Sind zufällig generierte Passwörter sicher?

1402
Boris_yo

Apps wie Roboform, mit denen zufällige Kennwörter generiert werden können. Vielleicht gibt es Hacker-Programme, die klug sind und wissen, wie Passwortgeneratoren funktionieren, wodurch sie leichter Passworte knacken können? Vielleicht kennen sie ein Muster?

Was denkst du auch über LastPass? Ihre Passwörter werden irgendwo in der Cloud gespeichert. Wer weiß, was dort passieren kann ... Administratoren werden neugierig oder Hacker können die Cloud hacken.

8
Ein zufälliges Passwort muss den gleichen Richtlinien entsprechen wie alle Passwörter. Der SuperUser hat eine Frage zu den Kennwortempfehlungen - http://superuser.com/questions/15388/what-are-the-guidelines-zur-kreationvon-asecure-passwords/15404#15404 dvin vor 11 Jahren 0

3 Antworten auf die Frage

8
Phoshi

Wahrscheinlich. Es ist zufällig, es könnte herauskommen password1!

Oder genauer: Ja, sie sind sicher . Sie sind nicht wirklich pseudo-zufällig (oder zumindest ein guter Generator, wie Sie es in einer richtigen Anwendung für die Kennwortverwaltung finden würden), sondern folgen Regeln, die dazu dienen, Kennwörter zu erstellen, die nicht zufällig sind, aber schwer zu erraten sind.

Das Knacken von Passwörtern ist eine bekannte und vorhersehbare Sache, und Sie können dies verwenden, um Passwörter zu erstellen, die sich dagegen wehren. Keine Wörterbuchwörter, lange, mit Symbolen, beide Fälle von Buchstaben, Zahlen usw. Das Erstellen eines Kennworts, für das ein moderner Computer einige Millionen Jahre braucht, um zu knacken, ist keine schwierige Herausforderung - denn während die Leute, die die Cracker schreiben, wissen, wie der Generator funktioniert, wissen die Leute, die den Generator schreiben, auch, wie die Cracker funktionieren.

Soweit ich weiß, ist Ihr Passwort-Container lokal verschlüsselt und entschlüsselt. Daher besteht nur eine sehr geringe Chance, dass dies jemals gefährdet wird. Leider können Sie Lastpass nicht zum Schutz Ihres Lastpass-Containers verwenden. Sie müssen sich also auf Ihre eigenen Passwortgenerierungsfähigkeiten verlassen, um sich an diesen zu erinnern!

3
Stephen Ostermiller

Ich bin der Autor der Website zum Erstellen von zufälligen Passwörtern http://passwordcreator.org . Folgendes habe ich beim Erstellen dieser Site über das Erstellen sicherer zufälliger Passwörter gelernt:

Zufällige Quelle

Die meisten Zufallszahlengeneratoren auf Computern sind pseudozufällig. Sie basieren auf Algorithmen und sind nicht zur Generierung von Passwörtern geeignet. Sie werden im Allgemeinen mit der aktuellen Zeit bestimmt. Wenn diese eine Information bekannt ist (oder erraten werden kann), ist es möglich, ihre Ausgabe zu reproduzieren und die generierten Passwörter anzuzeigen.

Um ein Passwort zu generieren, sollte ein kryptographisch sicherer Pseudo-Zufallszahlengenerator (CPRNG) verwendet werden. Von Wikipedia sind die zwei Anforderungen an diesen Typ von Zufallszahlengenerator:

  • Bei den ersten k Bits einer Zufallssequenz gibt es keinen Polynom-Zeit-Algorithmus, der das (k + 1) -te Bit mit einer Erfolgswahrscheinlichkeit von mehr als 50% vorhersagen kann.
  • Für den Fall, dass ein Teil oder der gesamte Zustand seines Zustands aufgedeckt wurde (oder richtig geschätzt wurde), sollte es unmöglich sein, den Zufallszahlenstrom vor der Offenbarung zu rekonstruieren. Wenn während der Ausführung eine Entropieeingabe erfolgt, sollte es darüber hinaus unmöglich sein, Kenntnis des Zustands der Eingabe zu verwenden, um zukünftige Bedingungen des CSPRNG-Zustands vorherzusagen.

Moderne Webbrowser (mit der bemerkenswerten Ausnahme von Internet Explorer) verfügen jetzt über eine Krypto-API, die für JavaScript verfügbar ist und über einen kryptografisch sicheren Zufallszahlengenerator verfügt . Dies macht es Websites wie meiner leicht, Passwörter zu generieren, die eindeutig sind und nicht zu erraten sind, basierend auf dem Wissen, wann und wo sie generiert wurden.

Passwortlänge

Ein häufiger Angriff auf Kennwörter besteht darin, dass der Angreifer Zugriff auf die Datenbank erhält, in der die verschlüsselten (Hash-Kennwörter) gespeichert werden. Der Angreifer kann dann Vermutungen generieren, die Vermutungen mit demselben Hash-Algorithmus abhaken und prüfen, ob er Übereinstimmungen erhält. Hier ist ein Artikel, der zeigt, wie viele Passwörter für einen solchen Angriff anfällig sind. Computer sind jetzt so leistungsfähig, dass Angreifer 100 Milliarden Passwörter pro Sekunde versuchen. Geheime Militär- und Spionage-Computer können in der Lage sein, um Größenordnungen mehr zu erreichen.

Aus praktischer Sicht bedeutet dies, dass ein Passwort aus einer Fülle von Möglichkeiten ausgewählt werden muss. Die 96 Zeichen, die über eine Tastatur eingegeben werden können, können nur mit einem achtstelligen Kennwort eine Trilliarde von Möglichkeiten generieren. Um sicher zu sein, müssen Passwörter heute länger sein als jemals zuvor. Computer werden in der Zukunft leistungsfähiger, und Sie möchten möglicherweise Kennwörter auswählen, die noch länger sind als Sie heute benötigen, um sich sicher zu fühlen, sodass sie in Zukunft nicht ohne weiteres geknackt werden können. Ich empfehle mindestens eine Länge von 10 für zufällige Kennwörter, die auf 96 möglichen Zeichen basieren. Die Verwendung einer Länge von 12 oder 14 wäre jedoch für die zukünftige Sicherheit viel besser.

0
Frederick

Wenn die itake-Parameter der Passworterzeugungsroutine völlig unabhängig von dem Kontext sind, für den das Passwort generiert wird (Beispiel: Es werden keine Website-URLs und Login-Namen verlangt und diese Daten beim Generieren des Passworts auf wiederholbare Weise eingefügt) Man kann relativ sicher sein, dass jedes durch diese Routine generierte Passwort ausreichend stark sein sollte (bei ausreichender Länge und Komplexität).

Wenn einer der Computer, die an dem obigen Szenario beteiligt sind, in irgendeiner Weise eingeschränkt ist, kann die Sicherheit, dass das Kennwort ein beliebiges Sicherheitsniveau bieten kann, verringert werden.

Verwandte Probleme