Un generador al azar de la contraseña del es el dispositivo del hardware del programa o del software que toma la entrada de un generador pseudoaleatorio al azar del número de o y genera automáticamente una contraseña . Las contraseñas al azar se pueden generar manualmente, usar fuentes simples de aleatoriedad tales como dados o monedas, o pueden ser generadas usar una computadora.

Mientras que hay muchos ejemplos del " random" los programas del generador de la contraseña disponibles en el Internet, generando aleatoriedad pueden ser difíciles y muchos programas no generan carácteres al azar de una manera que asegure fuerte seguridad. Una recomendación común es utilizar las herramientas de la seguridad de la fuente abierta en lo posible, puesto que permiten cheques independientes en la calidad de los métodos usados. Observar eso que genera simplemente una contraseña al azar no se asegura que la contraseña es una contraseña fuerte, porque es posible, aunque alto sea inverosímil, generar una contraseña fácilmente conjeturada o agrietada.

Un generador de la contraseña puede ser parte de un encargado de la contraseña. Cuando una política de la contraseña hace cumplir reglas complejas, puede ser más fácil utilizar un generador de la contraseña basado en ese sistema de reglas que crear manualmente contraseñas.

El acercamiento ingenuo

Aquí están dos muestras del código que un programador ingenuo pudo creer es un generador conveniente de la contraseña:

C

  1. incluir el
  2. de incluir el
  3. de

cañería de la internacional (vacío) { longitud de la internacional = 8; internacional r, i; carbón de leña c; srand (tiempo (internacional sin firmar) (0)); número de //Seed para el rand () para (i = 0; i < longitud; i++) { r = rand () + 33; c = (carbón de leña) r; printf (" %c", c); } vuelta 0; }

En este caso, el rand estándar del de la función de C, que es un generador del número pseudaleatorio, se siembra usar la función del tiempo del de C. Según el estándar del ANSI C, el tiempo del vuelve un valor del tipo tiempo t, que es puesta en práctica definida, pero lo más comúnmente posible un número entero de 32 bits que contiene el número actual de segundos desde el 1 de enero de 1970 (el considera: el Unix de mide el tiempo de ). Hay cerca de 31 millones de segundos en un año, tan atacante que sepa el año en el cual la contraseña era (algo fácil en las situaciones donde los cambios frecuentes de la contraseña son asignados por mandato por la política de la contraseña) caras generadas al número relativamente pequeño, por estándares criptográficos, de opciones a la prueba. Si el atacante sabe más exactamente cuándo la contraseña fue generada, él hace frente a un número incluso más pequeño de candidatos para probar -- un defecto serio en esta puesta en práctica.

En las situaciones donde el atacante puede obtener una versión cifrada de la contraseña, tal prueba se puede realizar rápido bastante para poder llegar algunas millón de contraseñas de ensayo una cuestión de segundos. El considera: contraseña de que agrieta .

El rand del de la función presenta otro problema. Todos los generadores del número pseudaleatorio tienen un estado de la memoria interna o del . el tamaño de ese estado determina el número máximo de diversos valores que puede producir: un n - el estado del pedacito puede producir a lo más diversos valores de 2^n. En rand del de muchos sistemas tiene un estado de 31 o 32 pedacitos, que es ya una limitación significativa de la seguridad. En la puesta en práctica de Visual C++ de la biblioteca estándar C, el rand del tiene solamente un estado de 15 pedacitos, permitiendo apenas 32 767 salidas posibles.

PHP

lang=php> del

En el segundo caso, se utiliza el del microtime de la función del PHP, que vuelve el reloj fechador actual de Unix con microsegundos. Esto aumenta el número de posibilidades, pero alguien con una buena conjetura de cuando la contraseña fue generada, por ejemplo la fecha un trabajo comenzado empleado, todavía tiene un espacio de búsqueda razonablemente pequeño. También algunos sistemas operativos no proporcionan tiempo a la resolución del microsegundo, reduciendo agudamente el número de opciones. Finalmente la función del del rand de utiliza generalmente la función subyacente del del rand de C, y puede tener un pequeño espacio de estado, dependiendo de cómo se ejecuta.

Métodos más fuertes

Algunos sistemas operativos de la computadora proporcionan generadores de número al azar mucho más fuertes. Un ejemplo, común en la mayoría de las plataformas de Unix, es /dev/random . El lenguaje de programación de Java incluye una clase llamada SecureRandom. Los programadores de Windows pueden utilizar el criptográfico CryptGenRandom de la función del interfaz de programación de uso . Otra posibilidad, es derivar aleatoriedad midiendo un cierto fenómeno externo, tal como entrada de teclado del usuario de la sincronización. Usar octetos al azar de ninguno de estos fuentes debe probar adecuado para la mayoría de las necesidades de la generación de la contraseña.

Otro más método es utilizar los dispositivos físicos tales como dados para generar la aleatoriedad. Una manera simple de hacer esto utiliza 6 por la tabla 6 de carácteres. El primeros mueren el rodillo seleccionan una fila en la tabla y el segundo una columna. Así pues, por ejemplo, un rodillo de 2 seguidos por un rodillo de 4 seleccionaría el " del de la letra; j" de la tabla abajo.

El tipo y la fuerza de la contraseña generaron

Los generadores al azar de la contraseña hacen salir normalmente una cadena de símbolos de la longitud especificada. Éstos pueden ser carácteres individuales de algún juego de caracteres, sílabas diseñadas para formar contraseñas pronunciables, o palabras de una cierta lista de palabra para formar un Passphrase . El programa se puede modificar para requisitos particulares para asegurarse que la contraseña resultante se conforma con la política local de la contraseña, que dice siempre produciendo una mezcla de letras, de números y de carácteres especiales.

La fuerza de una contraseña al azar puede ser calculada computando la entropía de información del proceso al azar que la produjo. Si cada símbolo en la contraseña se produce independiente, la entropía apenas es dada por la fórmula H del

l = L \ log_2 N = L {\ registro N \ sobre \ registro 2}

donde está el N el número de los símbolos y del posibles L es el número de símbolos en la contraseña. La función log2 es el logaritmo base-2. El H se mide en los pedacitos

Programas y Web site del generador de la contraseña

Una gran cantidad de programas y de Web site del generador de la contraseña están disponibles en el Internet. Su calidad varía y puede ser dura de determinar si no hay descripción clara de la fuente de aleatoriedad se utilice que, y si el código fuente no se proporciona para permitir que las demandas sean comprobadas. Que transmite el candidato contraseñas sobre el Internet también levanta problemas de seguridad obvios, particularmente si la conexión al sitio de la generación de la contraseña no se asegura.

Ver también

Diceware
Tamaño dominante
Parámetro de la longitud de la contraseña
Encargado de la contraseña
Generador de número al azar

.

  • Zenithic
  • George E. King
    Random links:Condado de Appling, Georgia | 1863) HMS Wivern ( | Juan Worsfold | Lista de motores de ECMAScript | Micaela Grattan

    • © 2007-2008 enciclopediaespana.com; article text available under the terms of GFDL, from en.wikipedia.org
    ="http://pagead2.googlesyndication.com/pagead/show_ads.js">