Le password generate casualmente sono sicure?

App come Roboform che consente di generare password casuali. Forse ci sono programmi di hacker che sono intelligenti e sanno come funzionano i generatori di password che consentono loro di decifrare le password più facilmente? Forse conoscono qualche modello?

Cosa ne pensi di LastPass? Le password sono archiviate nel cloud da qualche parte. Chissà cosa può succedere lì ... Gli amministratori possono diventare curiosi o gli hacker possono hackerare il cloud.

Probabilmente. È casuale, potrebbe venire fuori come password1!

O più precisamente, Sì, sono sicuri . Non sono veramente pseudocasuali (o almeno, nessun buon generatore, come si potrebbe trovare in una corretta applicazione di gestione delle password), ma seguono regole progettate per creare password che non sono casuali, ma molto difficili da indovinare.

Il crack delle password è una cosa nota e prevedibile e puoi usarla per creare password efficaci per resistere. Non parole del dizionario, lunghe, con simboli, entrambi i casi di lettere, numeri, ecc. Generare una password che impiegherebbe qualche macchina moderna a craccare qualche milione di anni non è una sfida difficile, perché mentre le persone che scrivono i cracker sanno come funziona il generatore, le persone che scrivono il generatore sanno anche come funzionano i cracker.

Per quanto riguarda lastpass, per quanto ne so il tuo contenitore di password è crittografato e decrittografato localmente, quindi sono davvero poche le possibilità che ciò venga compromesso. Sfortunatamente, non puoi usare lastpass per proteggere il tuo contenitore lastpass, quindi dovrai fare affidamento sulle tue abilità di generazione di password per ricordarlo!

Sono l'autore del sito di generazione di password casuali http://passwordcreator.org . Ecco cosa ho imparato nel processo di creazione di quel sito sulla creazione di password casuali sicure:

Fonte casuale

La maggior parte dei generatori di numeri casuali sui computer sono psuedorandom. Sono basati su algoritmi e non sono appropriati per la generazione di password. Sono generalmente seminati con l'ora corrente. Se quell'unica informazione è nota (o può essere indovinata), è possibile riprodurre il proprio output e vedere le password che sarebbero state generate.

Per generare una password, è necessario utilizzare un generatore di numeri pseudo-casuali (CPRNG) crittograficamente sicuro . Da Wikipedia, i due requisiti di questo tipo di generatore di numeri casuali sono:

• dati i primi k bit di una sequenza casuale, non esiste un algoritmo a tempo polinomiale in grado di prevedere il (k + 1) th bit con probabilità di successo migliore del 50%.
• Nel caso in cui una parte o tutto il suo stato sia stato rivelato (o indovinato correttamente), dovrebbe essere impossibile ricostruire il flusso di numeri casuali prima della rivelazione. Inoltre, se durante l'esecuzione è presente un input entropico, dovrebbe essere impossibile utilizzare la conoscenza dello stato dell'input per prevedere le condizioni future dello stato CSPRNG.

I browser Web moderni (con la notevole eccezione di Internet Explorer) hanno ora un'API crittografica disponibile per JavaScript che ha un generatore di numeri casuali crittograficamente sicuro . Questo rende facile per i siti Web come il mio generare password uniche e non indovinabili in base al sapere quando e dove sono state generate.

Lunghezza della password

Un attacco comune contro le password è che l'utente malintenzionato ottenga l'accesso al database in cui sono archiviate le password crittografate (con hash). L'attaccante può quindi generare ipotesi, eseguire l'hash delle ipotesi utilizzando lo stesso algoritmo di hash e vedere se ottengono corrispondenze. Ecco un articolo che mostra quante password sono vulnerabili a un simile attacco. I computer sono ora abbastanza potenti da consentire agli aggressori di provare 100 miliardi di password al secondo. I computer segreti delle agenzie militari e di spionaggio potrebbero essere in grado di eseguire ulteriori ordini di grandezza.

Da un punto di vista pratico, ciò significa che una password deve essere scelta da un pool di quintilioni di possibilità. I 96 caratteri che possono essere digitati su una tastiera possono generare solo quadrilioni di possibilità utilizzando una password di otto caratteri. Per essere sicuri, le password devono essere più lunghe oggi di quanto non siano mai state in passato. I computer diventeranno più potenti in futuro e potresti voler scegliere password ancora più lunghe di quelle di cui potresti aver bisogno per sentirti al sicuro oggi, in modo che non possano essere facilmente violate in futuro. Raccomanderei almeno una lunghezza di 10 per password casuali basate su 96 caratteri possibili, ma l'utilizzo di una lunghezza di 12 o 14 sarebbe molto meglio per la sicurezza futura.

Se i parametri itake della routine di generazione password sono completamente indipendenti dal contesto per cui viene generata la password (esempio: non richiede l'URL del sito Web e il nome di accesso e include questi dati in modo ripetibile durante la generazione della password), si può essere relativamente certi che qualsiasi password generata da questa routine sarebbe sufficientemente forte (data la lunghezza e la complessità adeguate).

Se una qualsiasi delle macchine coinvolte nello scenario sopra è compresa in qualche modo, la certezza che la password può fornire qualsiasi livello di sicurezza può essere ridotta.