(插图:雷内·拉莫斯)
您刚刚创建了一个账户一个新的安全的网站,而且它要求你输入密码。你做什么工作?使用你的生日,或者你labradoodle的名字吗?输入您使用无处不在,最喜欢的密码吗?戳随机键盘和希望你能记住你的密码m4i /掺吗?这些都是坏主意。你需要的是什么密码管理器都将存储您的密码,提高他们的安全。首先,你将使用一个长,强壮,随机密码对于每一个新帐户。当时间允许,你会,更好地提升你的现有的账户密码。但别烦摇摇欲坠的键盘想出那些passwords-your密码管理器可以帮助你。
几乎每一个密码管理器包括一个密码发生器组件,所以你不需要自己想出这些随机密码。(但如果你想要自己动手解决方案,我们将向您展示如何构建自己的随机密码生成器)。然而,并非所有的密码生成器都是平等的。当你知道它们是如何工作的,你可以选择一个对你最好的,并使用一个聪明。
我们的密码管理器选择
看到所有(4项)
密码Generators-Random吗?
当你把一对骰子,你会得到一个真正随机的结果。没有人能预测你是否会得到蛇的眼睛,箱卡或幸运的7。但在计算机领域,物理随机函数发生器像骰子不是可用的。是的,有一些随机数来源基于放射性衰变(在一个新窗口打开),但你不会找到这些普通消费者方面的密码管理器。
密码经理和其他计算机程序使用所谓的伪随机算法。该算法从大量种子。算法处理种子并得到一个新的数字没有跟踪连接到老,和新号码变成下一个种子。原来的种子再也没有出现,直到发生了其他号码。如果种子是一个32位整数,这意味着该算法运行到4294967295年前的其他数字重复。
这是对日常使用,对大多数人的密码生成的需求。然而,这在理论上是一名技术娴熟的黑客可以确定使用伪随机算法。鉴于信息和种子,黑客可能复制序列的随机数(虽然很难)。
这种直接窃听是非常可能的,除了专门的民族国家的攻击,或企业间谍活动。如果你的主题这样的攻击,你的安全套件可能无法保护你。幸运的是,你几乎可以肯定不是这种网络间谍的目标。
即便如此,一些密码经理积极努力消除甚至远程集中攻击的可能性。通过将自己的鼠标移动或随机字符纳入随机算法,他们获得真正随机的结果。在那些提供这个真实的随机化AceBIT密码得宝,KeePass, Steganos密码管理器。上面的截图显示密码得宝的matrix-style随机函数发生器;是的,人物当你移动你的鼠标。
你真的需要添加真实的随机化吗?可能不会。但是,如果它能让你幸福,加油!
密码经理减少随机性
当然,密码生成器不返回随机数。相反,他们返回一个字符串,使用随机数选择可用的字符集。你应该能够使用所有可用的字符集,除非你为一个网站,生成一个密码,不允许特殊字符。
池中可用的字符包括26个大写字母,26个小写字母,和10位数。它还包括一个特殊字符集合,可能因产品而异。为简单起见,假设有18个特殊字符。使一个漂亮的圆形共有80个字符可供选择。在一个完全随机密码,有80每个角色的可能性。如果你选择一个八个字符的密码,可能性的数量是80年的八次方,或1677721600000000 -一千万亿多。这是艰难的苦工的暴力破解攻击,蛮力猜测是真的破解一个真正的随机密码的唯一途径。
当然,一个完全随机发生器将最终产生aaaaaaaa和Covfefe !和12345678,因为这些一样可能其他的八个字符序列。一些密码生成器积极滤波器输出避免这样的密码。不错,但是,如果黑客知道这些过滤器,它实际上减少的可能性,使蛮力破解略微简单。
这是一个极端的例子。有40960000个可能的四字符的密码,从80个字符的集合。但是一些密码生成器力的选择至少一个从每个类型的性格,,刮胡子的可能性大大下降。仍有80人可能第一个字符。假设这是一个大写字母;池的第二个角色是54(80 - 26个大写字符)。进一步假设第二个字符是一个小写字母。第三字符,只有数字和特殊字符,28的选择。如果第三个字符是标点符号,最后必须是一个数字,10的选择。我们4000万年的可能性减少到1209600人。
使用所有字符集是许多网站的必要性。池,避免让需求缩小您的密码,设置密码长度。当密码的时间足够长,迫使所有性格类型的影响就可以忽略不计。
其他限制密码经理申请减少不必要的可能的密码。例如,RememBear溢价指定的精确数量的字符从每个四集,这大大减少了池中。默认情况下,它需要两个大写字母,两个数字,小写字母,没有符号,共有18个字符。这导致数亿次的密码池小于如果它只是要求每个字符类型的一个或多个。在这里,你可以抵消这个问题通过设置更高的密码长度。
LastPass和其他几个人违约避免模棱两可的性格对数字0和字母o .当你没有记住密码,这是没有必要的;关闭这个选项。同样,不要选择选项来生成一个可发音的密码xihobuteyo。只选择是重要的如果是你必须记住密码。应用此选项不仅限制你小写字母,它拒绝大量的可能性密码生成器认为不能发音的。
我们推荐的编辑
生成长的密码
正如我们所看到的,密码生成器不一定选择从池中所有可能的密码匹配您所选择的长度和字符集。极端的例子的四个字符的密码使用的字符集,约有97%的可能的四字符密码从未出现。解决方案是简单;去长!你不需要记住这些密码,这样他们就可以是巨大的。至少,巨大的网站问题接受;一些做限制。
更大的搜索空间(我一直所说的可用密码),时间越长,需要蛮力攻击发生在您的密码。你可以玩密码干草堆计算器(在一个新窗口打开)(如,海里捞针)吉布森研究网站了解长度的值。
只需输入一个密码破解需要多长时间。(该网站承诺“没有你在这里留下你的浏览器。会发生什么,留在这里。”But caution suggests you avoid using your actual passwords). A four-character password likef: % J3总有一天会不裂缝,如果黑客在网上发送的猜测。但在离线情况下,黑客可以猜测在高速度、开裂时间是几分之一秒。
在创建我的文章难忘的强密码(例如密码管理器的主密码)我建议一种记忆技术,将一条线从一首诗或玩成一个随机密码。例如,从《罗密欧与朱丽叶》,第2幕,场景2,b, wLtYdWdB A2S2 ?。这不是一个随机密码,但饼干并不知道。下降到吉布森的计算器我们学习,甚至用一个巨大的裂缝阵列需要1.41亿个世纪蛮力。
做出明智的密码管理器的选择
所以现在你知道——孩子的最重要的因素在产生强,随机密码是让他们长。一些密码生成器拒绝密码不包含所有字符集,拒绝那些嵌入字典单词,一些丢弃的密码包含模糊的性格像小l和数字1。所有这些限制限制可能的密码,但长度足够高时,这种限制就不重要。
当然,这是理论上(如果不是几乎)可能有些坏人可能破解密码生成方案,你最喜欢的密码管理器,从而获得预测伪随机密码的能力会给你的。背阴的密码管理器程序可以发送你随机密码回公司总部。这真的是在tinfoil-hat偏执程度的关注。但是如果你真的不想依赖别人对你的随机密码,您可以创建自己的随机密码生成器在Excel中。
