So verwenden Sie einen Zufallskennwortgenerator

Passwörter sind schrecklich. Wenn Sie ein schwaches Passwort für Ihre Bank-Website verwenden, besteht die Gefahr, dass Sie Ihr Geld durch einen Brute-Force-Cracking-Angriff verlieren. Wenn Sie das Kennwort jedoch zu zufällig festlegen, wird es möglicherweise vergessen und das Konto wird gesperrt. Sie können sich auch nur ein komplexes Kennwort merken und es überall verwenden. Wenn Sie dies jedoch tun, werden bei einem Verstoß an einem Standort alle Ihre Konten offengelegt. Ihr einziger vernünftiger Weg besteht darin, die Hilfe eines Passwort-Managers in Anspruch zu nehmen und alle Ihre schwachen und doppelten Passwörter in eindeutige, zufällige Zeichenfolgen zu ändern.

Fast jeder Passwortmanager enthält eine Passwortgeneratorkomponente, sodass Sie diese zufälligen Passwörter nicht selbst erstellen müssen. (Wenn Sie jedoch eine Do-it-yourself-Lösung wünschen , zeigen wir Ihnen, wie Sie Ihren eigenen Zufallskennwortgenerator erstellen können.) Es werden jedoch nicht alle Kennwortgeneratoren gleich erstellt. Wenn Sie wissen, wie sie funktionieren, können Sie diejenige auswählen, die für Sie am besten geeignet ist, und diejenige verwenden, die Sie intelligent haben.

Passwortgeneratoren - zufällig oder nicht?

Wenn Sie ein Paar Würfel werfen, erhalten Sie ein wirklich zufälliges Ergebnis. Niemand kann vorhersagen, ob Sie Schlangenaugen, Güterwagen oder eine glückliche Sieben bekommen. Aber im Bereich Computer sind physikalische Zufallsgeneratoren wie Würfel nicht verfügbar. Ja, es gibt einige Zufallszahlenquellen, die auf radioaktivem Zerfall basieren, aber Sie werden diese nicht im durchschnittlichen konsumentenseitigen Passwort-Manager finden.

Passwortmanager und andere Computerprogramme verwenden einen sogenannten Pseudozufallsalgorithmus. Dieser Algorithmus beginnt mit einer Zahl, die als Startwert bezeichnet wird. Der Algorithmus verarbeitet den Startwert und erhält eine neue Nummer ohne nachvollziehbare Verbindung zum alten, und die neue Nummer wird zum nächsten Startwert. Der ursprüngliche Samen taucht nie wieder auf, bis jede zweite Zahl aufgetaucht ist. Wenn der Startwert eine 32-Bit-Ganzzahl wäre, würde der Algorithmus vor einer Wiederholung 4.294.967.295 andere Zahlen durchlaufen.

Dies ist gut für den täglichen Gebrauch und gut für die Bedürfnisse der meisten Leute bei der Passwortgenerierung. Es ist jedoch theoretisch für einen erfahrenen Hacker möglich, den verwendeten Pseudozufallsalgorithmus zu bestimmen. Angesichts dieser Informationen und des Ausgangs könnte der Hacker möglicherweise die Folge von Zufallszahlen nachbilden (obwohl dies schwierig wäre).

Diese Art des gezielten Hackens ist außerordentlich unwahrscheinlich, es sei denn, es handelt sich um einen gezielten nationalstaatlichen Angriff oder um Unternehmensspionage. Wenn Sie Gegenstand eines solchen Angriffs sind, kann Ihre Sicherheitssuite Sie wahrscheinlich nicht schützen. Zum Glück sind Sie mit ziemlicher Sicherheit nicht das Ziel für diese Art von Cyberspionage.

Trotzdem arbeiten einige Passwort-Manager aktiv daran, selbst die entfernte Möglichkeit eines derart gezielten Angriffs auszuschließen. Indem Sie Ihre eigenen Mausbewegungen oder zufälligen Zeichen in den Zufallsalgorithmus integrieren, erhalten Sie ein wirklich zufälliges Ergebnis. Zu den Anbietern dieser realen Randomisierung gehören AceBIT Password Depot, KeePass und Steganos Password Manager. Der Screenshot zeigt den Matrix-Zufallsgenerator von Password Depot. Ja, die Zeichen werden beim Bewegen der Maus entfernt.

Müssen Sie wirklich echte Randomisierung hinzufügen? Wahrscheinlich nicht. Aber wenn es dich glücklich macht, mach es!

Passwort-Manager reduzieren Zufälligkeit

Natürlich geben Passwortgeneratoren keine Zufallszahlen zurück. Sie geben stattdessen eine Zeichenfolge zurück und verwenden Zufallszahlen, um aus den verfügbaren Zeichensätzen auszuwählen. Sie sollten immer die Verwendung aller verfügbaren Zeichensätze aktivieren, es sei denn, Sie generieren ein Kennwort für eine Website, die beispielsweise keine Sonderzeichen zulässt.

Der Pool der verfügbaren Zeichen umfasst 26 Großbuchstaben, 26 Kleinbuchstaben und 10 Ziffern. Es enthält auch eine Sammlung von Sonderzeichen, die von Produkt zu Produkt variieren können. Nehmen wir zur Vereinfachung an, es stehen 18 Sonderzeichen zur Verfügung. Das macht eine schöne Runde insgesamt 80 Zeichen zur Auswahl. Bei einem völlig zufälligen Passwort gibt es 80 Möglichkeiten für jeden Charakter. Wenn Sie ein aus acht Zeichen bestehendes Kennwort auswählen, stehen 80 Möglichkeiten zur Auswahl, oder 1.677.721.600.000.000 - mehr als eine Billiarde. Das ist hart für einen Brute-Force-Cracking-Angriff, und das Raten mit Brute-Force ist wirklich die einzige Möglichkeit, ein wirklich zufälliges Passwort zu knacken.

Natürlich wird ein völlig zufälliger Generator irgendwann "aaaaaaa" und "Covfefe!" und "12345678", da diese genauso wahrscheinlich sind wie jede andere Folge von acht Zeichen. Einige Passwortgeneratoren filtern ihre Ausgabe aktiv, um solche Passwörter zu vermeiden. Das ist in Ordnung, aber wenn ein Hacker diese Filter kennt, reduziert dies die Anzahl der Möglichkeiten und erleichtert das Knacken mit Brute-Force.

Hier ist ein extremes Beispiel. Es gibt 40.960.000 mögliche vierstellige Passwörter aus einer Sammlung von 80 Zeichen. Einige Passwortgeneratoren erzwingen jedoch die Auswahl von mindestens einem aus jeder Art von Zeichen, was die Möglichkeiten drastisch einschränkt. Es gibt noch 80 Möglichkeiten für den ersten Charakter. Angenommen, es ist ein Großbuchstabe. Der Pool für das zweite Zeichen ist 54 (80 minus die 26 Großbuchstaben). Angenommen, das zweite Zeichen ist ein Kleinbuchstabe. Für das dritte Zeichen bleiben nur Ziffern und Sonderzeichen für 28 Auswahlmöglichkeiten übrig. Und wenn das dritte Zeichen Interpunktion ist, muss das letzte eine Ziffer sein, 10 Auswahlmöglichkeiten. Unsere 40 Millionen Möglichkeiten schwinden auf 1.209.600.

Die Verwendung aller Zeichensätze ist für viele Websites eine Notwendigkeit. Stellen Sie die Kennwortlänge hoch ein, um zu vermeiden, dass diese Anforderung Ihren Kennwortpool verkleinert. Wenn das Kennwort lang genug ist, wird der Effekt des Erzwingens aller Zeichentypen vernachlässigbar.

Andere Beschränkungen, die von Passwort-Managern angewendet werden, reduzieren den Pool möglicher Passwörter unnötig. Beispielsweise gibt RememBear Premium die genaue Anzahl der Zeichen aus jedem der vier Zeichensätze an, wodurch der Pool drastisch reduziert wird. Standardmäßig sind zwei Großbuchstaben, zwei Ziffern, 14 Kleinbuchstaben und keine Symbole für insgesamt 18 Zeichen erforderlich. Dies führt zu einem Kennwortpool, der Hunderte von Millionen Mal kleiner ist, als wenn lediglich einer oder mehrere der einzelnen Zeichentypen erforderlich wären. Auch hier können Sie dieses Problem beheben, indem Sie eine höhere Kennwortlänge festlegen.

LastPass und einige andere vermeiden standardmäßig mehrdeutige Zeichenpaare wie die Ziffer 0 und den Buchstaben O. Wenn Sie sich das Kennwort nicht merken müssen, ist dies nicht erforderlich. Deaktivieren Sie diese Option. Wählen Sie ebenfalls nicht die Option, ein aussprechbares Passwort wie "entlestmospa" zu generieren. Diese Option ist nur wichtig, wenn Sie sich ein Passwort merken müssen. Wenn Sie diese Option anwenden, werden Sie nicht nur auf Kleinbuchstaben beschränkt, sondern es werden auch die zahlreichen Möglichkeiten verworfen, die der Kennwortgenerator für unaussprechlich hält.

Generieren Sie lange Passwörter

Wie wir gesehen haben, müssen Kennwortgeneratoren nicht unbedingt aus dem Pool aller möglichen Kennwörter auswählen, die mit der von Ihnen ausgewählten Länge und den ausgewählten Zeichensätzen übereinstimmen. Im extremen Beispiel eines vierstelligen Kennworts, das alle Zeichensätze verwendet, werden etwa 97 Prozent der möglichen vierstelligen Kennwörter nie angezeigt. Die Lösung ist einfach; geh lang! Sie müssen sich diese Passwörter nicht merken, sie können also riesig sein. Zumindest so groß, wie die betreffende Website akzeptiert; Einige setzen Grenzen.

Je größer der Suchraum ist (wie ich den Pool der verfügbaren Kennwörter nenne), desto länger würde ein Brute-Force-Angriff auf Ihr Kennwort dauern. Sie können auf der Gibson Research-Website mit dem Kennwort-Heuhaufen-Rechner (wie in, Nadel im Heuhaufen) spielen, um ein Gefühl für den Wert der Länge zu bekommen.

Geben Sie einfach ein Passwort ein, um zu sehen, wie lange das Knacken dauern würde. (Die Website verspricht, dass "NICHTS, das Sie hier tun, jemals Ihren Browser verlässt. Was hier passiert, bleibt hier." Vorsicht empfiehlt jedoch, die Verwendung Ihrer tatsächlichen Passwörter zu vermeiden.) Ein vierstelliges Passwort wie 1eA & würde nicht ganz einen Tag dauern, um es zu knacken, wenn der Hacker online Vermutungen an uns senden muss. In einem Offline-Szenario, in dem der Hacker mit hoher Geschwindigkeit raten kann, beträgt die Cracking-Zeit einen Bruchteil einer Sekunde.

In meinem Artikel über das Erstellen von einprägsamen, sicheren Passwörtern (z. B. das Master-Passwort eines Passwort-Managers) schlage ich eine mnemonische Technik vor, mit der eine Zeile aus einem Gedicht oder Spiel in ein zufällig aussehendes Passwort umgewandelt wird. Eine Zeile aus Romeo und Julia, Akt 2, Szene 2, wurde beispielsweise zu "bS, wLtYdWdB? A2S2". Dies ist kein zufälliges Passwort, aber ein Cracker weiß das nicht. Wenn wir es in Gibsons Taschenrechner ablegen, stellen wir fest, dass es 1, 41 Millionen Jahrhunderte dauern würde, dieses Array zu brachialisieren.

Treffen Sie eine Auswahl für den informierten Passwort-Manager

Jetzt wissen Sie also: Der wichtigste Faktor beim Generieren sicherer, zufälliger Kennwörter ist, dass sie lang sind. Einige Kennwortgeneratoren lehnen Kennwörter ab, die nicht alle Zeichensätze enthalten, andere lehnen Kennwörter mit eingebetteten Wörterbuchwörtern ab, andere verwerfen Kennwörter, die mehrdeutige Zeichen wie kleines l und Ziffer 1 enthalten. Alle diese Einschränkungen begrenzen den Pool möglicher Kennwörter, jedoch die Länge ist hoch genug, diese Einschränkung spielt einfach keine Rolle.

Natürlich ist es theoretisch (wenn nicht sogar praktisch) möglich, dass ein Übeltäter das Passwort-Generierungsschema Ihres bevorzugten Passwort-Managers hackt und dadurch die Möglichkeit erhält, die Pseudo-Zufalls-Passwörter vorherzusagen, die es Ihnen bieten wird. Ein schattiges Passwort-Manager-Programm könnte Ihre zufälligen Passwörter an die Unternehmenszentrale zurücksenden. Dies ist wirklich ein Grund zur Besorgnis. Wenn Sie sich bei Ihren zufälligen Kennwörtern jedoch nicht wirklich auf eine andere Person verlassen möchten, können Sie in Excel einen eigenen Generator für zufällige Kennwörter erstellen.