目次:
ビデオ: ä¸è¦å²ç¬æåçæ§ (九月 2024)
パスワードはひどいです。 銀行のWebサイトに弱いパスワードを使用すると、ブルートフォースクラッキング攻撃により資金を失う危険があります。 しかし、パスワードをランダムにしすぎると、パスワードを忘れてアカウントからロックアウトされる可能性があります。 1つの複雑なパスワードのみを記憶し、どこでも使用することを選択することもできますが、その場合、1つのサイトでの侵害によりすべてのアカウントが公開されます。 唯一の妥当な方法は、パスワードマネージャーの助けを借りて、すべての弱いパスワードと重複するパスワードを一意のランダムな文字列に変更することです。
ほとんどすべてのパスワードマネージャーにはパスワードジェネレーターコンポーネントが含まれているため、これらのランダムなパスワードを自分で作成する必要はありません。 (ただし、日曜大工のソリューションが必要な場合は、独自のランダムパスワードジェネレーターを構築する方法を示します)。 ただし、すべてのパスワードジェネレーターが同じように作成されるわけではありません。 それらがどのように機能するかがわかったら、自分に最適なものを選択し、インテリジェントに使用することができます。
パスワードジェネレーター-ランダムかどうか
サイコロを投げると、本当にランダムな結果が得られます。 あなたがスネークアイ、ボックスカー、またはラッキーセブンを獲得するかどうかは誰も予測できません。 しかし、コンピューターの領域では、サイコロのような物理的なランダマイザーは使用できません。 はい、放射性崩壊に基づいたいくつかの乱数ソースがありますが、これらは平均的な消費者側のパスワードマネージャーにはありません。
パスワードマネージャーと他のコンピュータープログラムは、いわゆる擬似ランダムアルゴリズムを使用します。 このアルゴリズムは、シードと呼ばれる番号で始まります。 アルゴリズムはシードを処理し、古い番号への追跡可能な接続のない新しい番号を取得し、新しい番号が次のシードになります。 元のシードは、1つおきの数字が現れるまで二度と現れません。 シードが32ビット整数の場合、アルゴリズムは繰り返しの前に4, 294, 967, 295個のその他の数値を実行します。
これは、日常的な使用には問題なく、ほとんどの人のパスワード生成のニーズには適しています。 ただし、熟練したハッカーが使用する擬似ランダムアルゴリズムを決定することは理論的には可能です。 その情報とシードを考えると、ハッカーは乱数列を複製することが考えられます(難しいでしょうが)。
この種の直接的なハッキングは、国家国家の専用攻撃または企業のスパイ行為を除き、非常にまれです。 あなたがそのような攻撃の対象である場合、セキュリティスイートはおそらくあなたを保護できません。 幸いなことに、あなたはこの種のサイバースパイの標的ではないことはほぼ確実です。
それでも、少数のパスワードマネージャーが積極的に働いて、このような集中的な攻撃の可能性を排除します。 独自のマウスの動きやランダムな文字をランダムなアルゴリズムに組み込むことにより、真にランダムな結果が得られます。 この現実世界のランダム化を提供するものには、AceBIT Password Depot、KeePass、およびSteganos Password Managerがあります。 スクリーンショットは、Password Depotのマトリックススタイルのランダマイザーを示しています。 はい、マウスを動かすとキャラクターが落ちます。
実際にランダム化を追加する必要が本当にありますか? おそらくない。 しかし、それがあなたを幸せにするなら、それのために行ってください!
パスワードマネージャーはランダム性を低減する
もちろん、パスワードジェネレーターは文字通り乱数を返しません。 むしろ、利用可能な文字セットから乱数 を使用 して選択する文字列を返します。 たとえば、特殊文字を許可しないWebサイトのパスワードを生成する場合を除き、使用可能なすべての文字セットの使用を常に有効にする必要があります。
利用可能な文字のプールには、26の大文字、26の小文字、および10桁が含まれます。 製品ごとに異なる特殊文字のコレクションも含まれています。 簡単にするために、18個の特殊文字が利用可能であるとしましょう。 合計で80文字から選択できます。 完全にランダムなパスワードでは、すべてのキャラクターに80の可能性があります。 8文字のパスワードを選択した場合、可能性の数は80の8乗、つまり1, 677, 721, 600, 000, 000(1兆を超える)です。 それはブルートフォースクラッキング攻撃にとっては難しいことであり、ブルートフォース推測は本当にランダムなパスワードをクラックする唯一の方法です。
もちろん、完全にランダムなジェネレーターは最終的に「aaaaaaaa」と「Covfefe!」を生成します。 および「12345678」。これらは、他の8文字のシーケンスと同様の可能性があるためです。 一部のパスワードジェネレーターは、そのようなパスワードを回避するために、出力を積極的にフィルタリングします。 それは問題ありませんが、ハッカーがこれらのフィルターについて知っている場合、実際に可能性の数を減らし、ブルートフォースクラッキングを容易にします。
極端な例を示します。 80文字のコレクションから抽出した4文字のパスワードが40, 960, 000個あります。 しかし、一部のパスワードジェネレーターは、各タイプのキャラクターから少なくとも1つの選択を強制するため、可能性が大幅に削減されます。 最初のキャラクターにはまだ80の可能性があります。 大文字だとします。 2番目の文字のプールは54(80-26の大文字)です。 さらに、2番目の文字が小文字であるとします。 3番目の文字については、28の選択肢について、数字と特殊文字のみが残ります。 また、3番目の文字が句読点の場合、最後は10桁の数字でなければなりません。 4000万の可能性が1, 209, 600に減少します。
多くのWebサイトでは、すべての文字セットを使用する必要があります。 その要件によってパスワードプールが縮小されないようにするには、パスワードの長さを高く設定します。 パスワードが十分に長い場合、すべての文字タイプを強制する効果は無視できます。
パスワードマネージャーが適用するその他の制限により、可能なパスワードのプールが不必要に削減されます。 たとえば、RememBear Premiumは、4つの文字セットのそれぞれから正確な文字数を指定するため、プールが大幅に削減されます。 デフォルトでは、2つの大文字、2桁、14の小文字、および記号なしで、合計18文字が必要です。 これにより、各文字タイプの1つまたは複数を単純に必要とする場合よりも数億倍小さいパスワードプールになります。 ここでも、パスワードの長さを長く設定することで、この問題を相殺できます。
LastPassおよび他のいくつかは、デフォルトで数字0や文字Oのようなあいまいな文字ペアを回避します。パスワードを覚える必要がない場合、これは必要ありません。 このオプションをオフにします。 同様に、「entlestmospa」のような発音可能なパスワードを生成するオプションを選択しないでください。 このオプションは、覚えておく必要があるパスワードである場合にのみ重要です。 このオプションを適用すると、小文字に制限されるだけでなく、パスワードジェネレーターが発音できないと見なす膨大な数の可能性が拒否されます。
長いパスワードを生成する
これまで見てきたように、パスワードジェネレーターは、選択した長さと文字セットに一致する可能性のあるすべてのパスワードのプールから選択する必要はありません。 すべての文字セットを使用する4文字のパスワードの極端な例では、可能な4文字のパスワードの約97%が表示されることはありません。 解決策は簡単です。 長く行く! これらのパスワードを覚えておく必要はありませんので、巨大になる可能性があります。 少なくとも、問題のWebサイトが受け入れるほどの大きさ。 いくつかは制限を課しています。
サーチスペース(私が利用可能なパスワードのプールと呼んでいるもの)が大きければ大きいほど、パスワードに対してブルートフォース攻撃が発生するのに時間がかかります。 Gibson ResearchのWebサイトでPassword Haystack Calculator(たとえば、干し草の山の針)を試して、長さの価値を感じてください。
パスワードを入力するだけで、クラッキングにかかる時間を確認できます。 (このサイトは「あなたがここで何もしないとブラウザから離れることを約束します。ここで何が起きても、ここにとどまります。」しかし、実際のパスワードの使用は避けてください。 ハッカーが推測をオンラインで送信する必要がある場合、1eA&のような4文字のパスワードを解読するのに1日もかかりません。 しかし、ハッカーが高速で推測を試みることができるオフラインのシナリオでは、クラッキング時間はほんの一瞬です。
覚えやすい強力なパスワード(パスワードマネージャーのマスターパスワードなど)の作成に関する記事では、詩から行をランダムな外観のパスワードに変換するニーモニック手法をお勧めします。 たとえば、ロミオとジュリエットの第2幕、シーン2の行は「bS、wLtYdWdB?A2S2」になりました。 これはランダムなパスワードではありませんが、クラッカーはそれを知りません。 ギブソンの計算機にそれをドロップすると、大規模なクラッキング配列を使用しても、この配列をブルートフォースするのに14億1世紀かかります。
インフォームドパスワードマネージャーの選択を行う
強力なランダムパスワードを生成するための最も重要な要素は、パスワードを長くすることです。 一部のパスワードジェネレーターは、すべての文字セットを含まないパスワードを拒否し、一部は埋め込み辞書ワードを含むパスワードを拒否し、一部は小さなlや数字1のようなあいまいな文字を含むパスワードを破棄します。十分に高いので、この制限は問題ではありません。
もちろん、理論上(実際にはそうでないとしても)、何らかの悪人がお気に入りのパスワードマネージャーのパスワード生成スキームをハッキングし、それによって提供される擬似ランダムパスワードを予測する能力を獲得する可能性があります。 日陰のパスワードマネージャープログラムは、ランダムなパスワードを本社に送り返す可能性があります。 これは、実際、ティンフォイルハットのパラノイアレベルの懸念事項です。 ただし、ランダムパスワードを他の人に頼りたくない場合は、Excelで独自のランダムパスワードジェネレーターを作成できます。
