무작위로 생성 된 비밀번호는 안전합니까?


8

임의의 비밀번호를 생성 할 수있는 Roboform과 같은 앱. 어쩌면 똑똑한 해커 프로그램이 있고 암호 생성기가 어떻게 작동하여 암호를 쉽게 해독 할 수 있는지 알고 있습니까? 아마도 그들은 어떤 패턴을 알고 있습니까?

또한 LastPass에 대해 어떻게 생각하십니까? 비밀번호는 클라우드 어딘가에 저장됩니다. 누가 무슨 일이 생길지 알 수 있습니다 ... 관리자가 궁금해하거나 해커가 클라우드를 해킹 할 수 있습니다.


임의 비밀번호는 비밀번호와 동일한 지침을 따라야합니다. 수퍼 유저 암호 권장 사항에 대한 질문이 있습니다 - superuser.com/questions/15388/...
dvin

답변:


8

아마. 그것은 무작위이며, 그것은 나올 수 있습니다 password1!

더 정확하게는, 예, 그들은 안전 합니다. 그것들은 실제로 의사 난수는 아니지만 (적어도 적절한 암호 관리 응용 프로그램에서 찾을 수있는 것과 같은 좋은 생성기 임) 무작위 적이지는 않지만 추측하기 어려운 암호를 만들기 위해 고안된 규칙을 따릅니다.

비밀번호 크래킹은 알려져 있고 예측 가능한 것으로,이를 사용하여 비밀번호에 효과적인 비밀번호를 만들 수 있습니다. 문자, 숫자 등의 기호가있는 사전 단어는 길지 않습니다. 크래커를 작성하는 사람들이 생성기가 작동하는 방식을 알고 있지만 생성기를 작성하는 사람들이 크래커가 작동하는 방식을 알고 있기 때문에 현대 기계에 몇 백만 년이 걸리는 암호를 생성하는 것은 어려운 일이 아닙니다.

lastpass에 관해서는, 암호 컨테이너가 로컬로 암호화되고 해독되므로 암호가 손상 될 가능성은 거의 없습니다. 불행히도 lastpass를 사용하여 lastpass 컨테이너를 보호 할 수 없으므로이를 기억하려면 자신의 암호 생성 기술을 사용해야합니다!


3

나는 임의의 비밀번호 생성 사이트 http://passwordcreator.org 의 저자입니다 . 다음은 안전한 임의 비밀번호 생성에 대해 해당 사이트를 작성하는 과정에서 배운 내용입니다.

랜덤 소스

컴퓨터의 대부분의 난수 생성기는 의사 난수입니다. 이들은 알고리즘을 기반으로하며 비밀번호 생성에 적합하지 않습니다. 그들은 일반적으로 현재 시간으로 시드됩니다. 해당 정보가 알려진 경우 (또는 추측 할 수있는 경우) 출력을 재현하고 생성 된 암호를 볼 수 있습니다.

암호를 생성하려면 암호로 안전한 의사 난수 생성기 (CPRNG)를 사용해야합니다. Wikipedia에서이 유형의 난수 생성기의 두 가지 요구 사항은 다음과 같습니다.

  • 랜덤 시퀀스의 첫 번째 k 비트가 주어지면, 성공 확률이 50 %보다 좋은 (k + 1) 번째 비트를 예측할 수있는 다항식 시간 알고리즘은 없습니다.
  • 상태의 일부 또는 전부가 공개 (또는 정확하게 추측) 된 경우, 계시 전에 난수 스트림을 재구성하는 것은 불가능합니다. 또한 실행 중에 엔트로피 입력이있는 경우 CSPRNG 상태의 향후 조건을 예측하기 위해 입력 상태에 대한 지식을 사용하는 것이 불가능합니다.

최신 웹 브라우저 (Internet Explorer를 제외하고)는 이제 암호화 적으로 안전한 난수 생성기가있는 JavaScript에 사용할 수 있는 암호화 API를 가지고 있습니다. 이를 통해 광산과 같은 웹 사이트에서 생성 된시기와 위치를 기반으로 고유하고 추측 할 수없는 암호를 쉽게 생성 할 수 있습니다.

비밀번호 길이

암호에 대한 일반적인 공격은 공격자가 암호화 된 (해시 된) 암호가 저장된 데이터베이스에 액세스하는 것입니다. 그런 다음 공격자는 추측을 생성하고 동일한 해싱 알고리즘을 사용하여 추측을 해시하고 일치하는 것이 있는지 확인할 수 있습니다. 다음은 그러한 공격에 취약한 비밀번호 수를 보여주는 기사입니다. 컴퓨터는 이제 공격자가 초당 천억 개의 암호를 시도하는 것으로 충분히 강력합니다. 비밀 군사 및 스파이 기관 컴퓨터는 더 많은 명령을 수행 할 수 있습니다.

실질적인 관점에서 볼 때, 암호는 수백 개의 가능성을 가진 풀에서 선택해야 함을 의미합니다. 키보드로 입력 할 수있는 96 자만 8 자 암호를 사용하여 수조의 가능성을 생성 할 수 있습니다. 보안을 유지하려면 암호가 과거보다 더 길어야합니다. 미래에는 컴퓨터가 더욱 강력 해 질 것이며, 미래에도 쉽게 해독 할 수 없도록 오늘날 안전하다고 생각되는 것보다 더 긴 암호를 선택할 수 있습니다. 96 개의 가능한 문자를 기반으로하는 임의의 암호에 대해 최소 10의 길이를 권장하지만 길이가 12 또는 14 인 것이 향후 보안에 훨씬 좋습니다.


0

비밀번호 생성 루틴의 itake 매개 변수가 비밀번호가 생성되는 컨텍스트와 완전히 독립적 인 경우 (예 : 웹 사이트 URL 및 로그인 이름을 요청하지 않고 비밀번호를 생성하는 동안이 데이터를 반복 가능한 방식으로 포함) 이 루틴에 의해 생성 된 암호는 충분히 강력 할 것입니다 (적절한 길이와 복잡성이 주어짐).

위 시나리오에 포함 된 머신이 어떤 식 으로든 제한을받는 경우, 비밀번호가 모든 레벨의 보안을 제공 할 수 있다는 확신이 줄어 듭니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.