¿Son seguras las contraseñas generadas al azar?

Aplicaciones como Roboform que permite generar contraseñas aleatorias. ¿Quizás hay programas de hackers que son inteligentes y saben cómo funcionan los generadores de contraseñas que les permiten descifrar las contraseñas más fácilmente? Tal vez ellos saben algún patrón?

Además, ¿qué opinas sobre LastPass? Sus contraseñas se almacenan en la nube en alguna parte. Quién sabe qué puede pasar allí ... Los administradores pueden sentir curiosidad o los hackers pueden hackear la nube.

Probablemente. ¡Es aleatorio, podría salir como password1!

O más exactamente, sí, son seguros . No son realmente pseudoaleatorios (o al menos, un buen generador, como lo encontraría en una aplicación de administración de contraseñas adecuada), pero siguen reglas diseñadas para crear contraseñas que no son aleatorias, pero muy difíciles de adivinar.

El descifrado de contraseñas es algo predecible y conocido, y puede usarlo para crear contraseñas que sean eficaces para resistirlo. No palabras del diccionario, largas, con símbolos, ambos casos de letras, números, etc. Generar una contraseña que demoraría unos millones de años en descifrar una máquina moderna no es un desafío difícil, porque mientras las personas que escriben los crackers saben cómo funciona el generador, las personas que escriben el generador también saben cómo funcionan los crackers.

En cuanto a lastpass, hasta donde yo sé, su contenedor de contraseña está encriptado y desencriptado localmente, por lo que hay muy pocas posibilidades de que eso se vea comprometido. Desafortunadamente, no puede usar lastpass para proteger su contenedor de lastpass, por lo que tendrá que confiar en sus propias habilidades para generar contraseñas para recordarlo.

Soy el autor del sitio de generación de contraseña aleatoria http://passwordcreator.org . Esto es lo que aprendí en el proceso de creación de ese sitio sobre la creación de contraseñas aleatorias seguras:

Fuente aleatoria

La mayoría de los generadores de números aleatorios en las computadoras son psuedorandom. Se basan en algoritmos y no son apropiados para generar contraseñas. Generalmente se siembran con la hora actual. Si se conoce esa única información (o se puede adivinar), es posible reproducir su salida y ver las contraseñas que se habrían generado.

Para generar una contraseña, se debe utilizar un generador de números pseudoaleatorios (CPRNG) criptográficamente seguro . De Wikipedia, los dos requisitos de este tipo de generador de números aleatorios son:

• dados los primeros k bits de una secuencia aleatoria, no existe un algoritmo de tiempo polinómico que pueda predecir el bit (k + 1) th con una probabilidad de éxito superior al 50%.
• En el caso de que parte o la totalidad de su estado haya sido revelado (o adivinado correctamente), debería ser imposible reconstruir el flujo de números aleatorios antes de la revelación. Además, si hay una entrada de entropía durante la ejecución, debería ser inviable utilizar el conocimiento del estado de la entrada para predecir las condiciones futuras del estado CSPRNG.

Los navegadores web modernos (con la notable excepción de Internet Explorer) ahora tienen una API criptográfica disponible para JavaScript que tiene un generador de números aleatorios criptográficamente seguro . Esto facilita que sitios web como el mío generen contraseñas únicas y no adivinables en función de saber cuándo y dónde se generaron.

Longitud de la contraseña

Un ataque común contra las contraseñas es que el atacante obtenga acceso a la base de datos donde se almacenan las contraseñas cifradas (hash). El atacante puede generar conjeturas, hacer hash con el mismo algoritmo de hash y ver si obtienen coincidencias. Aquí hay un artículo que muestra cuántas contraseñas son vulnerables a dicho ataque. Las computadoras ahora son lo suficientemente potentes como para que los atacantes prueben 100 mil millones de contraseñas por segundo. Las computadoras secretas de las agencias militares y de espionaje pueden hacer órdenes de magnitud más.

Desde un punto de vista práctico, eso significa que se debe elegir una contraseña de un grupo de quintillones de posibilidades. Los 96 caracteres que se pueden escribir en un teclado solo pueden generar miles de millones de posibilidades utilizando una contraseña de ocho caracteres. Para estar seguros, las contraseñas deben ser más largas hoy que nunca en el pasado. Las computadoras se volverán más poderosas en el futuro y es posible que desee elegir contraseñas que sean incluso más largas de lo que podría necesitar para sentirse seguro hoy para que tampoco puedan descifrarse fácilmente en el futuro. Recomendaría al menos una longitud de 10 para contraseñas aleatorias basadas en 96 caracteres posibles, pero usar una longitud de 12 o 14 sería mucho mejor para la seguridad futura.

Si los parámetros itake de la rutina de generación de contraseña son completamente independientes del contexto para el que se genera la contraseña (por ejemplo: no solicita la URL del sitio web, el nombre de inicio de sesión e incluye estos datos de forma repetible mientras genera la contraseña), entonces uno puede estar relativamente seguro de que cualquier contraseña generada por esta rutina sería lo suficientemente segura (dada la longitud y complejidad adecuadas).

Si alguna de las máquinas involucradas en el escenario anterior está comprimida de alguna manera, la certeza de que la contraseña puede proporcionar cualquier nivel de seguridad puede verse disminuida.