ランダムなパスワードを生成できるロボフォームのようなアプリ。たぶん、賢く、パスワードジェネレーターがどのように動作してパスワードを簡単に解読できるかを知っているハッカープログラムがあるのでしょうか。多分彼らはいくつかのパターンを知っていますか?
また、LastPassについてどう思いますか?あなたのパスワードはクラウドのどこかに保存されています。そこで何が起きるかは誰にもわかりません...管理者は不思議に思うかもしれませんし、ハッカーがクラウドをハックできるかもしれません。
ランダムなパスワードを生成できるロボフォームのようなアプリ。たぶん、賢く、パスワードジェネレーターがどのように動作してパスワードを簡単に解読できるかを知っているハッカープログラムがあるのでしょうか。多分彼らはいくつかのパターンを知っていますか?
また、LastPassについてどう思いますか?あなたのパスワードはクラウドのどこかに保存されています。そこで何が起きるかは誰にもわかりません...管理者は不思議に思うかもしれませんし、ハッカーがクラウドをハックできるかもしれません。
回答:
多分。それはランダムです、それはpassword1
!
より正確には、はい、安全です。それらは真の疑似ランダム(または、少なくとも適切なパスワード管理アプリケーションで見つかるような優れたジェネレーター)ではありませんが、ランダムではないが非常に推測しにくいパスワードを作成するように設計されたルールに従います。
パスワードクラッキングは既知の予測可能なものであり、これを使用して、パスワードクラックに対抗するのに効果的なパスワードを作成できます。辞書の単語ではなく、長い、記号、文字、数字などの両方の場合。クラッカーを作成する人々はジェネレーターの仕組みを知っている一方で、ジェネレーターを書く人々はクラッカーの仕組みも知っているため、クラッキングに数百万年かかる現代のマシンにかかるパスワードの生成は難しい課題ではありません。
ラストパスについては、私が知る限り、あなたのパスワードコンテナーはローカルで暗号化および復号化されるため、侵害される可能性はほとんどありません。残念ながら、ラストパスを使用してラストパスコンテナーを保護することはできないため、パスワードを生成するための独自のパスワード生成スキルに依存する必要があります。
私はランダムパスワード生成サイトhttp://passwordcreator.orgの作成者です。安全なランダムパスワードの作成についてそのサイトを作成する過程で私が学んだことは次のとおりです。
コンピューター上のほとんどの乱数ジェネレーターは、疑似ランダムです。これらはアルゴリズムに基づいており、パスワードの生成には適していません。彼らは通常、現在の時刻がシードされています。その1つの情報がわかっている(または推測できる)場合は、それらの出力を再現して、生成されたはずのパスワードを確認できます。
パスワードを生成するには、暗号で保護された疑似乱数ジェネレータ(CPRNG)を使用する必要があります。ウィキペディアから、このタイプの乱数ジェネレーターの2つの要件は次のとおりです。
- ランダムシーケンスの最初のkビットを考えると、50%よりも高い成功確率で(k + 1)番目のビットを予測できる多項式時間アルゴリズムはありません。
- その状態の一部またはすべてが明らかになった(または正しく推測された)場合、啓示の前に乱数のストリームを再構築することは不可能であるべきです。さらに、実行中にエントロピー入力がある場合、入力の状態に関する知識を使用して、CSPRNG状態の将来の状態を予測することは不可能です。
最近のWebブラウザー(Internet Explorerの注目すべき例外を除く)は、JavaScriptで暗号化された安全な乱数ジェネレーターを備えた暗号APIを利用できるようになりました。これにより、私のようなWebサイトでは、いつどこで生成されたかを知ることに基づいて、一意で推測できないパスワードを簡単に生成できます。
パスワードに対する一般的な攻撃は、暗号化された(ハッシュされた)パスワードが格納されているデータベースに攻撃者がアクセスすることです。その後、攻撃者は推測を生成し、同じハッシュアルゴリズムを使用して推測をハッシュし、一致するものがあるかどうかを確認できます。 このような攻撃に対して脆弱なパスワードの数を示す記事を次に示します。 コンピュータは今や強力であり、攻撃者は毎秒1,000億のパスワードを試すことが知られています。秘密の軍事およびスパイ機関のコンピュータは、桁違いに多くのことができるかもしれません。
実用的な観点から見ると、これは何千もの可能性のプールからパスワードを選択する必要があることを意味します。キーボードで入力できる96文字は、8文字のパスワードを使用して可能性のある4千分の1しか生成できません。安全を確保するために、今日のパスワードはこれまでよりも長くする必要があります。コンピュータは将来さらに強力になり、将来簡単にクラックされないように、今日の安全を感じる必要があるパスワードよりも長いパスワードを選択することもできます。96個の可能な文字に基づくランダムなパスワードには少なくとも10の長さをお勧めしますが、12または14の長さを使用すると、将来のセキュリティのためにはるかに優れたものになります。