Apakah Kata Sandi yang Dihasilkan Secara Acak Aman?

8

Aplikasi seperti Roboform yang memungkinkan menghasilkan kata sandi acak. Mungkin ada program peretas yang cerdas dan tahu cara kerja pembuat kata sandi yang membuatnya lebih mudah memecahkan kata sandi? Mungkin mereka tahu beberapa pola?

Apa pendapat Anda tentang LastPass? Kata sandi Anda disimpan di cloud di suatu tempat. Siapa yang tahu apa yang bisa terjadi di sana ... Administrator mungkin ingin tahu atau peretas dapat meretas cloud.

Boris_yo
sumber
Kata sandi acak harus mengikuti pedoman yang sama dengan kata sandi apa pun. SuperUser memiliki pertanyaan mengenai rekomendasi kata sandi - superuser.com/questions/15388/…
dvin

Jawaban:

8

Mungkin. Ini acak, bisa keluar sebagai password1!

Atau lebih tepatnya, Ya, mereka aman . Mereka tidak benar-benar pseudorandom (Atau setidaknya, generator yang bagus, seperti yang akan Anda temukan di aplikasi manajemen kata sandi yang tepat), tetapi ikuti aturan yang dirancang untuk membuat kata sandi yang tidak acak, tetapi sangat sulit ditebak.

Peretas kata sandi adalah hal yang diketahui dan dapat diprediksi, dan Anda dapat menggunakannya untuk membuat kata sandi yang efektif untuk menolaknya. Bukan kata-kata kamus, panjang, dengan simbol, baik huruf, angka, dan sebagainya. Menghasilkan kata sandi yang membutuhkan mesin modern beberapa juta tahun untuk retak bukanlah tantangan yang sulit - karena sementara orang yang menulis cracker tahu cara kerja generator, orang yang menulis generator tahu bagaimana cracker bekerja juga.

Adapun lastpass, sejauh yang saya tahu wadah kata sandi Anda dienkripsi dan didekripsi secara lokal, sehingga sangat, sangat kecil kemungkinan hal itu pernah dikompromikan. Sayangnya, Anda tidak dapat menggunakan lastpass untuk melindungi wadah lastpass Anda, jadi Anda harus mengandalkan keterampilan menghasilkan kata sandi Anda sendiri untuk mengingatnya!

Phoshi
sumber
3

Saya penulis situs penghasil kata sandi acak http://passwordcreator.org . Inilah yang saya pelajari dalam proses membuat situs itu tentang membuat kata sandi acak aman:

Sumber Acak

Sebagian besar generator angka acak di komputer adalah psuedorandom. Mereka didasarkan pada algoritma dan tidak sesuai untuk menghasilkan kata sandi. Mereka umumnya diunggulkan dengan waktu saat ini. Jika informasi itu diketahui (atau dapat ditebak), dimungkinkan untuk mereproduksi output mereka dan melihat kata sandi yang akan dihasilkan.

Untuk menghasilkan kata sandi, generator nomor acak semu yang aman secara kriptografis (CPRNG) harus digunakan. Dari Wikipedia, dua persyaratan untuk pembangkit bilangan acak jenis ini adalah:

  • diberikan k bit pertama dari urutan acak, tidak ada algoritma waktu polinomial yang dapat memprediksi bit k (1) dengan probabilitas keberhasilan lebih baik dari 50%.
  • Jika sebagian atau seluruh negaranya telah diungkapkan (atau ditebak dengan benar), seharusnya tidak mungkin untuk merekonstruksi aliran bilangan acak sebelum wahyu. Selain itu, jika ada input entropi saat berjalan, harus tidak layak menggunakan pengetahuan tentang kondisi input untuk memprediksi kondisi CSPRNG di masa depan.

Browser web modern (dengan pengecualian Internet Explorer) sekarang memiliki API crypto yang tersedia untuk JavaScript yang memiliki generator nomor acak yang aman secara kriptografis . Ini memudahkan situs web seperti milik saya untuk membuat kata sandi yang unik dan tidak dapat ditebak berdasarkan pengetahuan kapan dan di mana mereka dihasilkan.

Panjang Kata Sandi

Serangan umum terhadap kata sandi adalah bagi penyerang untuk mendapatkan akses ke database tempat kata sandi terenkripsi (hash) disimpan. Penyerang kemudian dapat menghasilkan tebakan, hash tebakan dengan menggunakan algoritma hashing yang sama, dan melihat apakah mereka mendapatkan kecocokan. Berikut adalah artikel yang menunjukkan seberapa banyak kata sandi yang rentan terhadap serangan semacam itu. Komputer sekarang cukup kuat sehingga penyerang diketahui mencoba 100 miliar kata sandi per detik. Komputer rahasia militer dan agen mata-mata mungkin dapat melakukan perintah lebih besar.

Dari sudut pandang praktis, itu berarti bahwa kata sandi perlu dipilih dari kumpulan kemungkinan. Ke-96 karakter yang dapat diketik pada keyboard hanya dapat menghasilkan empat kali lipat kemungkinan menggunakan kata sandi delapan karakter. Agar aman, kata sandi harus lebih panjang hari ini daripada yang pernah ada di masa lalu. Komputer akan menjadi lebih kuat di masa depan dan Anda mungkin ingin memilih kata sandi yang bahkan lebih lama dari apa yang Anda butuhkan untuk merasa aman hari ini sehingga mereka tidak dapat dipecahkan dengan mudah di masa depan juga. Saya akan merekomendasikan setidaknya 10 panjang untuk kata sandi acak berdasarkan 96 karakter yang mungkin, tetapi menggunakan panjang 12 atau 14 akan jauh lebih baik untuk keamanan di masa depan.

Stephen Ostermiller
sumber
0

Jika parameter itake dari rutinitas pembuatan kata sandi benar-benar terlepas dari konteks tempat kata sandi dibuat (misalnya: tidak meminta url situs web, dan nama masuk dan memasukkan data ini dengan cara yang dapat diulangi saat menghasilkan kata sandi) maka orang dapat relatif yakin bahwa kata sandi apa pun yang dihasilkan oleh rutin ini akan cukup kuat (mengingat panjang dan kompleksitas yang memadai).

Jika ada mesin yang terlibat dalam skenario di atas dikompromikan dengan cara apa pun kepastian bahwa kata sandi dapat memberikan tingkat keamanan apa pun dapat dikurangi.

Frederick
sumber