Le password sono terribili. Se si utilizza una password debole per il proprio sito Web della banca, si rischia di perdere i fondi per un attacco di cracking a forza bruta. Ma se la password è troppo casuale, potresti dimenticarla e uscire dall’account. Puoi scegliere di memorizzare solo una password complessa e usarla ovunque, ma se lo fai, una violazione in un sito espone tutti i tuoi account. L’unico modo ragionevole è quello di ottenere l’aiuto di un gestore di password e di modificare tutte le password deboli e duplicate in stringhe di caratteri univoche e casuali.Quasi tutti i gestori di password includono un componente per il generatore di password, quindi non è necessario trovare manualmente tali password casuali. (Ma se vuoi una soluzione fai-da-te, ti mostreremo come costruire il tuo generatore di password casuali ). Tuttavia, non tutti i generatori di password sono uguali. Quando sai come funzionano, puoi scegliere quello che è meglio per te e usare quello che hai in modo intelligente.

 

Generatori di password

Quando lanci un paio di dadi, ottieni un risultato veramente casuale. Nessuno può prevedere se avrai occhi da serpente, vagoni o sette fortunati. Ma nel regno dei computer, i randomizzatori fisici come i dadi non sono disponibili. Sì, ci sono alcune fonti di numeri casuali basate sul decadimento radioattivo , ma non le troverai nel gestore di password del consumatore medio.

I gestori di password e altri programmi per computer usano quello che viene chiamato un algoritmo pseudo-casuale. Questo algoritmo inizia con un numero chiamato seed. L’algoritmo elabora il seed e ottiene un nuovo numero senza alcuna traccia tracciabile rispetto al vecchio, e il nuovo numero diventa il seed successivo. Il seme originale non ritorna mai fino a quando non è uscito ogni altro numero. Se il seme era un numero intero a 32 bit, significa che l’algoritmo avrebbe eseguito 4.294.967.295 altri numeri prima di una ripetizione.

Questo va bene per l’uso quotidiano e va bene per le esigenze di generazione di password della maggior parte delle persone. Tuttavia, è teoricamente possibile per un hacker esperto determinare l’algoritmo pseudo-casuale usato. Dato che le informazioni e il seme, l’hacker potrebbe teoricamente replicare la sequenza di numeri casuali (anche se sarebbe difficile).

Passwor Generator Randomization

 

Quella sorta di hacking diretto è straordinariamente improbabile, tranne in un attacco di stato-nazione dedicato, o spionaggio aziendale. Se sei oggetto di un simile attacco, la tua suite di sicurezza probabilmente non ti può proteggere; fortunatamente non sei quasi certamente l’obiettivo di questo tipo di cyber-spia.

 

Anche così, alcuni gestori di password lavorano attivamente per eliminare anche la possibilità remota di un attacco così mirato. Incorporando i propri movimenti del mouse o caratteri casuali nell’algoritmo casuale, ottengono un risultato veramente casuale. Tra quelli che offrono questa casualità del mondo reale ci sono AceBIT Password Depot, KeePass e Steganos Password Manager. Lo screenshot mostra il randomizzatore in stile matrice di Password Depot; sì, i personaggi cadono mentre muovi il mouse.

Hai davvero bisogno di aggiungere la casualizzazione del mondo reale? Probabilmente no. Ma se ti rende felice, fallo!

I gestori di password riducono la casualità

Ovviamente, i generatori di password non restituiscono letteralmente numeri casuali. Piuttosto, restituiscono una stringa di caratteri, usando numeri casuali per scegliere tra i set di caratteri disponibili. Devi sempre abilitare l’uso di tutti i set di caratteri disponibili, a meno che tu non stia generando una password per un sito web che, per esempio, non consente caratteri speciali.

Il gruppo di caratteri disponibili include 26 lettere maiuscole, 26 lettere minuscole e 10 cifre. Include anche una raccolta di caratteri speciali che possono variare da prodotto a prodotto. Per semplicità, diciamo che ci sono 18 caratteri speciali disponibili. Questo rende un bel giro totale di 80 personaggi tra cui scegliere. In una password totalmente casuale, ci sono 80 possibilità per ogni personaggio. Se si sceglie una password di otto caratteri, il numero di possibilità è 80 all’ottava potenza, o 1.677.721.600.000.000, più di un quadrilione. Questo è un duro slogging per un attacco di forza bruta e l’ipotesi di forza bruta è davvero l’unico modo per decifrare una password veramente casuale.

Ovviamente, un generatore totalmente casuale produrrà “aaaaaaaa” e “Covfefe!” e “12345678”, poiché queste sono altrettanto probabili di qualsiasi altra sequenza di otto caratteri. Alcuni generatori di password filtrano attivamente l’output per evitare tali password. Va bene, ma se un hacker conosce questi filtri, in realtà riduce il numero di possibilità e rende più facile il cracking a forza bruta.

Ecco un esempio estremo. Ci sono 40.960.000 possibili password di quattro caratteri, che attingono da una raccolta di 80 caratteri. Ma alcuni generatori di password costringono la selezione di almeno uno da ciascun tipo di personaggio e questo riduce drasticamente le possibilità. Ci sono ancora 80 possibilità per il primo personaggio. Supponiamo che sia una lettera maiuscola; il pool per il secondo personaggio è 54 (80 meno i 26 caratteri maiuscoli). Supponiamo inoltre che il secondo carattere sia una lettera minuscola. Per il terzo carattere, rimangono solo cifre e caratteri speciali, per 28 scelte. E se il terzo carattere è la punteggiatura, l’ultimo deve essere una cifra, 10 scelte. Le nostre 40 milioni di possibilità scendono a 1.209.600.

L’utilizzo di tutti i set di caratteri è una necessità per molti siti Web. Per evitare che tale requisito riduca il tuo pool di password, imposta la lunghezza della password alta. Quando la password è abbastanza lunga, l’effetto di forzare tutti i tipi di caratteri diventa trascurabile.

Generatore di password Fig 4

 

Altri limiti che si applicano ai gestori di password riducono il pool di possibili password inutilmente. Ad esempio, RememBear Premium specifica il numero preciso di caratteri di ciascuno dei quattro set di caratteri, riducendo drasticamente il pool. Per impostazione predefinita, richiede due maiuscole, due cifre, 14 lettere minuscole e nessun simbolo, per un totale di 18 caratteri. Ciò si traduce in un pool di password che è centinaia di milioni di volte più piccolo rispetto a se richiedesse semplicemente uno o più tipi di carattere. Anche in questo caso, puoi ovviare a questo problema impostando una password più lunga.

 
Generatore di password Fig 2

 

LastPass e molti altri predefiniti per evitare coppie di caratteri ambigue come la cifra 0 e la lettera O. Quando non si deve ricordare la password, questo non è necessario; disattivare questa opzione. Allo stesso modo, non scegliere l’opzione per generare una password pronunciabile come “entlestmospa”. Questa opzione è importante solo se si tratta di una password da ricordare. L’applicazione di questa opzione non limita solo a caratteri minuscoli, ma rifiuta il vasto numero di possibilità che il generatore di password ritiene impronunciabile.

Genera password lunghe

Come abbiamo visto, i generatori di password non scelgono necessariamente dal pool di tutte le password possibili che corrispondono alla lunghezza e ai set di caratteri selezionati. Nell’esempio estremo di una password di quattro caratteri che utilizza tutti i set di caratteri, circa il 97% delle possibili password di quattro caratteri non viene mai visualizzata. La soluzione è semplice; vai a lungo! Non devi ricordare queste password, quindi possono essere enormi. Almeno, grande come il sito Web in questione accetta; alcuni impongono limiti.

Più grande è lo spazio di ricerca (quello che ho chiamato il pool di password disponibili), più tempo impiegherebbe un attacco di forza bruta sulla tua password. Puoi giocare con il Calcolatore del mucchio di fieno Password (come in, ago in un pagliaio) sul sito Web di Gibson Research per avere un’idea del valore della lunghezza.

Basta inserire una password per vedere quanto tempo ci vorrebbe. (Il sito promette “NULLA che tu faccia qui, lascia il tuo browser. Quello che succede qui, rimane qui.” Ma attenzione ti suggerisce di evitare di usare le tue password effettive). Una password di quattro caratteri come 1eA e non richiederebbe un bel giorno di crack, se l’hacker deve inviare ipotesi online. Ma in uno scenario offline, in cui l’hacker può provare a indovinare ad alta velocità, il tempo di cracking è una frazione di secondo.

 
Password Generator Fig.3

Nel mio articolo sulla creazione di password forti e memorabili (per cose come la password principale di un gestore di password) suggerisco una tecnica mnemonica che trasforma una linea da una poesia o gioca in una password dall’aspetto casuale. Ad esempio, una riga di Romeo and Juliet, Act 2, Scene 2, diventa “bS, wLtYdWdB? A2S2”. Questa non è una password casuale, ma un cracker non lo sa. Lasciandolo cadere nella calcolatrice di Gibson apprendiamo che anche usando un massiccio schiocco di cracking ci vorrebbero 1,41 milioni di secoli per forzare questa forza.