Cara menggunakan generator kata sandi acak

Kata sandi sangat buruk. Jika Anda menggunakan kata sandi yang lemah untuk situs web bank Anda, Anda berisiko kehilangan dana Anda karena serangan crack brute force. Tetapi jika Anda membuat kata sandi terlalu acak, Anda mungkin lupa dan dikunci dari akun. Anda mungkin memilih untuk menghafal hanya satu kata sandi yang kompleks dan menggunakannya di mana-mana, tetapi jika Anda melakukannya, pelanggaran di satu situs memaparkan semua akun Anda. Satu-satunya kursus yang masuk akal adalah meminta bantuan pengelola kata sandi, dan mengubah semua kata sandi Anda yang lemah dan duplikat menjadi untaian karakter unik dan acak.

Hampir setiap pengelola kata sandi menyertakan komponen pembuat kata sandi, jadi Anda tidak harus membuat sendiri kata sandi acak itu. (Tetapi jika Anda menginginkan solusi do-it-yourself, kami akan menunjukkan kepada Anda bagaimana membangun generator kata sandi Anda sendiri). Namun, tidak semua generator kata sandi dibuat sama. Ketika Anda tahu cara kerjanya, Anda dapat memilih yang terbaik untuk Anda, dan menggunakan yang Anda miliki secara cerdas.

Generator Kata Sandi - Acak atau Tidak?

Ketika Anda melemparkan sepasang dadu, Anda mendapatkan hasil yang benar-benar acak. Tidak ada yang bisa memprediksi apakah Anda akan mendapatkan mata ular, gerbong, atau tujuh yang beruntung. Tetapi di ranah komputer, pengacak fisik seperti dadu tidak tersedia. Ya, ada beberapa sumber angka acak berdasarkan peluruhan radioaktif, tetapi Anda tidak akan menemukan ini di pengelola kata sandi sisi konsumen rata-rata.

Pengelola kata sandi dan program komputer lainnya menggunakan apa yang disebut algoritma pseudo-acak. Algoritma ini dimulai dengan angka yang disebut seed. Algoritma memproses seed dan mendapatkan nomor baru tanpa koneksi yang dapat dilacak ke yang lama, dan nomor baru menjadi seed berikutnya. Benih asli tidak pernah muncul lagi sampai setiap nomor lainnya muncul. Jika seed adalah integer 32-bit, itu berarti algoritma akan berjalan melalui 4.294.967.295 angka lainnya sebelum diulang.

Ini bagus untuk penggunaan sehari-hari, dan baik untuk kebutuhan pembuatan kata sandi kebanyakan orang. Namun, secara teori dimungkinkan bagi peretas yang terampil untuk menentukan algoritma pseudo-acak yang digunakan. Mengingat informasi itu dan benihnya, peretas dapat dengan mudah meniru urutan angka acak (meskipun itu akan sulit).

Peretasan terarah semacam itu sangat tidak mungkin, kecuali dalam serangan negara-bangsa yang berdedikasi, atau spionase perusahaan. Jika Anda menjadi sasaran serangan semacam itu, suite keamanan Anda mungkin tidak dapat melindungi Anda; untungnya Anda hampir pasti bukan target untuk jenis cyberespionage ini.

Meski begitu, beberapa manajer kata sandi aktif bekerja untuk menghilangkan bahkan kemungkinan jarak jauh dari serangan terfokus semacam itu. Dengan memasukkan gerakan mouse Anda sendiri atau karakter acak ke dalam algoritma acak, mereka memperoleh hasil yang benar-benar acak. Di antara mereka yang menawarkan pengacakan dunia nyata ini adalah AceBIT Password Depot, KeePass, dan Steganos Password Manager. Tangkapan layar memperlihatkan pengacakan gaya matriks Password Depot; ya, karakternya turun saat Anda menggerakkan mouse Anda.

Apakah Anda benar-benar perlu menambahkan pengacakan di dunia nyata? Mungkin tidak. Tetapi jika itu membuat Anda bahagia, lakukanlah!

Kata Sandi Manajer Mengurangi Keacakan

Tentu saja, pembuat kata sandi tidak benar-benar mengembalikan angka acak. Sebaliknya, mereka mengembalikan serangkaian karakter, menggunakan angka acak untuk memilih dari set karakter yang tersedia. Anda harus selalu mengaktifkan penggunaan semua rangkaian karakter yang tersedia, kecuali jika Anda membuat kata sandi untuk situs web yang, misalnya, tidak mengizinkan karakter khusus.

Kumpulan karakter yang tersedia meliputi 26 huruf besar, 26 huruf kecil, dan 10 digit. Ini juga termasuk kumpulan karakter khusus yang mungkin berbeda dari satu produk ke produk lainnya. Untuk kesederhanaan, katakanlah ada 18 karakter khusus yang tersedia. Itu membuat total 80 karakter untuk dipilih. Dalam kata sandi yang benar-benar acak, ada 80 kemungkinan untuk setiap karakter. Jika Anda memilih kata sandi delapan karakter, jumlah kemungkinan adalah 80 pangkat delapan, atau 1.677.721.600.000.000 - lebih dari empat kuadriliun. Itu adalah slogging yang sulit untuk serangan crack-force, dan tebakan brutal adalah satu-satunya cara untuk memecahkan kata sandi yang benar-benar acak.

Tentu saja, generator yang benar-benar acak akhirnya akan menghasilkan "aaaaaaaa" dan "Covfefe!" dan "12345678, " karena ini sama besar kemungkinannya dengan urutan delapan karakter lainnya. Beberapa generator kata sandi secara aktif memfilter output mereka untuk menghindari kata sandi tersebut. Tidak apa-apa, tetapi jika seorang hacker tahu tentang filter-filter itu, itu sebenarnya mengurangi jumlah kemungkinan dan membuat crack-force cracking lebih mudah.

Ini contoh ekstrem. Ada 40.960.000 kemungkinan kata sandi empat karakter, yang diambil dari kumpulan 80 karakter. Tetapi beberapa pembuat kata sandi memaksa pemilihan setidaknya satu dari setiap jenis karakter, dan itu mengurangi kemungkinan secara drastis. Masih ada 80 kemungkinan untuk karakter pertama. Misalkan huruf besar; pool untuk karakter kedua adalah 54 (80 minus 26 karakter huruf besar). Lebih lanjut anggap karakter kedua adalah huruf kecil. Untuk karakter ketiga, hanya digit dan karakter khusus yang tersisa, untuk 28 pilihan. Dan jika karakter ketiga adalah tanda baca, yang terakhir harus digit, 10 pilihan. 40 juta kemungkinan kami berkurang menjadi 1.209.600.

Menggunakan semua set karakter adalah keharusan bagi banyak situs web. Untuk menghindari membiarkan persyaratan itu mengecilkan kumpulan kata sandi Anda, atur panjang kata sandi menjadi tinggi. Ketika kata sandi cukup panjang, efek pemaksaan semua tipe karakter dapat diabaikan.

Batasan lain yang diterapkan pengelola kata sandi mengurangi kumpulan kemungkinan kata sandi yang tidak perlu. Sebagai contoh, RememBear Premium menentukan jumlah karakter yang tepat dari masing-masing set empat karakter, yang secara drastis mengurangi kumpulan. Secara default, ini membutuhkan dua huruf kapital, dua digit, 14 huruf kecil, dan tidak ada simbol, untuk total 18 karakter. Ini menghasilkan kumpulan kata sandi yang ratusan juta kali lebih kecil daripada jika hanya diperlukan satu atau lebih dari setiap jenis karakter. Di sini lagi, Anda dapat mengimbangi masalah ini dengan menetapkan panjang kata sandi yang lebih tinggi.

LastPass dan beberapa lainnya default untuk menghindari pasangan karakter yang ambigu seperti angka 0 dan huruf O. Ketika Anda tidak harus mengingat kata sandi, ini tidak perlu; matikan opsi ini. Demikian juga, jangan memilih opsi untuk menghasilkan kata sandi yang dapat diucapkan seperti "entlestmospa". Opsi itu hanya penting jika itu adalah kata sandi yang harus Anda ingat. Menerapkan opsi ini tidak hanya membatasi Anda ke huruf kecil, tetapi menolak sejumlah besar kemungkinan yang dianggap tidak dapat dilipat oleh pembuat kata sandi.

Hasilkan Kata Sandi Panjang

Seperti yang telah kita lihat, pembuat kata sandi tidak harus memilih dari kumpulan semua kata sandi yang mungkin cocok dengan panjang dan rangkaian karakter yang Anda pilih. Dalam contoh ekstrim kata sandi empat karakter menggunakan semua set karakter, sekitar 97 persen kemungkinan kata sandi empat karakter tidak pernah muncul. Solusinya sederhana; pergi lama! Anda tidak harus mengingat kata sandi ini, jadi kata sandi ini bisa sangat besar. Setidaknya, sebesar yang diterima situs web yang bersangkutan; beberapa memang menerapkan batasan.

Semakin besar ruang pencarian (apa yang saya sebut kumpulan kata sandi yang tersedia), semakin lama akan diperlukan serangan brute force terhadap kata sandi Anda. Anda dapat bermain dengan Password Haystack Calculator (seperti dalam, jarum di tumpukan jerami) di situs web Gibson Research untuk merasakan nilai panjangnya.

Cukup masukkan kata sandi untuk melihat berapa lama waktu yang diperlukan untuk memecahkan. (Situs ini menjanjikan "APA-APA yang Anda lakukan di sini tidak pernah meninggalkan browser Anda. Apa yang terjadi di sini, tetap di sini." Tapi hati-hati menyarankan Anda menghindari menggunakan kata sandi Anda yang sebenarnya). Sandi empat karakter seperti 1eA & akan membutuhkan waktu tidak cukup untuk memecahkannya, jika peretas harus mengirim tebakan secara online. Tetapi dalam skenario offline, di mana peretas dapat mencoba menebak dengan kecepatan tinggi, waktu istirahat adalah sepersekian detik.

Dalam artikel saya tentang membuat kata sandi kuat yang mudah diingat (untuk hal-hal seperti kata sandi utama pengelola kata sandi) saya menyarankan teknik mnemonik yang mengubah garis dari puisi atau bermain menjadi kata sandi yang tampak acak. Sebagai contoh, sebuah baris dari Romeo dan Juliet, Act 2, Scene 2, menjadi "bS, wLtYdWdB? A2S2". Ini bukan kata sandi acak, tetapi seorang cracker tidak tahu itu. Menjatuhkannya ke dalam kalkulator Gibson, kita belajar bahwa bahkan menggunakan susunan perengkahan besar-besaran, dibutuhkan 1, 41 ratus juta abad untuk memaksakan kekuatan yang satu ini.

Buat Pilihan Pengelola Kata Sandi yang Diinformasikan

Jadi sekarang Anda tahu - faktor terpenting dalam menghasilkan kata sandi acak yang kuat adalah membuatnya panjang. Beberapa generator kata sandi menolak kata sandi yang tidak mengandung semua set karakter, beberapa menolak kata-kata yang tertanam dalam kamus, beberapa membuang kata sandi yang mengandung karakter ambigu seperti l dan digit kecil 1. Semua batasan ini membatasi kumpulan kata sandi yang mungkin, tetapi ketika panjangnya cukup tinggi, batasan ini tidak masalah.

Tentu saja, secara teoritis (jika tidak secara praktis) mungkin bahwa beberapa pelaku mungkin meretas skema pembuatan kata sandi dari pengelola kata sandi favorit Anda, dan dengan demikian memperoleh kemampuan untuk memprediksi kata sandi pseudo-acak yang akan ditawarkannya kepada Anda. Program pengelola kata sandi yang teduh dapat mengirim kata sandi acak Anda kembali ke kantor pusat perusahaan. Ini benar-benar dalam tingkat kepedulian kertas timah-paranoia. Tetapi jika Anda benar-benar tidak ingin bergantung pada orang lain untuk kata sandi acak Anda, Anda bisa membuat generator kata sandi acak Anda sendiri di Excel.