Чуть ли не каждый сайт предлагает нам создать профиль с доступом по логину и паролю, будь то игровой сервер, социальная сеть или банковский сервис. Пользователи нередко идут по пути наименьшего сопротивления — ставят на десятки ресурсов одни и те же пароли, используют для доступа клички домашних животных, дату рождения или комбинации символов наподобие «123456» или «qwerty». Все эти варианты ставят под угрозу безопасность файлов, финансовых транзакций, личных данных.
Если происходит утечка на одном из сайтов, сторонники первого метода не просто теряют пароль от игры, но и отдают злоумышленникам данные для доступа к личной переписке, финансовым сервисам, хранящейся в облаке документации. Второй же вариант легко поддается взлому. Единственный выход – длинные, надежные пароли для каждого аккаунта. Но пользователь не может помнить десятки и сотни сложных многозначных комбинаций заглавных и прописных букв, цифр и спецсимволов. Тут и пригодится генератор псевдослучайных чисел, который обычно используют менеджеры паролей.
Насколько случайны генераторы случайных паролей
Когда вы бросаете игральные кости, вы получаете комбинацию двух цифр, выбранных по-настоящему случайным образом. В компьютерном мире физическая случайность невозможна, она не поддается алгоритмизации. Все существующие алгоритмы создают последовательности символов на основе порождающего элемента (по-английски «seed», «семя»). От степени случайности этих элементов зависит устойчивость пароля к взлому.
Да, есть алгоритмы, использующие в качестве порождающих элементов внешние источники случайных чисел: ионизирующую радиацию, космические излучения, дробовой шум резисторов. Однако в менеджерах паролей такие механизмы практически не применяют
Любой псевдослучайный алгоритм зацикливается, когда перебираются все возможные варианты. Если порождающий элемент – 32-битное целое число, длина цикла составит почти 4,3 миллиарда комбинаций. Теоретически высококлассные хакеры могут воспроизвести последовательность комбинаций, зная псевдослучайный алгоритм. На практике же пользователю не о чем беспокоиться, если речь не идет об атаке на сервера госструктур или крупных корпораций.
Генераторы паролей
При сравнении генераторов паролей важную роль играют многие параметры: надежность алгоритма генерации, удобство и простота управления аккаунтами, дополнительная функциональность, двухфакторная аутентификация и другие.
Различаются генераторы и по используемому набору символов. В минимальный «джентльменский набор» входят 26 прописных букв английского алфавита, 26 строчных и 10 цифр. Всего 62 символа. Если добавить несколько спецсимволов, увеличится устойчивость к взлому. Если их будет 18, общее количество вариантов для каждого знака составит 80 символов, а для 8-значного пароля число возможных комбинаций достигнет 1 677 721 600 000 000, более 1,5 квадриллионов!
О лучших менеджерах паролей, использующих генераторы, мы рассказывали здесь. Вот самые популярные генераторы на случай, если вы по каким-то причинам не хотите устанавливать менеджер:
- 1Password Avast,
- asswords,
- RoboForm,
- ExpressVPN,
- Memset,
- Norton Password Manager,
- Random.org,
- Passgenerator.
В настройках генераторов псевдослучайных паролей может регулироваться количество тех или иных типов символов в каждом пароле. В некоторых пользователь может задавать не только длину пароля, но и количество цифр, заглавных букв и спецсимволов. Если исключить специальные символы (выставить нулевое значение), устойчивость пароля к взлому снизится в несколько сотен миллионов раз.
Как проверить надежность пароля
В целом, можно не заморачиваться и просто использовать менеджер паролей, в основе которого, как правило, лежит как раз генератор случайных чисел. Если вас одолевает паранойя или есть небольшие сомнения, то рекомендуем проверить надежность пароля. Сейчас это позволяют многие ресурсы. Самые популярные — 2IP, Roboform, Kaspersky Password Checker. Сервис проверяет пароль по базам утекших паролей и считает, сколько времени понадобится для его подбора. А, например, англоязычный ресурс Password Haystack Calculator еще и рассчитывает, сколько времени потребуется для взлома пароля при различных типах хакерских атак.