Les mots de passe générés au hasard sont-ils sécurisés?

8

Des applications comme Roboform qui permettent de générer un mot de passe aléatoire. Peut-être existe-t-il des programmes de piratage intelligents qui savent comment fonctionnent les générateurs de mots de passe qui leur permettent de casser plus facilement les mots de passe? Peut-être connaissent-ils un schéma?

Que pensez-vous de LastPass? Vos mots de passe sont stockés quelque part dans le cloud. Qui sait ce qui peut y arriver ... Les administrateurs peuvent devenir curieux ou les pirates peuvent pirater le cloud.

Boris_yo
la source
Le mot de passe aléatoire doit respecter les mêmes directives que tous les mots de passe. Le SuperUtilisateur a une question concernant les recommandations de mot de passe - superuser.com/questions/15388/…
dvin

Réponses:

8

Probablement. C'est aléatoire, ça pourrait sortir comme ça password1!

Ou plus précisément, oui, ils sont sécurisés . Ils ne sont pas vraiment pseudo-aléatoires (ou du moins, tout bon générateur, comme vous le trouverez dans une application de gestion de mot de passe appropriée), mais suivez des règles conçues pour créer des mots de passe qui ne sont pas aléatoires, mais très difficiles à deviner.

Le craquage de mot de passe est une chose connue et prévisible, et vous pouvez l'utiliser pour créer des mots de passe efficaces pour lui résister. Pas des mots de dictionnaire, longs, avec des symboles, les deux cas de lettres, des chiffres, etc. Générer un mot de passe qui prendrait plusieurs millions d'années à une machine moderne pour se fissurer n'est pas un défi difficile - car si les personnes qui écrivent les crackers savent comment fonctionne le générateur, les personnes qui écrivent le générateur savent aussi comment fonctionnent les crackers.

En ce qui concerne lastpass, pour autant que je sache, votre conteneur de mots de passe est crypté et décrypté localement, donc très, très peu de chances que cela soit compromis. Malheureusement, vous ne pouvez pas utiliser lastpass pour protéger votre conteneur lastpass, vous devrez donc compter sur vos propres compétences de génération de mot de passe pour vous en souvenir!

Phoshi
la source
3

Je suis l'auteur du site générateur de mots de passe aléatoires http://passwordcreator.org . Voici ce que j'ai appris lors de la création de ce site sur la création de mots de passe aléatoires sécurisés:

Source aléatoire

La plupart des générateurs de nombres aléatoires sur les ordinateurs sont aléatoires. Ils sont basés sur des algorithmes et ne conviennent pas pour générer des mots de passe. Ils sont généralement ensemencés avec l'heure actuelle. Si cette seule information est connue (ou peut être devinée), il est possible de reproduire leur sortie et de voir les mots de passe qui auraient été générés.

Pour générer un mot de passe, un générateur de nombres pseudo-aléatoires (CPRNG) cryptographiquement sécurisé doit être utilisé. D'après Wikipédia, les deux exigences de ce type de générateur de nombres aléatoires sont:

  • étant donné les k premiers bits d'une séquence aléatoire, il n'y a pas d'algorithme polynomial en temps qui puisse prédire le (k + 1) ème bit avec une probabilité de réussite meilleure que 50%.
  • Dans le cas où une partie ou la totalité de son état a été révélée (ou deviné correctement), il devrait être impossible de reconstruire le flux de nombres aléatoires avant la révélation. De plus, s'il y a une entrée entropique en cours d'exécution, il devrait être impossible d'utiliser la connaissance de l'état de l'entrée pour prédire les conditions futures de l'état CSPRNG.

Les navigateurs Web modernes (à l'exception notable d'Internet Explorer) disposent désormais d'une API de chiffrement disponible pour JavaScript qui dispose d'un générateur de nombres aléatoires cryptographiquement sécurisé . Cela permet aux sites Web comme le mien de générer facilement des mots de passe uniques et impossibles à deviner en fonction de savoir quand et où ils ont été générés.

Longueur du mot de passe

Une attaque courante contre les mots de passe consiste pour l'attaquant à accéder à la base de données où sont stockés les mots de passe chiffrés (hachés). L'attaquant peut alors générer des suppositions, hacher les suppositions en utilisant le même algorithme de hachage et voir s'ils obtiennent des correspondances. Voici un article qui montre combien de mots de passe sont vulnérables à une telle attaque. Les ordinateurs sont maintenant suffisamment puissants pour que les attaquants essaient 100 milliards de mots de passe par seconde. Les ordinateurs secrets des agences militaires et d'espionnage pourront peut-être faire des ordres de grandeur supplémentaires.

D'un point de vue pratique, cela signifie qu'un mot de passe doit être choisi parmi un pool de quintillions de possibilités. Les 96 caractères qui peuvent être saisis sur un clavier ne peuvent générer que des quadrillions de possibilités en utilisant un mot de passe à huit caractères. Pour être sûrs, les mots de passe doivent être plus longs aujourd'hui que jamais auparavant. Les ordinateurs deviendront plus puissants à l'avenir et vous voudrez peut-être choisir des mots de passe qui sont encore plus longs que ceux dont vous pourriez avoir besoin pour vous sentir en sécurité aujourd'hui afin qu'ils ne puissent pas être piratés facilement à l'avenir. Je recommanderais au moins une longueur de 10 pour des mots de passe aléatoires basés sur 96 caractères possibles, mais l'utilisation d'une longueur de 12 ou 14 serait bien meilleure pour la sécurité future.

Stephen Ostermiller
la source
0

Si les paramètres itake de la routine de génération de mot de passe sont complètement indépendants du contexte pour lequel le mot de passe est généré (exemple: il ne demande pas l'URL du site Web et le nom de connexion et inclut ces données de manière reproductible lors de la génération du mot de passe), alors on peut être relativement certain que tout mot de passe généré par cette routine serait suffisamment fort (étant donné la longueur et la complexité adéquates).

Si l'une des machines impliquées dans le scénario ci-dessus est compromise de quelque façon que ce soit, la certitude que le mot de passe peut fournir n'importe quel niveau de sécurité peut être diminuée.

Frédéric
la source