تقریباً هر وب سایتی که بازدید می کنید می خواهد یک حساب کاربری ایجاد کند ، چه معاملات مالی با امنیت بالا و چه بازی های حیوانات دیوانه. نمی توانید با کلمه عبور یکسان برای همه آنها فرار کنید ، زیرا در این صورت نقض هر سایتی همه آنها را به خطر می اندازد. و به راحتی نمی توانید رمز عبور متفاوتی را برای هر سایت به خاطر بسپارید. تنها راه حل معقول این است که یک مدیر رمز عبور نصب کنید و از آن برای ذخیره و بهبود رمزهای عبور خود استفاده کنید. هر بار که یک رمز ورود بسیار ساده را با یک رمز عبور طولانی ، قوی و تصادفی جایگزین کنید ، امنیت کلی خود را بهبود می بخشید. اما این رمزهای عبور طولانی ، قوی و تصادفی را از کجا می آورید؟

تقریباً هر مدیر کلمه عبور شامل یک مولفه ایجاد کننده رمز عبور است ، بنابراین مجبور نیستید خود این رمزهای عبور تصادفی را اختراع کنید. (اما اگر شما خواستن راه حل خودتان انجام دهید ، ما به شما نشان خواهیم داد که چگونه یک تولید کننده رمز عبور تصادفی خود ایجاد کنید). با این حال ، همه تولیدکنندگان رمز عبور یکسان ایجاد نشده اند. هنگامی که نحوه کار آنها را فهمیدید ، می توانید یکی را که برای شما مناسب است انتخاب کنید و از یکی که هوشمندانه استفاده کرده اید استفاده کنید.

ژنراتورهای رمز عبور – تصادفی یا نه؟

وقتی یک جفت تاس می چرخانید ، یک نتیجه کاملاً تصادفی به دست می آورید. هیچ کس نمی تواند پیش بینی کند که به چشم مار ، گاری یا هفت خوش شانس مبتلا خواهید شد. اما در زمینه رایانه ، تصادفی سازی های فیزیکی مانند تاس در دسترس نیست. بله ، چندین منبع اعداد تصادفی بر اساس فروپاشی رادیواکتیو وجود دارد ، اما آنها را در یک مدیر رمز عبور کاربر عادی پیدا نمی کنید.

مدیران رمزهای عبور و سایر برنامه های رایانه ای از الگوریتم شبه تصادفی به اصطلاح استفاده می کنند. این الگوریتم با عددی به نام seed شروع می شود. الگوریتم دانه را پردازش می کند و بدون اتصال قابل ردیابی با شماره قدیمی ، یک عدد جدید می گیرد و عدد جدید دانه بعدی می شود. بذر اصلی هرگز ظاهر نمی شود تا زمانی که عدد دیگری ظاهر شود. اگر دانه یک عدد صحیح 32 بیتی باشد ، این بدان معناست که الگوریتم قبل از تکرار از 4،294،967،295 عدد دیگر عبور خواهد کرد.

این مورد برای استفاده روزمره خوب و برای نیاز اکثر مردم به تولید گذرواژه مفید است. با این حال ، از نظر تئوریک یک هکر باتجربه امکان تعیین الگوریتم شبه تصادفی استفاده شده را دارد. با توجه به این اطلاعات و دانه ها ، هکر می تواند توالی اعداد تصادفی را تکرار کند (اگرچه کار دشواری است).

این نوع هک هدفمند بسیار بعید است ، مگر در مورد حمله ملی خاص یا جاسوسی شرکتی. اگر هدف چنین حمله ای باشید ، بسته امنیتی شما نمی تواند از شما محافظت کند. خوشبختانه ، شما مطمئناً هدف این نوع جاسوسی اینترنتی نیستید.

با این حال ، چندین مدیر رمز عبور به طور فعال در تلاشند تا حتی از راه دور چنین حمله متمرکز را از بین ببرند. با قرار دادن حرکات موس یا کاراکترهای تصادفی در الگوریتم تصادفی ، آنها نتیجه ای کاملاً تصادفی می گیرند. از جمله کسانی که این تصادفی سازی واقعی را ارائه می دهند ، AceBIT Password Depot ، KeePass و Steganos Password Manager هستند. تصویر بالا تصادفی ساز به سبک ماتریس رمز عبور ذخیره را نشان می دهد. بله ، هنگام حرکت ماوس شخصیت ها سقوط می کنند.

آیا واقعاً باید تصادفی سازی را به دنیای واقعی اضافه کنید؟ احتمالا نه. اما اگر از آن لذت می برید ، ادامه دهید!

مدیران رمز عبور تصادفی بودن را کاهش می دهند

البته ، تولیدکنندگان رمز عبور به معنای واقعی کلمه اعداد تصادفی را بر نمی گردانند. بلکه آنها یک رشته از کاراکترها را برمی گردانند ، استفاده كردن اعداد تصادفی برای انتخاب از بین مجموعه نویسه های موجود. شما همیشه باید اجازه استفاده از همه مجموعه نویسه های موجود را بدهید ، مگر اینکه برای وب سایتی رمز عبور ایجاد کنید که مثلاً نویسه های خاصی را مجاز نمی داند.

مجموعه کاراکترهای موجود شامل 26 حرف بزرگ ، 26 حرف کوچک و 10 رقم است. همچنین شامل مجموعه ای از شخصیت های خاص است که بسته به محصول متفاوت است. برای سادگی ، بگذارید بگوییم 18 شخصیت ویژه در دسترس است. این یک دایره خوب را تشکیل می دهد که در مجموع 80 کاراکتر را انتخاب می کنید. در یک رمز عبور کاملا تصادفی 80 گزینه برای هر کاراکتر وجود دارد. اگر گذرواژه هشت کاراکتری را انتخاب کنید ، تعداد امکانات از 80 تا درجه هشتم یا 1،677،721،600،000،000 – بیش از یک چهارم میلیارد است. راه اندازی حمله Brute Force دشوار است و حدس زدن Brute Force در واقع تنها راه شکستن یک رمز عبور کاملاً تصادفی است.

البته ، یک مولد کاملاً تصادفی در نهایت “aaaaaaaa” و “Covfefe!” و “12345678” زیرا به احتمال زیاد مانند سکانس های هشت شخصیت دیگر است. برخی از تولیدکنندگان رمز عبور فعالانه خروجی خود را فیلتر می کنند تا از چنین رمزهای عبور جلوگیری کنند. خوب است ، اما اگر یک هکر از این فیلترها اطلاع داشته باشد ، در واقع از تعداد احتمالات می کاهد و بی رحمی را تسهیل می کند.

در اینجا یک مثال افراطی آورده شده است. 40960،000 رمزعبور چهار کاراکتری ممکن وجود دارد که از یک مجموعه 80 کاراکتری مشتق شده است. اما برخی از تولیدکنندگان رمز ورود شما را مجبور می کنند حداقل از هر نوع کاراکتر یکی را انتخاب کنید و این به شدت احتمالات را کاهش می دهد. هنوز 80 گزینه برای شخصیت اول وجود دارد. فرض کنید این یک حرف بزرگ است؛ مجموعه شخصیت دوم 54 است (80 منهای 26 شخصیت اصلی). همچنین ، فرض کنید کاراکتر دوم یک حرف کوچک است. برای کاراکتر سوم ، فقط اعداد و نویسه های ویژه برای 28 انتخاب باقی می مانند. و اگر کاراکتر سوم یک نقطه گذاری است ، آخرین آن باید یک عدد ، 10 گزینه باشد. 40 میلیون قابلیت ما به 1،209،600 کاهش می یابد.

استفاده از همه مجموعه کاراکترها برای بسیاری از وب سایت ها یک ضرورت است. برای جلوگیری از این مورد برای کوچک کردن استخر رمز عبور ، ارتفاع طول رمز عبور را تنظیم کنید. وقتی گذرواژه به اندازه کافی طولانی باشد ، تأثیر اجرای انواع شخصیتها بسیار ناچیز می شود.

انتخاب نویسه ها برای یک رمز عبور در RememBear

محدودیت های دیگری که توسط مدیران گذرواژه اعمال می شود ، بی مورد مجموعه رمزهای عبور احتمالی را کاهش می دهد. به عنوان مثال ، RememBear Premium تعداد دقیق کاراکترهای هر مجموعه چهار کاراکتری را تنظیم می کند ، که باعث کاهش شدید جمع می شود. به طور پیش فرض ، دو حرف بزرگ ، دو عدد ، 14 حرف کوچک و هیچ کاراکتر برای مجموع 18 کاراکتر مورد نیاز نیست. این منجر به مجموعه ای از رمزهای عبور می شود که صدها میلیون برابر کوچکتر از یک یا چند مورد از هر نوع کاراکتر است. در اینجا دوباره می توانید با تنظیم طول رمز عبور طولانی تر ، این مشکل را جبران کنید.

انتخاب نویسه های سازنده رمز عبور در LastPass

LastPass و چندین مورد دیگر به طور پیش فرض از جفت شخصیت های مبهم مانند شماره 0 و حرف O جلوگیری می کنند. اگر لازم نیست رمز عبور را به خاطر بسپارید ، این لازم نیست این گزینه را خاموش کنید به همین ترتیب ، گزینه تولید رمز ورود گفتاری مانند “bogafewazepa” را انتخاب نکنید. این گزینه فقط در صورت مهم بودن رمز ورود مهم است که باید آن را بخاطر بسپارید. اعمال این گزینه نه تنها شما را به حروف کوچک محدود می کند ، بلکه تعداد زیادی از گزینه هایی را که سازنده رمز عبور غیرقابل اعلام می داند رد می کند.

رمزهای عبور طولانی ایجاد کنید

همانطور که دیدیم ، تولیدکنندگان رمز عبور نیازی به انتخاب مجموعه ای از کلمه عبورهای ممکن مربوط به طول و مجموعه کاراکترهای انتخابی شما ندارند. در مثال شدید یک رمز عبور چهار کاراکتری با استفاده از تمام مجموعه های کاراکتر ، حدود 97 درصد از کلمات عبور چهار کاراکتر ممکن هرگز نمایش داده نمی شوند. راه حل ساده است. راه طولانی برو! نیازی نیست که این رمزهای عبور را به خاطر بسپارید ، بنابراین ممکن است بسیار زیاد باشند. حداقل به اندازه وب سایت مورد نظر عظیم است. برخی محدودیت ها را اعمال می کنند.

هرچه فضای جستجو بزرگتر باشد (همان چیزی که من آن را مجموعه ای از رمزهای عبور موجود می نامم) ، حمله طولانی تر به رمز عبور شما طول می کشد. شما می توانید با استفاده از ماشین حساب رمز یونجه (مانند سوزن در انبار کاه) در وب سایت تحقیقات گیبسون تحقیق کنید تا ارزش طول را احساس کنید.

فقط یک رمز عبور وارد کنید تا ببینید چه مدت حفاری طول می کشد. (سایت قول می دهد “هیچ کاری که در اینجا انجام می دهید هرگز از مرورگر شما خارج نمی شود. آنچه در اینجا اتفاق می افتد در اینجا باقی می ماند.” اما به شما توجه می شود از استفاده از رمزهای عبور واقعی خود جلوگیری کنید) اگر یک هکر مجبور شود حدس های آنلاین را بفرستد ، رمزعبور چهار کاراکتری مانند 9kM دلار بیش از یک روز طول خواهد کشید. اما در یک سناریوی آفلاین که هکر می تواند فرضیه ها را با سرعت بالا آزمایش کند ، زمان خرابی کسری از ثانیه است.

مولد رمزعبور جستجوی فضا

در مقاله خودم در مورد ایجاد رمزهای عبور قوی به یاد ماندنی (برای مواردی مانند رمز عبور مدیر مدیر رمز عبور) ، من یک تکنیک mnemonic را ارائه می دهم که یک خط را از یک شعر یا یک بازی به یک رمز عبور تصادفی تبدیل می کند. به عنوان مثال ، یک خط از رومئو و ژولیت ، قانون 2 ، صحنه 2 ، تبدیل به “bS ، wLtYdWdB؟ A2S2 “. این یک رمز عبور تصادفی نیست ، اما هکر آن را نمی داند. با قرار دادن آن در محاسبات گیبسون ، می فهمیم که حتی استفاده از یک آرایه ترک خورده عظیم نیز به اجبار 1.41 صد میلیون قرن نیاز دارد.

با آگاهی از مدیر رمز عبور انتخاب کنید

اکنون می دانید – مهمترین عامل ایجاد رمزهای عبور قوی و تصادفی طولانی بودن آنهاست. برخی از تولیدکنندگان رمز ورود رمزهایی را که شامل همه مجموعه کاراکترها نباشد ، برخی دیگر کلمات داخلی را در فرهنگ لغت رد می کنند ، برخی دیگر رمزهای ورود را که دارای یک شخصیت مبهم مانند حروف کوچک و شماره 1 هستند رد می کنند. رمزهای عبور ممکن است ، اما وقتی طول به اندازه کافی زیاد باشد ، این محدودیت مهم نیست.

البته از نظر تئوریک (اگر در عمل نباشد) برای یک مهاجم این امکان وجود دارد که طرح تولید رمز ورود مدیر رمزعبور مورد علاقه شما را هک کرده و بدین ترتیب توانایی پیش بینی رمزهای تصادفی شبه ای را که به شما ارائه می دهد بدست آورد. یک برنامه مدیریت سایه رمز می تواند رمزهای عبور تصادفی شما را به دفتر مرکزی شرکت بازگرداند. این واقعاً در سطح نگرانی در مورد پارانویای گل مایع است. اما اگر واقعاً نمی خواهید برای گذرواژه های تصادفی خود به شخص دیگری اعتماد کنید ، می توانید مولد رمز عبور تصادفی خود را در اکسل ایجاد کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *