Com utilitzar un generador de contrasenya aleatori

Les contrasenyes són terribles. Si utilitzeu una contrasenya feble per al lloc web del banc, podreu perdre els vostres fons en un atac de repressió de força bruta. Però si feu la contrasenya massa aleatòria, podeu oblidar-la i deixar-vos fora del compte. Podeu optar per memoritzar una contrasenya complexa i utilitzar-la arreu, però si ho feu, una infracció en un lloc exposa tots els vostres comptes. El vostre únic curs raonable és obtenir l’ajuda d’un gestor de contrasenyes i canviar totes les vostres contrasenyes febles i duplicades a cadenes de caràcters úniques i aleatòries.

Gairebé tots els gestors de contrasenyes inclouen un component generador de contrasenyes, de manera que no heu de presentar aquestes contrasenyes aleatòries. (Però si voleu una solució personalitzada, us mostrarem com crear el vostre generador de contrasenya aleatòria). Tot i això, no tots els generadors de contrasenyes es creen iguals. Quan sàpigues com funcionen, pots triar el que et sigui millor i utilitzar-lo de forma intel·ligent.

Generadors de contrasenya: aleatoris o no?

Quan llenceu un parell de daus, obté un resultat realment aleatori. Ningú pot predir si tindràs ulls de serp, boxeres o set afortunats. Però, en el terreny de l’ordinador, els randomitzadors físics com els daus no estan disponibles. Sí, hi ha algunes fonts de números aleatoris basades en la desintegració radioactiva, però no les trobareu al gestor de contrasenyes del consumidor mitjà.

Els gestors de contrasenyes i altres programes d’ordinador utilitzen el que s’anomena algoritme pseudo-aleatori. Aquest algorisme comença amb un número anomenat llavor. L’algoritme processa la llavor i obté un número nou sense cap connexió a l’antic, i el nou número es converteix en la següent llavor. La llavor original no apareix mai més fins que hagi aparegut qualsevol altre número. Si la llavor fos un nombre enter de 32 bits, això vol dir que l'algorisme passaria a través d'altres 4.294.967.295 números abans d'una repetició.

Això és bo per a l'ús diari, i és adequat per a les necessitats de generació de contrasenyes de la majoria de la gent. No obstant això, teòricament és possible que un hacker especialitzat determini l'algorisme pseudo-aleatori utilitzat. Tenint en compte que la informació i la llavor, el pirata informàtic podria replicar concebuda la seqüència de nombres aleatoris (encara que seria difícil).

Aquesta mena de pirateria dirigida és extraordinàriament poc probable, excepte en un atac dedicat a un estat nació o un espionatge corporatiu. Si sou objecte d'un atac, probablement la vostra suite de seguretat no us pugui protegir; Afortunadament, gairebé segur que no sou l’objectiu d’aquest tipus de ciberspionatge.

Tot i així, alguns administradors de contrasenyes treballen activament per eliminar fins i tot la possibilitat remota d’un atac centrat. Amb la incorporació dels propis moviments del ratolí o caràcters aleatoris a l'algorisme aleatori, obtenen un resultat realment aleatori. Entre els que ofereixen aquesta randomització del món real, es troben AceBIT Password Depot, KeePass i Steganos Password Manager. A la captura de pantalla es mostra l’atzar-randomizer a l’estil de la matriu de Password Depot; sí, els personatges cauen a mesura que es mou el ratolí.

De veritat, necessiteu afegir l'atorgament al món real? Probablement no. Però si us fa feliços, aneu-hi!

Els gestors de contrasenyes redueixen l’atzar

Per descomptat, els generadors de contrasenyes no retornen literalment números aleatoris. Més aviat, retornen una cadena de caràcters, utilitzant números aleatoris per triar entre els conjunts de caràcters disponibles. Sempre heu d’habilitar l’ús de tots els conjunts de caràcters disponibles, tret que genereu una contrasenya per a un lloc web que, per exemple, no permeti caràcters especials.

El conjunt de caràcters disponibles inclou 26 lletres majúscules, 26 minúscules i 10 dígits. També inclou una col·lecció de caràcters especials que poden variar d’un producte a un altre. Per senzillesa, diguem que hi ha 18 caràcters especials disponibles. Això fa que un total de 80 caràcters sigui molt agradable per triar. En una contrasenya totalment aleatòria, hi ha 80 possibilitats per a cada personatge. Si trieu una contrasenya de vuit caràcters, el nombre de possibilitats és de 80 a la vuitena potència, o 1.677.721.600.000.000, més que un quàrilet. És difícil dur a terme un atac de crac a la força bruta i suposar força bruta és l'única manera de generar una contrasenya realment aleatòria.

Per descomptat, un generador totalment aleatori acabarà produint "aaaaaaaa" i "Covfefe!" i "12345678", ja que aquests són tan probables com qualsevol altra seqüència de vuit caràcters. Alguns generadors de contrasenyes filtren activament la seva sortida per evitar aquestes contrasenyes. Està bé, però si un hacker sap aquests filtres, en realitat redueix el nombre de possibilitats i facilita el cracking de força bruta.

Aquí teniu un exemple extrem. Hi ha 40.960.000 contrasenyes possibles de quatre caràcters, que provenen d’una col·lecció de 80 caràcters. Però alguns generadors de contrasenyes obliguen a seleccionar almenys un de cada tipus de personatge i això redueix les possibilitats dràsticament. Encara hi ha 80 possibilitats per al primer personatge. Suposem que és una lletra majúscula; el conjunt del segon personatge és de 54 (80 menys dels 26 caràcters majúscules). Suposem més que el segon personatge és una lletra minúscula. Pel tercer personatge, només resten dígits i caràcters especials, per a 28 opcions. I si el tercer personatge és de puntuació, l’últim ha de ser un dígit, 10 opcions. Els nostres 40 milions de possibilitats disminueixen fins a 1.209.600.

L'ús de tots els conjunts de caràcters és una necessitat per a molts llocs web. Per evitar que aquest requisit redueixi el conjunt de contrasenyes, configureu la longitud de la contrasenya alçada. Quan la contrasenya és prou llarga, l'efecte de forçar tots els tipus de caràcters és insignificant.

Altres límits que apliquen els gestors de contrasenyes redueixen innecessàriament el conjunt de possibles contrasenyes. Per exemple, RememBear Premium especifica el nombre exacte de caràcters de cadascun dels quatre conjunts de caràcters, cosa que redueix dràsticament el conjunt. Per defecte, requereix dues majúscules, dos dígits, 14 minúscules i cap símbol, per a un total de 18 caràcters. Es tradueix en un conjunt de contrasenyes que és centenars de milions de vegades més petit que si només necessitava un o més de cada tipus de caràcter. Un cop més, podeu compensar aquest problema mitjançant una configuració d’una longitud de contrasenya més alta.

LastPass i altres altres per defecte per evitar parells de caràcters ambigus com el dígit 0 i la lletra O. Quan no heu de recordar la contrasenya, això no és necessari; desactiveu aquesta opció. Així mateix, no trieu l’opció de generar una contrasenya pronunciable com ara "entlestmospa". Aquesta opció només és important si és una contrasenya que heu de recordar. Si apliqueu aquesta opció no us limita només a caràcters en minúscules, sinó que rebutja la gran quantitat de possibilitats que el generador de contrasenyes considera imprescrivibles.

Generar contrasenyes llargues

Com hem vist, els generadors de contrasenyes no necessàriament trien el conjunt de totes les contrasenyes possibles que coincideixin amb la longitud i els conjunts de caràcters que heu seleccionat. A l’exemple extrem d’una contrasenya de quatre caràcters que utilitza tots els conjunts de caràcters, aproximadament el 97% de les possibles contrasenyes de quatre caràcters no apareixen mai. La solució és senzilla; va llarg! No heu de recordar aquestes contrasenyes, de manera que poden ser enormes. Almenys, tan gran com accepta el lloc web en qüestió; alguns sí que imposen límits.

Com més gran sigui l’espai de cerca (que he estat anomenant el conjunt de contrasenyes disponibles), més temps caldria que es produís un atac de força bruta a la vostra contrasenya. Podeu jugar amb la Calculadora de boletes de contrasenya (com ara, agulla en un paller) al lloc web de Gibson Research per tenir una idea del valor de la longitud.

Només cal introduir una contrasenya per veure el temps que triga. (El lloc promet "No fer res aquí mai deixa el navegador. El que passa aquí, es queda aquí". Però la precaució suggereix que eviti utilitzar les vostres contrasenyes). Una contrasenya de quatre caràcters com 1eA i no trigaria ni un dia a produir-se crack, si el pirata informàtic ha d’enviar endevines en línia. Però en un escenari fora de línia, on el pirata informàtic pot provar encertes a gran velocitat, el temps de cracking és una fracció de segon.

Al meu article sobre la creació de contrasenyes fortes memorables (per a coses com la contrasenya principal del gestor de contrasenyes) us proposo una tècnica mnemònica que transformi una línia d’un poema o que es reprodueixi en una contrasenya d’aspecte aleatori. Per exemple, una línia de Romeo i Julieta, Act 2, Escena 2, es va convertir en "bS, wLtYdWdB? A2S2". No es tracta d’una contrasenya aleatòria, però un cracker no ho sap. Si la deixem dins de la calculadora de Gibson, esbrineu que fins i tot amb una matriu de cracking massiva es necessitarien 1, 41 cent milions de segles per forçar aquesta força.

Feu una tria de gestor de contrasenya informada

Ara, ja ho sabeu: el factor més important per generar contrasenyes fortes i aleatòries és fer-les llargues. Alguns generadors de contrasenyes rebutgen les contrasenyes que no contenen tots els conjunts de caràcters, algunes rebutgen les que tenen paraules de diccionari incrustades, algunes rebutgen les contrasenyes que contenen caràcter ambigu com petits i xifres 1. Totes aquestes restriccions limiten el conjunt de contrasenyes possibles, però quan la longitud és prou alta, aquesta limitació no importa.

Per descomptat, és teòricament (si no pràcticament) possible que algun malfactor pugui piratejar l’esquema de generació de contrasenyes del gestor de contrasenyes preferit, i obtenir així la possibilitat de predir les contrasenyes pseudo-aleatòries que us oferirà. Un ombrívol programa de gestor de contrasenyes podria enviar les contrasenyes aleatòries a la seu de l'empresa. Això es troba realment en el nivell de preocupació de tinfoil-hat hat. Però si realment no voleu confiar en algú altre per a les vostres contrasenyes aleatòries, podeu crear el vostre propi generador de contrasenyes aleatòries a Excel.