoorden die overeenkomen met de lengte en tekensets die u hebt geselecteerd. In het extreme voorbeeld van een wachtwoord van vier tekens dat alle tekensets gebruikt, wordt ongeveer 97 procent van de mogelijke wachtwoorden van vier tekens nooit weergegeven. De oplossing is eenvoudig; ga lang! U hoeft deze wachtwoorden niet te onthouden, dus ze kunnen enorm zijn. Tenminste, zo groot als de website in kwestie accepteert; sommigen stellen grenzen.

Hoe groter de zoekruimte (wat ik de pool met beschikbare wachtwoorden heb genoemd), hoe langer het zou duren voordat een brute force-aanval op uw wachtwoord zou plaatsvinden. U kunt met de wachtwoord-hooibergcalculator (zoals in, naald in een hooiberg) spelen op de website van Gibson Research om een ​​idee te krijgen van de waarde van lengte.

Voer gewoon een wachtwoord in om te zien hoe lang het kraken zou duren. (De site belooft: "NIETS wat u hier doet, verlaat ooit uw browser. Wat hier gebeurt, blijft hier." Een wachtwoord van vier tekens zoals 1eA & zou niet helemaal een dag duren om te kraken, als de hacker online moet raden. Maar in een offline scenario, waarbij de hacker op hoge snelheid kan raden, is de kraaktijd een fractie van een seconde.

In mijn artikel over het maken van gedenkwaardige sterke wachtwoorden (voor dingen zoals het hoofdwachtwoord van een wachtwoordbeheerder), stel ik een mnemonische techniek voor die een regel van een gedicht of spel verandert in een willekeurig ogend wachtwoord. Een regel uit Romeo en Julia, Act 2, Scene 2, bijvoorbeeld, werd "bS, wLtYdWdB? A2S2". Dit is geen willekeurig wachtwoord, maar een cracker weet dat niet. Laten we het in de rekenmachine van Gibson laten vallen en we leren dat het zelfs met een enorme reeks scheuren 1, 41 honderd miljoen eeuwen zou duren om deze bruut te forceren.

Maak een keuze voor Informed Password Manager

Dus nu weet je - de belangrijkste factor bij het genereren van sterke, willekeurige wachtwoorden is om ze lang te maken. Sommige wachtwoordgeneratoren weigeren wachtwoorden die niet alle tekensets bevatten, sommige weigeren wachtwoorden met ingesloten woordenboekwoorden, sommige negeren wachtwoorden die dubbelzinnig karakter bevatten, zoals kleine l en cijfer 1. Al deze beperkingen beperken de pool van mogelijke wachtwoorden, maar wanneer de lengte hoog genoeg is, deze beperking doet er gewoon niet toe.

Natuurlijk is het theoretisch (zo niet praktisch) mogelijk dat een malefactor het schema voor het genereren van wachtwoorden van uw favoriete wachtwoordbeheerder kan hacken en daardoor de mogelijkheid krijgt om de pseudo-willekeurige wachtwoorden te voorspellen die het u zal bieden. Een schaduwrijk programma voor wachtwoordbeheer kan uw willekeurige wachtwoorden terugsturen naar het hoofdkantoor van het bedrijf. Dit zit echt in het zorgwekkende paranoia-niveau van aluminiumfolie. Maar als u echt niet op iemand anders wilt vertrouwen voor uw willekeurige wachtwoorden, kunt u uw eigen willekeurige wachtwoordgenerator maken in Excel.