Mật khẩu thật khủng khiếp. Nếu bạn sử dụng mật khẩu yếu cho trang web của ngân hàng, bạn có nguy cơ mất tiền trong một cuộc tấn công bạo lực. Nhưng nếu bạn đặt mật khẩu quá ngẫu nhiên, bạn có thể quên mật khẩu đó và đăng xuất khỏi tài khoản của mình. Bạn chỉ có thể nhớ một mật khẩu phức tạp và sử dụng nó ở mọi nơi, nhưng nếu bạn làm vậy, một cuộc tấn công trên một trang web sẽ làm lộ tất cả tài khoản của bạn. Cách duy nhất hợp lý nhất của bạn là tranh thủ sự trợ giúp của người quản lý mật khẩu và thay thế tất cả các mật khẩu yếu và lặp lại của bạn bằng các chuỗi ký tự ngẫu nhiên duy nhất.
Hầu hết mọi trình quản lý mật khẩu đều bao gồm một thành phần tạo mật khẩu, vì vậy bạn không cần phải tự mình nghĩ ra những mật khẩu ngẫu nhiên đó. (Nhưng nếu bạn muốn giải pháp do-it-yourself, chúng tôi sẽ chỉ cho bạn cách tạo trình tạo mật khẩu ngẫu nhiên của riêng bạn). Tuy nhiên, không phải tất cả các trình tạo mật khẩu đều giống nhau. Khi bạn biết chúng hoạt động như thế nào, bạn có thể chọn cái phù hợp nhất với mình và sử dụng cái bạn có một cách khôn ngoan.
Trình tạo mật khẩu – ngẫu nhiên hay không?
Khi bạn tung một vài viên xúc xắc, bạn sẽ nhận được một kết quả thực sự ngẫu nhiên. Không ai có thể đoán trước được bạn sẽ nhận được mắt rắn, xế hộp, hay may mắn. Nhưng trong lĩnh vực máy tính, các bộ ngẫu nhiên vật lý như xúc xắc không có sẵn. Có, có một số nguồn của số ngẫu nhiên dựa trên sự phân rã phóng xạnhưng bạn sẽ không tìm thấy chúng trong trình quản lý mật khẩu phía người tiêu dùng thông thường.
Trình quản lý mật khẩu và các chương trình máy tính khác sử dụng cái gọi là thuật toán giả ngẫu nhiên. Thuật toán này bắt đầu với một số được gọi là hạt giống. Thuật toán xử lý hạt giống và nhận được một số mới không có kết nối theo dõi với số cũ và số mới trở thành hạt giống tiếp theo. Hạt giống ban đầu sẽ không bao giờ xuất hiện nữa cho đến khi tất cả các số khác đã xuất hiện. Nếu hạt giống là một số nguyên 32 bit, điều này có nghĩa là thuật toán sẽ xử lý 4,294,967,295 số khác trước khi lặp lại.
Điều này là bình thường đối với việc sử dụng hàng ngày và phù hợp với hầu hết những người tạo mật khẩu. Tuy nhiên, về mặt lý thuyết, một hacker có kỹ năng có thể xác định thuật toán giả ngẫu nhiên nào đang được sử dụng. Với thông tin này và giá trị ban đầu, một tin tặc có thể hình dung ra một chuỗi các số ngẫu nhiên (mặc dù điều này sẽ khó khăn).
Loại hack có chủ đích này cực kỳ khó xảy ra, ngoại trừ một cuộc tấn công có chủ đích nhằm vào hoạt động gián điệp của nhà nước hoặc công ty. Nếu bạn đang bị tấn công như vậy, gói bảo mật của bạn có thể sẽ không thể bảo vệ bạn; may mắn thay, bạn gần như chắc chắn không phải là mục tiêu của loại gián điệp mạng này.
Mặc dù vậy, một số trình quản lý mật khẩu đang tích cực làm việc để loại bỏ ngay cả khả năng từ xa của một cuộc tấn công có chủ đích như vậy. Bằng cách kết hợp các chuyển động chuột hoặc các ký tự ngẫu nhiên của riêng bạn vào một thuật toán ngẫu nhiên, chúng sẽ nhận được một kết quả thực sự ngẫu nhiên. Trong số những người cung cấp sự ngẫu nhiên thực sự này có AceBIT Password Depot, KeePass và Steganos Password Manager. Ảnh chụp màn hình hiển thị bộ ngẫu nhiên dưới dạng ma trận Kho lưu trữ mật khẩu; có, các ký tự rơi khi bạn di chuyển chuột.
Bạn có thực sự cần thêm ngẫu nhiên thế giới thực không? Có lẽ là không. Nhưng nếu nó làm cho bạn hạnh phúc, hãy đi cho nó!
Trình quản lý mật khẩu giảm tính ngẫu nhiên
Tất nhiên, trình tạo mật khẩu không trả về số ngẫu nhiên theo nghĩa đen. Đúng hơn, chúng trả về một chuỗi ký tự, qua số ngẫu nhiên để chọn từ các bộ ký tự có sẵn. Bạn phải luôn cho phép tất cả các bộ ký tự có sẵn, trừ khi bạn đang tạo mật khẩu cho một trang web không cho phép các ký tự đặc biệt.
Nhóm các ký tự có sẵn bao gồm 26 chữ hoa, 26 chữ thường và 10 số. Nó cũng bao gồm một tập hợp các ký tự đặc biệt có thể khác nhau giữa các sản phẩm. Để đơn giản, giả sử có 18 ký tự đặc biệt. Điều này tạo ra một vòng 80 ký tự đẹp để bạn lựa chọn. Trong một mật khẩu hoàn toàn ngẫu nhiên, có 80 sự lựa chọn cho mỗi ký tự. Nếu bạn chọn một mật khẩu có tám chữ số, số lượng lựa chọn có thể là 80 đến lũy thừa của 8, hoặc 1.677.721.600.000.000, hoặc hơn một triệu tỷ. Đây là một thủ tục khó bẻ khóa bằng bạo lực và đoán bằng bạo lực là cách duy nhất để bẻ khóa một mật khẩu thực sự ngẫu nhiên.
Tất nhiên, một trình tạo hoàn toàn ngẫu nhiên cuối cùng sẽ tạo ra “aaaaaaah” và “Kovfef!” và “12345678” vì chúng cũng giống như bất kỳ chuỗi tám ký tự nào khác. Một số trình tạo mật khẩu chủ động lọc đầu ra của chúng để tránh những mật khẩu như vậy. Điều này không sao cả, nhưng nếu hacker biết được các bộ lọc này, nó sẽ thực sự làm giảm khả năng xảy ra và khiến cho việc bạo lực trở nên dễ dàng hơn.
Đây là một ví dụ điển hình. Có 40.960.000 mật khẩu bốn ký tự, được lấy từ bộ 80 ký tự. Nhưng một số trình tạo mật khẩu buộc bạn phải chọn ít nhất một ký tự của mỗi loại và điều này làm giảm đáng kể khả năng. Có thêm 80 tùy chọn cho ký tự đầu tiên. Hãy giả sử đó là một chữ cái viết hoa; tổng cho ký tự thứ hai là 54 (80 trừ 26 chữ in hoa). Hơn nữa, giả sử rằng ký tự thứ hai là một ký tự viết thường. Đối với ký tự thứ ba, chỉ còn lại số và ký tự đặc biệt từ 28 tùy chọn. Và nếu ký tự thứ ba là dấu chấm câu thì ký tự cuối cùng phải là một số, 10 tùy chọn. 40 triệu cơ hội của chúng tôi giảm xuống còn 1.209.600.
Việc sử dụng tất cả các bộ ký tự là cần thiết cho nhiều trang web. Để ngăn yêu cầu này thu hẹp nhóm mật khẩu, hãy đặt độ dài mật khẩu thành giá trị lớn hơn. Khi mật khẩu đủ dài, tác dụng của việc buộc tất cả các loại ký tự trở nên không đáng kể.
Các hạn chế khác mà người quản lý mật khẩu áp dụng một cách không cần thiết làm giảm lượng mật khẩu có thể có. Ví dụ: RemeBear Premium chỉ định số ký tự chính xác từ mỗi bộ trong số bốn bộ ký tự, điều này làm giảm đáng kể tổng số ký tự. Theo mặc định, điều này yêu cầu hai chữ hoa, hai số, 14 chữ thường và không có ký hiệu, với tổng số 18 ký tự. Điều này dẫn đến một nhóm mật khẩu nhỏ hơn hàng trăm triệu lần so với nếu nó chỉ yêu cầu một hoặc nhiều ký tự của mỗi loại. Và ở đây bạn có thể giải quyết vấn đề này bằng cách đặt độ dài mật khẩu cao hơn.
LastPass và một số người khác tránh các cặp ký tự không rõ ràng theo mặc định, chẳng hạn như số 0 và chữ O. Nếu bạn không cần nhớ mật khẩu của mình, thì không cần thiết; tắt tùy chọn này. Tương tự, đừng chọn tạo mật khẩu nói như “entlestmospa”. Tùy chọn này chỉ quan trọng nếu bạn phải nhớ mật khẩu. Việc áp dụng tùy chọn này không chỉ hạn chế bạn ở các chữ cái thường mà còn loại bỏ một số lượng lớn các khả năng mà trình tạo mật khẩu cho là không thể phát âm được.
Tạo mật khẩu dài
Như chúng ta đã thấy, trình tạo mật khẩu không nhất thiết phải chọn từ một nhóm tất cả các mật khẩu có thể có phù hợp với độ dài và bộ ký tự bạn chọn. Trong ví dụ cực đoan về mật khẩu bốn ký tự sử dụng tất cả các bộ ký tự, khoảng 97 phần trăm mật khẩu bốn ký tự có thể không xuất hiện. Giải pháp rất đơn giản; đi dài! Bạn không cần phải nhớ những mật khẩu này, vì vậy chúng có thể rất lớn. Ít nhất là lớn như trang web được đề cập chấp nhận; một số đặt giới hạn.
Không gian tìm kiếm càng lớn (cái mà tôi gọi là nhóm các mật khẩu có sẵn), thì càng mất nhiều thời gian cho một cuộc tấn công vũ phu vào mật khẩu của bạn. Bạn có thể chơi với Máy tính ngăn xếp mật khẩu (như mò kim đáy bể) trên trang web Nghiên cứu Gibson để biết giá trị của độ dài.
Chỉ cần nhập mật khẩu của bạn để xem mất bao lâu để crack. (Trang web hứa hẹn, “KHÔNG CÓ GÌ bạn làm ở đây không bao giờ rời khỏi trình duyệt của bạn. Điều gì xảy ra ở đây vẫn ở đây.” Mật khẩu gồm bốn ký tự như 1eA & có thể mất hơn một ngày nếu tin tặc phải gửi phỏng đoán trực tuyến. Nhưng trong một tình huống ngoại tuyến mà hacker có thể đoán ở tốc độ cao, thời gian bẻ khóa chỉ là một phần nhỏ của giây.
Trong bài viết của tôi về cách tạo mật khẩu mạnh đáng nhớ (đối với những thứ như mật khẩu chính của trình quản lý mật khẩu), tôi đề xuất một kỹ thuật ghi nhớ có thể chuyển đổi một chuỗi từ một bài thơ hoặc chơi thành mật khẩu một cách ngẫu nhiên. Ví dụ: dòng từ “Romeo và Juliet” cảnh 2, cảnh 2 trở thành “bS, wLtYdWdB? A2S2 ”. Đây không phải là một mật khẩu ngẫu nhiên, mà kẻ tấn công không biết điều này. Ném nó vào máy tính Gibson, chúng tôi biết rằng ngay cả với một dàn hack khổng lồ, phải mất 1,41 triệu thế kỷ để bẻ khóa nó.
Đưa ra lựa chọn sáng suốt về trình quản lý mật khẩu
Vì vậy, bây giờ bạn biết rằng yếu tố quan trọng nhất trong việc tạo mật khẩu ngẫu nhiên mạnh là làm cho chúng dài. Một số trình tạo mật khẩu từ chối mật khẩu không chứa tất cả các bộ ký tự, một số từ chối mật khẩu có các từ được nhúng trong từ điển, một số từ chối mật khẩu chứa ký tự không rõ ràng chẳng hạn như chữ l nhỏ và số 1. Tất cả những hạn chế này giới hạn nhóm mật khẩu có thể có, nhưng khi chiều dài đủ lớn, giới hạn này là không thích hợp.
Tất nhiên, về mặt lý thuyết (nếu không nói là thực tế) có thể kẻ tấn công nào đó có thể xâm nhập vào kế hoạch tạo mật khẩu của trình quản lý mật khẩu yêu thích của bạn và do đó có thể dự đoán mật khẩu giả ngẫu nhiên mà nó sẽ cung cấp cho bạn. Một chương trình quản lý mật khẩu bóng có thể gửi các mật khẩu ngẫu nhiên của bạn trở lại trụ sở chính của công ty. Điều này thực sự đáng lo ngại ở mức độ hoang tưởng của foil. Nhưng nếu bạn thực sự không muốn dựa vào người khác để tạo mật khẩu ngẫu nhiên, bạn có thể tạo trình tạo mật khẩu ngẫu nhiên của riêng mình trong Excel.
