ランダムに生成されたパスワードは安全ですか?


8

ランダムなパスワードを生成できるロボフォームのようなアプリ。たぶん、賢く、パスワードジェネレーターがどのように動作してパスワードを簡単に解読できるかを知っているハッカープログラムがあるのでしょうか。多分彼らはいくつかのパターンを知っていますか?

また、LastPassについてどう思いますか?あなたのパスワードはクラウドのどこかに保存されています。そこで何が起きるかは誰にもわかりません...管理者は不思議に思うかもしれませんし、ハッカーがクラウドをハックできるかもしれません。


ランダムパスワードは、他のパスワードと同じガイドラインに従う必要があります。-スーパーユーザは、パスワードの推奨事項に関する質問があるsuperuser.com/questions/15388/...
DVIN

回答:


8

多分。それはランダムです、それはpassword1

より正確には、はい、安全です。それらは真の疑似ランダム(または、少なくとも適切なパスワード管理アプリケーションで見つかるような優れたジェネレーター)ではありませんが、ランダムではないが非常に推測しにくいパスワードを作成するように設計されたルールに従います。

パスワードクラッキングは既知の予測可能なものであり、これを使用して、パスワードクラックに対抗するのに効果的なパスワードを作成できます。辞書の単語ではなく、長い、記号、文字、数字などの両方の場合。クラッカーを作成する人々はジェネレーターの仕組みを知っている一方で、ジェネレーターを書く人々はクラッカーの仕組みも知っているため、クラッキングに数百万年かかる現代のマシンにかかるパスワードの生成は難しい課題ではありません。

ラストパスについては、私が知る限り、あなたのパスワードコンテナーはローカルで暗号化および復号化されるため、侵害される可能性はほとんどありません。残念ながら、ラストパスを使用してラストパスコンテナーを保護することはできないため、パスワードを生成するための独自のパスワード生成スキルに依存する必要があります。


3

私はランダムパスワード生成サイトhttp://passwordcreator.orgの作成者です。安全なランダムパスワードの作成についてそのサイトを作成する過程で私が学んだことは次のとおりです。

ランダムソース

コンピューター上のほとんどの乱数ジェネレーターは、疑似ランダムです。これらはアルゴリズムに基づいており、パスワードの生成には適していません。彼らは通常、現在の時刻がシードされています。その1つの情報がわかっている(または推測できる)場合は、それらの出力を再現して、生成されたはずのパスワードを確認できます。

パスワードを生成するには、暗号で保護された疑似乱数ジェネレータ(CPRNG)を使用する必要があります。ウィキペディアから、このタイプの乱数ジェネレーターの2つの要件は次のとおりです。

  • ランダムシーケンスの最初のkビットを考えると、50%よりも高い成功確率で(k + 1)番目のビットを予測できる多項式時間アルゴリズムはありません。
  • その状態の一部またはすべてが明らかになった(または正しく推測された)場合、啓示の前に乱数のストリームを再構築することは不可能であるべきです。さらに、実行中にエントロピー入力がある場合、入力の状態に関する知識を使用して、CSPRNG状態の将来の状態を予測することは不可能です。

最近のWebブラウザー(Internet Explorerの注目すべき例外を除く)は、JavaScriptで暗号化された安全な乱数ジェネレーターを備えた暗号APIを利用できるようになりました。これにより、私のようなWebサイトでは、いつどこで生成されたかを知ることに基づいて、一意で推測できないパスワードを簡単に生成できます。

パスワードの長さ

パスワードに対する一般的な攻撃は、暗号化された(ハッシュされた)パスワードが格納されているデータベースに攻撃者がアクセスすることです。その後、攻撃者は推測を生成し、同じハッシュアルゴリズムを使用して推測をハッシュし、一致するものがあるかどうかを確認できます。 このような攻撃に対して脆弱なパスワードの数を示す記事を次に示します。 コンピュータは今や強力であり、攻撃者は毎秒1,000億のパスワードを試すことが知られています。秘密の軍事およびスパイ機関のコンピュータは、桁違いに多くのことができるかもしれません。

実用的な観点から見ると、これは何千もの可能性のプールからパスワードを選択する必要があることを意味します。キーボードで入力できる96文字は、8文字のパスワードを使用して可能性のある4千分の1しか生成できません。安全を確保するために、今日のパスワードはこれまでよりも長くする必要があります。コンピュータは将来さらに強力になり、将来簡単にクラックされないように、今日の安全を感じる必要があるパスワードよりも長いパスワードを選択することもできます。96個の可能な文字に基づくランダムなパスワードには少なくとも10の長さをお勧めしますが、12または14の長さを使用すると、将来のセキュリティのためにはるかに優れたものになります。


0

パスワード生成ルーチンのitakeパラメータが、パスワードが生成されるコンテキストから完全に独立している場合(例:WebサイトのURLとログイン名を要求せず、パスワードの生成中にこのデータを繰り返し可能な方法で含める)このルーチンで生成されたパスワードは十分に強力であると比較的確信できます(適切な長さと複雑さの場合)。

上記のシナリオに関係するマシンのいずれかが何らかの方法で侵害されている場合、パスワードが任意のレベルのセキュリティを提供できるという確実性が低下する可能性があります。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.