As senhas geradas aleatoriamente são seguras?

8

Aplicativos como o Roboform, que permitem gerar senha aleatória. Talvez existam programas hackers que sejam inteligentes e saibam como os geradores de senhas funcionam, permitindo que eles decifrem senhas com mais facilidade? Talvez eles saibam algum padrão?

Além disso, o que você acha do LastPass? Suas senhas são armazenadas na nuvem em algum lugar. Quem sabe o que pode acontecer lá ... Os administradores podem ficar curiosos ou hackers podem invadir a nuvem.

    
por Boris_yo 01.05.2011 / 01:32

3 respostas

8

Provavelmente. É aleatório, pode sair como password1 !

Ou, mais precisamente, Sim, eles são seguros . Eles não são verdadeiramente pseudo-aleatórios (ou, pelo menos, qualquer gerador bom, como você encontraria em um aplicativo de gerenciamento de senha adequado), mas seguem regras projetadas para criar senhas que não são aleatórias, mas muito difíceis de adivinhar.

Quebra de senha é algo conhecido e previsível, e você pode usá-la para criar senhas que sejam eficazes para resistir a ela. Não palavras de dicionário, longas, com símbolos, ambos os casos de letras, números, etc. Gerar uma senha que levaria uma máquina moderna por alguns milhões de anos para quebrar não é um desafio difícil - porque enquanto as pessoas que escrevem os crackers sabem como o gerador funciona, as pessoas que escrevem o gerador sabem como os crackers funcionam também.

Quanto ao lastpass, até onde eu sei, o seu contêiner de senhas é criptografado e descriptografado localmente, portanto, muito pouca chance de que algum dia seja comprometido. Infelizmente, você não pode usar o lastpass para proteger seu contêiner lastpass, então você terá que confiar em suas próprias habilidades de geração de senha para se lembrar disso!

    
por 01.05.2011 / 01:48
3

Sou o autor do link site gerador de senhas aleatórias . Eis o que aprendi no processo de criação desse site sobre a criação de senhas aleatórias seguras:

Fonte aleatória

A maioria dos geradores de números aleatórios em computadores é psuedorandom. Eles são baseados em algoritmos e não são apropriados para gerar senhas. Eles geralmente são semeados com o horário atual. Se essa informação for conhecida (ou puder ser adivinhada), é possível reproduzir sua saída e ver as senhas que seriam geradas.

Para gerar uma senha, um gerador de números pseudo-aleatórios criptograficamente seguro (CPRNG) deve ser usado. Da Wikipedia, os dois requisitos desse tipo de gerador de números aleatórios são:

  • given the first k bits of a random sequence, there is no polynomial-time algorithm that can predict the (k+1)th bit with probability of success better than 50%.
  • In the event that part or all of its state has been revealed (or guessed correctly), it should be impossible to reconstruct the stream of random numbers prior to the revelation. Additionally, if there is an entropy input while running, it should be infeasible to use knowledge of the input's state to predict future conditions of the CSPRNG state.

Os navegadores da Web modernos (com a exceção notável do Internet Explorer) agora têm uma API de criptografia disponível para JavaScript que possui um número aleatório criptograficamente seguro gerador . Isso torna mais fácil para sites como o meu gerar senhas únicas e improváveis com base em saber quando e onde elas foram geradas.

Comprimento da senha

Um ataque comum contra senhas é o invasor obter acesso ao banco de dados onde as senhas criptografadas (com hash) são armazenadas. O atacante pode então gerar adivinhações, dividir as estimativas usando o mesmo algoritmo de hash e ver se obtém alguma correspondência. Aqui está uma artigo que mostra quantas senhas são vulneráveis a esse tipo de ataque. Agora, os computadores são poderosos o suficiente para que os invasores tentem 100 bilhões de senhas por segundo. Computadores secretos de agências militares e de espionagem podem fazer mais ordens de grandeza.

Do ponto de vista prático, isso significa que uma senha precisa ser escolhida de um pool de quintilhões de possibilidades. Os 96 caracteres que podem ser digitados em um teclado podem gerar apenas quatrilhões de possibilidades usando uma senha de oito caracteres. Para ser seguro, as senhas devem ser mais longas hoje do que no passado. Os computadores se tornarão mais poderosos no futuro e você poderá optar por senhas que sejam ainda mais longas do que as que você pode precisar para se sentir seguro hoje, para que elas não sejam quebradas facilmente no futuro também. Eu recomendaria pelo menos um comprimento de 10 para senhas aleatórias com base em 96 caracteres possíveis, mas usar um comprimento de 12 ou 14 seria muito melhor para segurança futura.

    
por 14.10.2013 / 12:25
0

Se os parâmetros itake da rotina de geração de senha forem completamente independentes do contexto para o qual a senha está sendo gerada (exemplo: ele não solicita URL do site e nome de login e inclui esses dados de maneira repetitiva enquanto gera o senha) então pode-se ter certeza de que qualquer senha gerada por essa rotina seria suficientemente strong (dada a extensão e a complexidade adequadas).

Se alguma das máquinas envolvidas no cenário acima estiver comprometida de alguma forma, a certeza de que a senha pode fornecer qualquer nível de segurança pode ser diminuída.

    
por 04.05.2011 / 16:40