क्या यादृच्छिक उत्पन्न पासवर्ड सुरक्षित हैं?


8

रोबोफॉर्म जैसे ऐप जो यादृच्छिक पासवर्ड उत्पन्न करने की अनुमति देते हैं। हो सकता है कि हैकर प्रोग्राम हैं जो स्मार्ट हैं और जानते हैं कि पासवर्ड जेनरेटर कैसे काम करते हैं जो उन्हें पासवर्ड क्रैक करने में आसान बनाते हैं? शायद वे कुछ पैटर्न जानते हैं?

इसके अलावा आप LastPass के बारे में क्या सोचते हैं? आप पासवर्ड क्लाउड में संग्रहीत हैं। कौन जानता है कि वहां क्या हो सकता है ... प्रशासक उत्सुक हो सकते हैं या हैकर्स क्लाउड हैक कर सकते हैं।


रैंडम पासवर्ड को किसी भी पासवर्ड के समान दिशा-निर्देश देना चाहिए। SuperUser पासवर्ड सिफारिशों के बारे में एक सवाल है - superuser.com/questions/15388/...
Dvin

जवाबों:


8

शायद। यह यादृच्छिक है, यह बाहर आ सकता है password1!

या अधिक सटीक, हाँ, वे सुरक्षित हैं । वे वास्तव में छद्म आयामी नहीं हैं (या कम से कम, कोई अच्छा जनरेटर, जैसे कि आप एक उचित पासवर्ड प्रबंधन अनुप्रयोग में पाएंगे), लेकिन पासवर्ड बनाने के लिए डिज़ाइन किए गए नियमों का पालन करें जो यादृच्छिक नहीं हैं, लेकिन अनुमान लगाने में बहुत कठिन हैं।

पासवर्ड क्रैकिंग एक ज्ञात, पूर्वानुमेय बात है, और आप इसका उपयोग पासवर्ड बनाने के लिए कर सकते हैं जो इसका विरोध करने में प्रभावी हैं। शब्द, शब्द नहीं, प्रतीकों के साथ, अक्षरों के दोनों मामले, संख्या, इत्यादि। एक पासवर्ड बनाना जो एक आधुनिक मशीन को क्रैक करने में कुछ मिलियन वर्ष लगाएगा - यह एक कठिन चुनौती नहीं है - क्योंकि पटाखे लिखने वाले लोग जानते हैं कि जनरेटर कैसे काम करता है, जनरेटर लिखने वाले लोग जानते हैं कि पटाखे कैसे काम करते हैं।

अंतिम रूप से, जहां तक ​​मुझे पता है कि आपका पासवर्ड कंटेनर स्थानीय रूप से एन्क्रिप्ट और डिक्रिप्ट किया गया है, तो बहुत कम है, इस बात की संभावना बहुत कम है। दुर्भाग्य से, आप अपने अंतिमपास कंटेनर की सुरक्षा के लिए लास्टपास का उपयोग नहीं कर सकते, इसलिए आपको उस पासवर्ड को याद रखने के लिए अपने पासवर्ड बनाने के कौशल पर निर्भर रहना होगा!


3

मैं यादृच्छिक पासवर्ड बनाने वाली साइट http://passwordcreator.org का लेखक हूं । सुरक्षित रैंडम पासवर्ड बनाने के बारे में उस साइट को बनाने की प्रक्रिया में मैंने यहां क्या सीखा है:

रैंडम सोर्स

कंप्यूटर पर अधिकांश रैंडम नंबर जनरेटर psuedorandom हैं। वे एल्गोरिदम पर आधारित हैं और पासवर्ड बनाने के लिए उपयुक्त नहीं हैं। वे आम तौर पर वर्तमान समय के साथ बोए जाते हैं। यदि जानकारी का एक टुकड़ा ज्ञात है (या अनुमान लगाया जा सकता है), तो उनके आउटपुट को पुन: उत्पन्न करना और उत्पन्न होने वाले पासवर्ड को देखना संभव है।

एक पासवर्ड बनाने के लिए, एक क्रिप्टोग्राफिक रूप से सुरक्षित छद्म यादृच्छिक संख्या जनरेटर (CPRNG) का उपयोग किया जाना चाहिए। विकिपीडिया से, इस प्रकार के यादृच्छिक संख्या जनरेटर की दो आवश्यकताएं हैं:

  • यादृच्छिक क्रम के पहले k बिट्स को देखते हुए, कोई बहुपद-समय एल्गोरिथ्म नहीं है जो 50% से बेहतर सफलता की संभावना के साथ (k + 1) वें बिट की भविष्यवाणी कर सकता है।
  • इस घटना में कि उसके हिस्से या पूरे राज्य का पता चला है (या सही ढंग से अनुमान लगाया गया है), रहस्योद्घाटन से पहले यादृच्छिक संख्या की धारा को फिर से संगठित करना असंभव होना चाहिए। इसके अतिरिक्त, अगर दौड़ते समय कोई एंट्रॉपी इनपुट है, तो CSPRNG राज्य की भविष्य की स्थितियों की भविष्यवाणी करने के लिए इनपुट की स्थिति के ज्ञान का उपयोग करना संभव है।

आधुनिक वेब ब्राउज़र (इंटरनेट एक्सप्लोरर के उल्लेखनीय अपवाद के साथ) अब जावास्क्रिप्ट के लिए एक क्रिप्टो एपीआई उपलब्ध है जो एक क्रिप्टोग्राफिक रूप से सुरक्षित यादृच्छिक संख्या जनरेटर है । यह मेरी जैसी वेबसाइटों के लिए पासवर्ड बनाने के लिए आसान बनाता है जो अद्वितीय और अनुमान लगाने योग्य नहीं हैं कि यह जानने के आधार पर कि वे कब और कहाँ उत्पन्न हुए थे।

पारण शब्द लम्बाई

पासवर्ड के खिलाफ एक आम हमला हमलावर के लिए डेटाबेस तक पहुंच प्राप्त करने के लिए होता है जहां एन्क्रिप्टेड (हैशेड) पासवर्ड संग्रहीत होते हैं। फिर हमलावर अनुमान लगा सकता है, उसी हैशिंग एल्गोरिथ्म का उपयोग करके अनुमान लगा सकता है, और देख सकता है कि उन्हें कोई मैच मिलता है या नहीं। यहां एक लेख है जो यह बताता है कि ऐसे हमले के लिए कितने पासवर्ड असुरक्षित हैं। कंप्यूटर अब इतने शक्तिशाली हैं कि हमलावर प्रति सेकंड 100 बिलियन पासवर्ड की कोशिश करने के लिए जाने जाते हैं। गुप्त सैन्य और जासूसी एजेंसी के कंप्यूटर अधिक परिमाण के आदेश करने में सक्षम हो सकते हैं।

व्यावहारिक दृष्टिकोण से, इसका मतलब है कि क्विंटिलियन संभावनाओं के एक पूल से एक पासवर्ड चुना जाना चाहिए। एक कीबोर्ड पर टाइप किए जा सकने वाले 96 वर्ण केवल आठ वर्ण के पासवर्ड का उपयोग करके संभावनाओं के चतुष्कोण उत्पन्न कर सकते हैं। सुरक्षित होने के लिए, पासवर्ड अब पहले से कहीं अधिक लंबे होने चाहिए। कंप्यूटर भविष्य में और अधिक शक्तिशाली हो जाएंगे और आप ऐसे पासवर्ड चुनना चाहेंगे, जो आज की तुलना में अधिक सुरक्षित हों, जो आज आपको सुरक्षित महसूस करने की आवश्यकता हो, ताकि भविष्य में भी आसानी से न टूटें। मैं 96 संभावित वर्णों के आधार पर यादृच्छिक पासवर्ड के लिए कम से कम 10 की लंबाई की सिफारिश करूंगा, लेकिन भविष्य की सुरक्षा के लिए 12 या 14 की लंबाई का उपयोग करना बेहतर होगा।


0

यदि पासवर्ड जनरेटिंग रूटीन का इटेक पैरामीटर उस संदर्भ से पूरी तरह से स्वतंत्र है, जिसके लिए पासवर्ड जेनरेट किया जा रहा है (उदाहरण के लिए: यह वेबसाइट url, और लॉगिन नाम नहीं मांगता है और पासवर्ड जनरेट करते समय एक रिपीटेबल तरीके से इस डेटा को शामिल करें) एक अपेक्षाकृत निश्चित हो सकता है कि इस दिनचर्या से उत्पन्न कोई भी पासवर्ड पर्याप्त रूप से मजबूत (पर्याप्त लंबाई और जटिलता को देखते हुए) होगा।

यदि उपरोक्त परिदृश्य में शामिल किसी भी मशीन को किसी भी तरह से निर्धारित किया जाता है, तो यह सुनिश्चित किया जाता है कि पासवर्ड किसी भी स्तर की सुरक्षा प्रदान कर सकता है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.