Jelszó generátor

Hogyan generálódnak a jelszavak?

Ez az eszköz jelszavakat generál a böngésző crypto.getRandomValues() API-ja segítségével – ugyanazzal a kriptográfiailag biztonságos véletlenszám-generátorral, amelyet a TLS, a HTTPS és a biztonsági szoftverek is szerte a világon alkalmaznak. Minden egyes karakter az engedélyezett karakterkészletekből egyforma valószínűséggel, egymástól függetlenül kerül kiválasztásra. A jelszavak helyileg generálódnak, és soha nem kerülnek el semmilyen szerverre.

A pszeudo-véletlenszám-generátorokkal (mint a JavaScript Math.random() függvénye) ellentétben a kriptográfiai véletlenszám-generátorok hardveres forrásokból merítenek entrópiát – egérmozdulatok, billentyűzet-időzítés, lemez I/O és dedikált hardveres véletlenszám-generátorok. Ez garantálja, hogy a generált jelszavak valóban kiszámíthatatlanok, még azzal szemben is, aki ismeri az algoritmust.

Milyen hosszú legyen a jelszó?

• 12 karakter: A legtöbb online fiókhoz elfogadható minimális hossz. Az összes karaktertípus engedélyezése esetén kb. 71 bites entrópiát biztosít.
• 16 karakter: E-mail-, banki és pénzügyi fiókokhoz ajánlott. Kb. 95 bites entrópiát biztosít.
• 20+ karakter: Adminisztrátori fiókokhoz, SSH-kulcsokhoz, titkosítási kulcsokhoz és jelszókezelő mesterjelszavakhoz a legjobb. 119+ bites entrópiát biztosít.

Mi tesz egy jelszót erőssé?

A jelszó erősségét az entrópiája méri – azaz a lehetséges kombinációk száma, amelyet egy támadónak meg kellene próbálnia. A hossz az egyetlen legfontosabb tényező. Egy 16 karakteres jelszó, amelyhez mind a négy karaktertípust (nagybetűk, kisbetűk, számjegyek, szimbólumok) alkalmazzuk, kb. 10⁴² lehetséges kombinációt tartalmaz. Másodpercenként egy billió próbálkozással a feltörése milliárd évekbe telne.

A karakterváltozatosság növelése karakterenkénti entrópiát ad hozzá. Csak kisbetűkkel 26 lehetőség adódik pozíciónként. Nagybetűk hozzáadásával ez 52-re duplázódik. Számjegyekkel 62-re nő. Szimbólumok bevonásával pozíciónként 90+ lehetőség adódik. A hossz azonban mindig felülmúlja az összetettséget – egy 20 karakteres kisbetűs jelszó erősebb egy 8 karakteres, minden karaktertípust tartalmazó jelszónál.

Érdemes-e jelszókezelőt használni?

Feltétlenül. Generáljon egyedi, erős jelszót minden fiókhoz ezzel az eszközzel, majd tárolja mindet egy megbízható jelszókezelőben, például a Bitwardenben, az 1Passwordben vagy a KeePassban. Jelszókezelővel csak egyetlen erős mesterjelszót kell megjegyezni. Soha ne használja ugyanazt a jelszót több helyen – ha egy oldal adatait feltörik, a támadók azonnal kipróbálják azokat máshol is.

Jelszavakkal kapcsolatos általános hibák

A legveszélyesebb hiba a jelszavak megosztása több webhelyen. Az adatszivárgások rendszeresen milliónyi hitelesítő adatot tesznek közzé, és a támadók automatizált eszközökkel próbálják ki az ellopott jelszavakat más szolgáltatásokon. Egyéb általános hibák: személyes adatok használata (születési dátumok, kisállatok neve), szótári szavak egyszerű helyettesítésekkel (p@ssw0rd) és jelszavak öntapadó cetlire írása.

Gyakran ismételt kérdések

Valóban véletlenszerű ez a jelszógenerátor?

Igen. A Web Crypto API-t (crypto.getRandomValues()) alkalmazza, amely egy kriptográfiailag biztonságos véletlenszám-generátor, beépítve a böngészőbe. Ez ugyanolyan minőségű véletlenszerűség, amelyet a TLS-munkamenet-kulcsok generálásánál is alkalmaznak az online bankolás védelméhez.

Milyen gyakran kell jelszót cserélni?

Az NIST (National Institute of Standards and Technology) aktuális biztonsági iránymutatása nem javasolja a rendszeres jelszócsere kötelezővé tételét. Csak akkor cserélje a jelszavát, ha azt gyanítja, hogy kompromittálódott, ha egy szolgáltatás adatszivárgást jelent be, vagy ha gyenge, régi jelszavát erősebbre kívánja felváltani.