(插图:René Ramos)
您刚刚在一个新的安全网站上创建了一个帐户,它要求您输入密码。你会怎么做?用你的生日,还是你的拉布拉多犬的名字?输入你在任何地方都使用的最喜欢的密码?随便戳一下键盘,希望你能记住你的密码是m4i /掺?这些都是坏主意。你需要的是一个密码管理器这样既能存储你的密码,又能提高密码的安全性。首先,您将为每个新帐户使用长、强、随机的密码。如果时间允许,你会用更好的密码升级你现有的账户。不过,不用费劲地在键盘上输入密码——你的密码管理器可以帮上忙。
几乎每个密码管理器都包含一个密码生成器组件,所以你不必自己想出那些随机密码。(但如果你想要一个自己动手的解决方案,我们会告诉你怎么做建立自己的随机密码生成器).然而,并不是所有的密码生成器都是一样的。当你知道它们是如何工作的,你可以选择最适合你的,并明智地使用你现有的。
我们的顶级密码管理器选择
看全部(4项)
密码生成器-随机与否?
当你投掷一对骰子时,你会得到一个真正随机的结果。没有人能预测你会得到蛇眼、车厢或幸运七。但在计算机领域,像骰子这样的物理随机器是不可用的。是的,有一些基于放射性衰变的随机数源(在新窗口打开),但你不会在普通的消费者端密码管理器中找到这些功能。
密码管理器和其他计算机程序使用所谓的伪随机算法。这个算法从一个叫做种子的数字开始。该算法处理种子并获得一个与旧数字没有可追溯联系的新数字,新数字成为下一个种子。原来的种子永远不会再出现,直到每一个数字出现。如果种子是一个32位整数,这意味着算法将在重复之前运行4,294,967,295个其他数字。
这适用于日常使用,也适用于大多数人的密码生成需求。然而,理论上来说,熟练的黑客可以确定所使用的伪随机算法。有了这些信息和种子,黑客很可能会复制随机数序列(尽管这很困难)。
这种有针对性的黑客攻击极不可能发生,除非是专门的民族国家攻击或企业间谍活动。如果你是这种攻击的对象,你的安全套件可能保护不了你。幸运的是,你几乎肯定不是这种网络间谍活动的目标。
即便如此,一些密码管理人员仍在积极地努力消除这种集中攻击的可能性。通过将你自己的鼠标移动或随机字符合并到随机算法中,他们获得了一个真正随机的结果。提供这种现实世界随机化的软件包括AceBIT Password Depot、KeePass和Steganos Password Manager。上面的截图展示了Password Depot的矩阵风格随机发生器;是的,当你移动鼠标时,字符会掉落。
你真的需要添加现实世界的随机化吗?可能不会。但如果它能让你快乐,那就去做吧!
密码管理器减少随机性
当然,密码生成器不会字面上返回随机数。相反,它们返回一串字符,使用从可用的字符集中选择随机数。你应该总是启用所有可用的字符集,除非你正在为一个不允许特殊字符的网站生成密码。
可用字符池包括26个大写字母、26个小写字母和10个数字。它还包括一组特殊字符,这些字符可能因产品而异。为简单起见,假设有18个特殊字符可用。这样总共有80个字符可供选择。在一个完全随机的密码中,每个字符都有80种可能。如果您选择一个8个字符的密码,则可能性的数量是80的8次方,即1,677,721,600,000,000,000,超过一千万亿。这对a来说很难蛮力破解攻击,而暴力猜测实际上是破解真正随机密码的唯一方法。
当然,一个完全随机的生成器最终会产生aaaaaaaa而且Covfefe !而且12345678,因为这和其他8个字符的序列一样。一些密码生成器会主动过滤它们的输出以避免这样的密码。这很好,但如果黑客知道这些过滤器,它实际上减少了可能性的数量,并使暴力破解更容易一些。
这里有一个极端的例子。从80个字符的集合中抽取出40960,000个可能的四字符密码。但是一些密码生成器强制从每种类型的字符中至少选择一个,这大大降低了可能性。第一个字符仍然有80种可能。假设这是一个大写字母;第二个字符的池为54(80减去26个大写字符)。进一步假设第二个字符是一个小写字母。第三个字符只剩下数字和特殊字符,共有28个选项。如果第三个字符是标点符号,最后一个字符必须是数字,10个选项。我们的4000万个可能性减少到1209,600个。
使用所有字符集是许多网站的必要条件。为了避免这种要求缩小密码池,请将密码长度设置得高一些。当密码足够长时,强制所有字符类型的影响可以忽略不计。
密码管理器应用的其他限制不必要地减少了可能的密码池。例如,RememBear溢价指定四个字符集中每个字符集的精确字符数,这将大大减少池。默认情况下,它需要2个大写字母,2个数字,14个小写字母,没有符号,总共18个字符。这导致密码池比只需要一个或多个字符类型的密码池要小几亿倍。同样,您可以通过设置更高的密码长度来解决这个问题。
LastPass还有几家公司默认会避免数字0和字母o等模糊的字符对,如果你不需要记住密码,就没有必要这么做;关闭此选项。同样,不要选择生成可发音密码的选项,如xihobuteyo.只有当你必须记住密码时,这个选项才重要。应用此选项不仅将您限制为小写字符,还拒绝了密码生成器认为不可发音的大量可能性。
编辑推荐
生成长密码
正如我们所看到的,密码生成器不一定要从所有可能的密码池中选择与所选长度和字符集匹配的密码。在使用所有字符集的四个字符密码的极端示例中,大约97%的可能的四个字符密码从未出现。解决办法很简单;去长!你不需要记住这些密码,所以它们可能很大。至少,就像网站所接受的那样庞大;有些国家确实施加了限制。
搜索空间(我一直称之为可用密码池)越大,对密码进行暴力攻击所需的时间就越长。你可以玩密码草堆计算器(在新窗口打开)(就像大海捞针一样),在Gibson Research网站上了解一下长度的价值。
只需输入密码,看看需要多长时间才能破解。(该网站承诺“你在这里所做的一切都不会离开你的浏览器。这里发生的一切,就留在这里吧。”但要注意的是,不要使用实际的密码)。四个字符的密码f: % J3如果黑客要把猜测发到网上的话,用不了一天就能破解。但在离线情况下,黑客可以高速尝试猜测,破解时间只有几分之一秒。
在我关于创造的文章中易记忆的强密码(对于密码管理器的主密码之类的东西)我建议使用一种记忆技巧,把一首诗或戏剧中的一行字转换成一个随机的密码。例如,《罗密欧与朱丽叶》第二幕第二场的一句台词就变成了废话,wLtYdWdB ?A2S2.这不是一个随机密码,但黑客不知道。将它放入吉布森的计算器中,我们了解到,即使使用一个巨大的破解阵列,也需要141亿个世纪才能强力破解它。
选择一个明智的密码管理器
所以现在你知道了——生成强大随机密码的最重要因素是让它们长。有些密码生成器会拒绝不包含所有字符集的密码,有些会拒绝那些嵌入了字典单词的密码,有些会拒绝包含模糊字符(如小l和数字1)的密码。所有这些限制都限制了可能的密码池,但当长度足够长时,这种限制就无关紧要了。
当然,理论上(如果不是实际上)可能会有一些恶意分子入侵您最喜欢的密码管理器的密码生成方案,从而获得预测它将提供给您的伪随机密码的能力。一个秘密的密码管理程序可以把你的随机密码发送回公司总部。这真的是在锡纸帽偏执狂级别的担忧。但如果你真的不想依赖别人来获取你的随机密码,你可以这么做创建自己的随机密码生成器在Excel中。
