Najlepsze praktyki dotyczące hasła

Biorąc pod uwagę ostatnie wydarzenia związane z uczeniem się i ponownym próbowaniem haseł od administratorów witryn , co możemy sugerować wszystkim o najlepszych praktykach dotyczących haseł?

• używaj unikalnych haseł między witrynami (tj. nigdy nie używaj ponownie hasła)
• słów znalezionych w słowniku należy unikać
• rozważ użycie słów lub wyrażeń z języka innego niż angielski
• użyj fraz hasła i użyj pierwszej litery każdego słowa
• L33tifying niewiele pomaga

Proszę zasugerować więcej!

• Używaj haseł, które nie składają się z typowych słów lub nazw. Ataki słownikowe wykorzystują słowniki zawierające miliony słów i są bardzo szybkie.

• Używaj długich haseł. Zwykle używam fraz . Wybieram frazę, zdanie lub wierszyk i znajduję sposób na użycie sporej liczby znaków innych niż alfanumeryczne, aby moje słowa nie były słowami słownikowymi.

• Nie używaj tego samego hasła do wielu usług logowania. Poświęć trochę czasu, aby wymyślić formułę zbierania haseł. Pozwala to na użycie wielu różnych haseł, które, jeśli zostaną zapomniane, mogą być odtworzone z pewną próbą i błędem.

• Jeśli musisz, napisz dobre, długie, bezpieczne hasło i ukryj je gdzieś. To przynajmniej jest lepsze niż używanie słabego hasła, które jest łatwiejsze do zapamiętania.

• Jeśli powyższe sugestie okażą się niemożliwe do zarządzania, użyj menedżera haseł z długim bezpiecznym hasłem, a następnie użyj haseł losowych znaków do wszystkiego innego. Noś przy sobie menedżera haseł na zaszyfrowanym dysku flash USB (oczywiście z kopią zapasową).

Znalazłem kilka problemów z hasłami:

• Wiele witryn ma górny limit długości hasła - jak 20 znaków - to głupie, ale co możesz zrobić.
• Inne strony nie dopuszczają spacji w hasłach.
• Pisanie długich tekstów na ślepo jest podatne na błędy - szczególnie, gdy nie jesteś dobrym maszynistką.
• Wpisanie 50-znakowego hasła zajmuje nieco więcej czasu niż dobre 15-znakowe hasło.

Moim rozwiązaniem tego problemu jest użycie haseł jako mnemoniki rzeczywistego hasła. Na przykład mogłem wybrać kilka wierszy wielkiego wiersza Williama Henry'ego Daviesa (76 znaków):

Nie ma czasu, aby zobaczyć, kiedy mijamy lasy,
gdzie wiewiórki chowają orzechy w trawie.

I wybrałbym pierwsze litery każdego słowa, tworząc następujące całkiem dobre 16-znakowe hasło:

Nttswwwp,Wshtnig

Używanie poezji jest szczególnie dobre, ponieważ łatwiej jest zapamiętać, a kiedy zostaniesz poproszony o zmianę hasła, możesz po prostu wybrać kilka kolejnych wierszy wiersza.

Podczas dyktowania reżimu haseł innym, nie tylko wymagaj, aby używali unikalnego, dłuższego niż próg, zawierały różne litery, znaki specjalne itp., Ale także edukuj użytkownika o menedżerach haseł lub schematach dotyczących konstruowania / zapamiętywania tych haseł. Jeśli tego nie zrobisz, użytkownicy zapiszą hasła lub znajdą inne, niepewne sposoby ich „zapamiętania”.

Jeśli masz problemy z zapamiętywaniem haseł, użyj dobrze znanego tekstu. Wybierz zdanie, użyj n- ^tej litery z każdego słowa jako hasła, zachowaj interpunkcję. (np hasło wygenerowane od 1 ^st liter zdaniu pierwszym niniejszego odpowiedź może być „Iyhtrp, uswkt.”). Możesz go wzmocnić, zmieniając niektóre na wielkie litery i dodając specjalne znaki.

Nie używaj hasła, to właśnie tam popełnisz błąd. Użyj losowej kolekcji znaków (minimum 8) lub hasła. Możesz opracować formułę generowania różnych haseł dla każdej witryny, na przykład ILikeStackOverflowOnions lub ILikeServerFaultOnions; zapewnia to bezpieczeństwo przed osobami z zewnątrz, jednak nadal może powodować problemy, jeśli rzeczywista witryna zostanie zhakowana, a hasła nie zostaną solone lub jeśli administrator zostanie uszkodzony.

Regularnie zmieniaj hasło. Tam, gdzie pracuję, jest to 30-dniowy cykl. Jest to PITA, ale zmniejsza wartość zhakowanych haseł w ograniczonym czasie. To, a także złożona polityka haseł AD dyktuje, że musi ona mieć co najmniej 8 znaków, zawierać górny, dolny, numeryczny i symbole.

W celu uzupełnienia korzystamy z samoobsługowej usługi zarządzania hasłami. Zapewnia niestandardową GINA dla systemu Windows, która zapewnia funkcjonalność pozwalającą użytkownikowi zresetować hasło, jeśli go zapomni, lub odblokować je, jeśli zbyt wiele razy go oszuka. Aplikacja menedżera haseł wymaga zarejestrowania się użytkownika w usłudze, podania szeregu danych osobowych, o których wiedziałby, że zostaną później wykorzystane jako pytania, gdy użytkownik będzie musiał zresetować hasło / odblokować swoje konto.

Uważam, że hasła powinny zostać wygenerowane, a nie wymyślone przez użytkownika. Pozwala to uniknąć tych wszystkich głupich problemów dzięki łatwym do odgadnięcia hasłom.

Lubię używać pwgen , który generuje listy haseł jak

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

ale tak naprawdę zrobi to każdy program generacji pw. Jedną z zalet pwgen jest to, że stara się zapamiętać hasła (nieco), włączając w to niektóre samogłoski.

Wszystko inne niż (źródło dailywtf.com):

1. Używaj silnych haseł.
2. Nie używaj ponownie haseł.
3. Biorąc pod uwagę # 2, użyj narzędzia takiego jak PwdHash w obliczu ogromnej liczby różnych kont.

Unikaj tych 500 najgorszych haseł .

Długie, złożone hasła zapewniają dobre bezpieczeństwo, zasadniczo silne hasła , ale zdecydowanie używają różnych haseł dla wszystkich kont użytkowników.

Użyj narzędzia takiego jak SuperGenPass, aby wygenerować unikalne hasła do stron internetowych, na które masz login.

Hak5 właśnie zrobił odcinek demonstrujący narzędzie z Remote Exploit, które pobiera wiele ciągów znaków i generuje słownik wszystkich kombinacji, górnej, dolnej, pisowni itp. Więc podajesz dane wejściowe, takie jak imię celu, imiona dzieci, daty urodzenia lub inne informacje, które znasz o celu. Słownik, który generuje, może służyć jako dane wejściowe do brutalnej siły słabego hasła.

Morał: Unikaj używania danych osobowych w swoim haśle

Jeśli znasz słowa lub wyrażenia w języku innym niż angielski , możesz użyć ich jako części hasła. Na przykład często używam japońskich słów jako części haseł, które odpierają ataki słownikowe, ale pozwalają mi je zapamiętać (w przeciwieństwie do losowo generowanych haseł).

Zacząłem używać Bezpiecznego hasła , które pierwotnie zaprojektował Bruce Schneier, do przechowywania dowolnych haseł internetowych. Mam bardzo silne hasło do bezpiecznego hasła, a wszystkie inne hasła są generowane automatycznie i nigdy nie są ponownie używane na stronach internetowych.

Oprogramowanie ma również takie funkcje, jak wygasające hasła i tym podobne.

Uważam to (biorąc pod uwagę silne bezpieczne hasło) za najlepszą kompromis i najbezpieczniejsze podejście do haseł do stron internetowych.

W przypadku rodziny i przyjaciół zwykle mówię, że fajnie jest używać rzeczy takich jak imiona zwierząt domowych i panieńskie nazwisko matki i inne rzeczy, o ile zdarzają się następujące dwie rzeczy:

• łączą co najmniej dwa nazwiska (np. panieńskie nazwisko matki + imię i nazwisko zwierzaka)
• zawierają wielkie litery i znaki specjalne.

Wprowadzając obowiązkowy okres ważności hasła, wybierz współczynnik 7 zamiast bloku dni (np. 30 lub 60 dni).

W wyniku 30-dniowego wygaśnięcia użytkownik może zmienić hasło w wakacje lub weekend i może mieć niespodziankę, gdy wejdzie do pracy następnego dnia.

Jeśli ustawisz skalę wygaśnięcia na współczynnik 7, zapewni to, że data zmiany hasła przypada w tym samym dniu tygodnia, co poprzednia zmiana.

Jeśli masz wiele witryn dla tej samej bazy użytkowników, muszę zdecydowanie zasugerować jakąś formę pojedynczego logowania (np. Shibboleth). Gdy użytkownicy mają różne hasła do wielu witryn, zwykle mają problemy z zapamiętaniem ich wszystkich. Jedno lub dwa hasła są łatwe do zapamiętania przez większość ludzi, trzy użytkownik może zapisać je w tajnym miejscu. Jeśli jest ich więcej niż cztery, użytkownik może po prostu zapisać je wszystkie na notatce i umieścić na biurku lub monitorze.

Hasła nie muszą być zbyt skomplikowane, ale muszą być wystarczająco złożone, aby zapobiec pierwszej lub drugiej próbie. Tak długo, jak twój system / witryny mają jakiś środek bezpieczeństwa, który ogranicza liczbę prób logowania, hasła nie muszą być zbyt skomplikowane.

Na przykład, jeśli twój system ma limit 3 prób logowania na godzinę, wówczas podstawowe hasło, takie jak „Cindy65”, jest wystarczająco skomplikowane. Chociaż haker może wiedzieć, że prawdziwym imieniem użytkownika jest Cindy, tak naprawdę nigdy nie dowie się, że urodziła się w 1965 roku. Jego próby byłyby oczywiście „cindy”, „ l astname”, „Cindy”, L astname ”, choć przez to czas jest zablokowany.

Chociaż może to być uproszczony przypadek i proste hasło, to wszystko, co jest naprawdę potrzebne, jeśli administrator skonfigurował wszystko poprawnie po stronie serwera. Możemy również poprosić o nieco bardziej złożone hasła, które są łatwe do zapamiętania, takie jak losowa kombinacja kluczy. Pomagają również symbole i duże litery.

Musimy tylko pamiętać, że im bardziej obciążamy użytkownika, tym bardziej prawdopodobne jest, że zapisze go publicznie.

Jedną z rzeczy, o których zawsze lubię prosić moich użytkowników, jest wpisanie ich nazwy połączonej z nazwą leku, na którym się znajdują, ulubionego jedzenia, nazwiska najlepszych przyjaciół itp. Te kombinacje słowników, choć uproszczone, są prawie niemożliwe do złamania.

Przykłady: CindyProzac, WilliamCodene, JoePetertherabbit

Powodzenia.

Nie zapisuj tego. A jeśli to zrobisz, schowaj to w sejfie. I nie zapisuj też tego zestawu.

Jeśli wymagania bezpieczeństwa są bardzo surowe, staram się unikać używania haseł tam, gdzie to możliwe. Pomyśl, używając uwierzytelniania opartego na kluczu ssh, certyfikatów klienta na kartach inteligentnych itp. Aby to działało, potrzeba dużo umiejętności i budżetu, więc należy dokonać właściwej oceny ryzyka.

Jeśli zdecydujesz się trzymać haseł, postąpię zgodnie z radą Capar i Lexu.

Ograniczenia dotyczące długości hasła są głupie. (Ograniczanie haseł do 6-8 znaków jest powszechne, ale nie ma sensu w nowoczesnych systemach).

Wymaganie częstych zmian hasła zachęca użytkowników do zapisywania haseł i wybierania prostszych. Jest to kompromis zagrożeń i musisz rozważyć, które zagrożenie jest bardziej odpowiednie.

Wymaganie od użytkownika, aby zawierało „znaki specjalne” w dokładnie 8-znakowym haśle, zamiast dopuszczania 30-znakowego hasła składającego się wyłącznie z liter, nie ma sensu.

Nie podawaj użytkownikom oczywistego hasła i poproś o jego zmianę. Nie będą. Albo wymagaj, aby zmienili go przy pierwszym logowaniu, wybierz silne hasło, wiedząc, że go zapiszą, lub spraw, aby wybrali silne hasło przed tobą.

Szkolimy naszych użytkowników w zakresie wybierania haseł i używania pierwszej litery każdego słowa.
WTOUTPPAUTFLOEW - dodaj zero lub 3 (leetifying), zmieniaj kilka razy Capslock i masz coś, czego żaden słownik nigdy nie wybierze, ale nadal jest łatwy do zapamiętania.

jednak - upewnij się, że nie zmienisz hasła na hasło oparte na sloganie firmy / oświadczeniu dotyczącym wizji itp.

Aby zapobiec temu, co stało się z administratorem tej witryny, i zakładając, że masz dostęp do powłoki Unix lub Cygwin, możesz użyć

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

i sprawdź tę wartość w bazie danych MD5, takiej jak http://gdataonline.com/ . Upewnij się, że tam się nie pojawia.

Oto przykład bardziej surowego słownika MD5, który dostałem po prostu szukając tej wartości skrótu (ostrzeżenie: duży plik): https://secure.sensepost.com/sp-hash/jebwy