As senhas geradas aleatoriamente são seguras?

Aplicativos como o Roboform, que permite gerar senha aleatória. Talvez existam programas de hackers inteligentes e que saibam como funcionam os geradores de senhas, o que lhes permite quebrar senhas com mais facilidade? Talvez eles conheçam algum padrão?

Além disso, o que você acha do LastPass? Suas senhas são armazenadas na nuvem em algum lugar. Quem sabe o que pode acontecer por lá ... Os administradores podem ficar curiosos ou os hackers podem invadir a nuvem.

Provavelmente. É aleatório, pode sair como password1!

Ou, mais precisamente, sim, eles são seguros . Eles não são verdadeiramente pseudo-aleatórios (ou pelo menos, qualquer bom gerador, como você encontraria em um aplicativo de gerenciamento de senhas adequado), mas seguem regras criadas para criar senhas que não são aleatórias, mas muito difíceis de adivinhar.

A quebra de senha é uma coisa conhecida e previsível, e você pode usá-la para criar senhas eficazes para resistir a ela. Não são palavras do dicionário, longas, com símbolos, ambos os casos de letras, números, etc. Gerar uma senha que levaria uma máquina moderna alguns milhões de anos para quebrar não é um desafio difícil - porque enquanto as pessoas que escrevem os crackers sabem como o gerador funciona, as pessoas que escrevem o gerador também sabem como os crackers funcionam.

Quanto ao lastpass, até onde eu sei, o contêiner de sua senha é criptografado e descriptografado localmente, com muito pouca chance de que isso seja comprometido. Infelizmente, você não pode usar o lastpass para proteger seu contêiner lastpass, portanto, precisará confiar em suas próprias habilidades de geração de senha para se lembrar desse!

Sou o autor do site de geração de senha aleatória http://passwordcreator.org . Aqui está o que eu aprendi no processo de criação desse site sobre a criação de senhas aleatórias seguras:

Fonte aleatória

A maioria dos geradores de números aleatórios nos computadores são aleatórios. Eles são baseados em algoritmos e não são apropriados para gerar senhas. Eles geralmente são semeados com a hora atual. Se essa informação é conhecida (ou pode ser adivinhada), é possível reproduzir sua saída e ver as senhas que teriam sido geradas.

Para gerar uma senha, um gerador de números pseudo-aleatórios criptograficamente seguros (CPRNG) deve ser usado. Na Wikipedia, os dois requisitos deste tipo de gerador de números aleatórios são:

• dados os primeiros k bits de uma sequência aleatória, não há algoritmo de tempo polinomial que possa prever o (k + 1) th bit com probabilidade de sucesso superior a 50%.
• No caso de parte ou todo o seu estado ter sido revelado (ou adivinhado corretamente), deve ser impossível reconstruir o fluxo de números aleatórios antes da revelação. Além disso, se houver uma entrada de entropia durante a execução, deve ser inviável usar o conhecimento do estado da entrada para prever condições futuras do estado CSPRNG.

Navegadores da web modernos (com a exceção notável do Internet Explorer) agora têm uma API criptográfica disponível para JavaScript que possui um gerador de números aleatórios criptograficamente seguro . Isso facilita para sites como o meu gerar senhas únicas e impossíveis de adivinhar com base em saber quando e onde foram geradas.

Comprimento da senha

Um ataque comum contra senhas é para o invasor obter acesso ao banco de dados em que as senhas criptografadas (com hash) estão armazenadas. O atacante pode gerar palpites, hash dos palpites usando o mesmo algoritmo de hash e ver se eles conseguem alguma correspondência. Aqui está um artigo que mostra quantas senhas são vulneráveis ​​a esse ataque. Agora, os computadores são poderosos o suficiente para que os invasores experimentem 100 bilhões de senhas por segundo. Os computadores secretos das agências militares e de espionagem podem ser capazes de executar ordens de magnitude mais.

Do ponto de vista prático, isso significa que uma senha precisa ser escolhida dentre um conjunto de quintilhões de possibilidades. Os 96 caracteres que podem ser digitados em um teclado podem gerar apenas quatrilhões de possibilidades usando uma senha de oito caracteres. Para garantir a segurança, as senhas devem ser mais longas hoje do que nunca. Os computadores se tornarão mais poderosos no futuro e você pode escolher senhas ainda mais longas do que o necessário para se sentir seguro hoje, para que não possam ser quebradas facilmente no futuro. Eu recomendaria pelo menos um comprimento de 10 para senhas aleatórias com base em 96 caracteres possíveis, mas usar um comprimento de 12 ou 14 seria muito melhor para segurança futura.

Se os parâmetros itake da rotina de geração de senha forem completamente independentes do contexto para o qual a senha está sendo gerada (por exemplo: ele não solicita URL do site e nome de login e inclui esses dados de forma repetível ao gerar a senha), pode-se ter certeza de que qualquer senha gerada por essa rotina seria suficientemente forte (dado o tamanho e a complexidade adequados).

Se qualquer uma das máquinas envolvidas no cenário acima for comprometida de alguma forma, a certeza de que a senha pode fornecer qualquer nível de segurança pode ser diminuída.