Jakie są najlepsze praktyki tworzenia bezpiecznych haseł? Chciałbym sprawić, by trudniej je było złamać przy użyciu narzędzi o brutalnej sile.
część druga
Czy są jakieś narzędzia, które mogą generować te hasła, więc nie muszę sam o tym myśleć?
Jakie są najlepsze praktyki tworzenia bezpiecznych haseł? Chciałbym sprawić, by trudniej je było złamać przy użyciu narzędzi o brutalnej sile.
część druga
Czy są jakieś narzędzia, które mogą generować te hasła, więc nie muszę sam o tym myśleć?
Odpowiedzi:
W systemach uniksowych PAM lub Pluggable Authentication Module to miłe narzędzie administracyjne, które jest dostarczane z biblioteką cracków, na której można testować hasła.
Po ostatnich pracach związanych z bezpieczeństwem wiem, że standardy rządowe zwykle zawierają następujące wytyczne, jeśli chodzi o hasło:
Zdrowy rozsądek sugeruje, że nie należy umieszczać 2 cyfr i znaków specjalnych na początku lub na końcu, ale przerywnik. Podczas pracy nad tymi wytycznymi pojawiło się pytanie, czy tak złożone hasła były naprawdę tego warte. Przy tak złożonych hasłach wydaje się, że istnieje większe prawdopodobieństwo, że użytkownik je gdzieś zapisze jako zwykły tekst lub gdzieś zapisze.
Na użytek osobisty zwykle podchodzę mniej rygorystycznie niż te wytyczne, ale na pewno nie mówią słów słownikowych ani L33t.
Bruce Schneier ma fajny artykuł na ten temat, oparty na tym, co firma musi być powszechną praktyką przy wyborze haseł przez ludzi.
EDYCJA: Och, aby wygenerować hasło. Możesz użyć narzędzi takich jak KeePass lub Password Safe do automatycznego generowania i przechowywania różnych dobrych haseł dla swoich loginów. Zobacz to pytanie, aby uzyskać więcej informacji.
grc.com ma ładną stronę, na której można uzyskać silne hasła.
curl https://www.grc.com/passwords.htm | openssl sha1
w skryptach, w których potrzebuję szybkiego hasła (z kontrolą błędów odpowiedzi curl)
Osobiście to, co próbuję zrobić dla haseł, to najpierw pomyśleć o stosunkowo długiej pamiętnej frazie i wykonać na niej następującą transformację:
O
-> 0
, for
/ fore
/ four
-> 4
, one
, an
-> 1
, itd.W większości przypadków skutkuje to dość bezpiecznym i niewymagalnym hasłem, które mogę łatwo zrekonstruować na podstawie tych reguł i zapamiętywania frazy.
Na przykład:
What are the guidelines for creation of a secure passwords?
Staje się:
WatG4co1sP?
Należy pamiętać, że ten schemat może być używany do tworzenia haseł, które pasują do prawie wszystkich reguł, jakie firma może mieć w odniesieniu do minimalnej długości, wymaganych dołączonych symboli itp. Ma także dodatkową zaletę, o ile wybierzesz schemat kodowania, który możesz konsekwentnie stosować ponieważ ma to dla ciebie sens (w przypadku wielkich liter oraz znaków specjalnych i cyfr), nie powinieneś zapisywać niczego na papierze, unikając problemu, w którym haker może znaleźć twoje hasła, po prostu rozglądając się po obszarze roboczym.
Kiedy bezpieczeństwo jest głównym czynnikiem, zawsze uwzględniam niektóre znaki ASCII o wysokiej wartości.
Na przykład 154 to Ü. Nie tylko te postacie znacznie zwiększają czas potrzebny na atak brutalną siłą, ale większość ataków nawet nie skanuje tego zakresu postaci, a czasem nawet nie jest w stanie tego zrobić.
Ponadto oczywiste:
Dyskusja w Diceware jest interesującą lekturą.
Do tworzenia haseł i haseł o wysokiej wartości, technika słownika, takiego jak kostka do gry i dobry randomizator, taki jak garść kostek, jest całkiem dobrym wyborem.
Osobiście używam PasswordSafe zablokowanego silnym hasłem generowanym przez technikę diceware. Pozwalam PasswordSafe wygenerować każde inne hasło, którego potrzebuję i generalnie nie mam pojęcia, jakie mogą być po kilku minutach. Mam kopie bezpiecznego pliku na kilku systemach, więc nie martwię się zbytnio o to, że wszystkie jajka są w jednym koszyku. Dużą zaletą jest to, że nigdy świadomie nie używam tego samego hasła do dwóch celów.
Na użytek osobisty zalecam przechowywanie czytelnej kopii hasła sejfu w bezpiecznym miejscu, w którym mogliby go znaleźć twoi spadkobiercy ...
Ta strona dobrze opisuje wytyczne i pozwala przetestować ich bezpieczeństwo. Myślę, że wymyślenie własnego będzie bardziej niezapomniane niż wygenerowane.
Witryna SecurityStats ma stronę, na której możesz wypróbować swoje hasło fu.
Zawiera również wskazówki dotyczące lepszych haseł.
Dobra lektura na blogu Google Enterprise na temat śledzenia bezpieczeństwa haseł.
Możesz założyć własne konto, na którym sprawdzasz moc swoich haseł .
ponieważ system uwierzytelniania konta Google stale widzi nowe odmiany ataków haseł z całego świata, możemy oceniać siłę haseł w czasie rzeczywistym i pomagać administratorom w wykrywaniu haseł, które były stosunkowo bezpieczne w przeszłości i które są bardziej podatne na najnowsze wzorce ataków
Jeśli chodzi o wytrzymałość na pękanie brutalnej siły, najlepiej jest zwiększyć długość, a liczba możliwych kombinacji rośnie wykładniczo (dosłownie). Oczywiście nadal dobrym pomysłem jest wprowadzenie losowych znaków i symboli, aby utrudnić ataki słownikowe. A może użyj kilku słów z różnych języków - dodatkowe punkty za znaki spoza ASCII!
Bardziej szczegółowa analiza dostępna jest tutaj.
Podczas gdy szukamy porady dotyczącej hasła xkcd, nigdy nie używaj ponownie haseł .
Zobacz także Password Maker . Korzysta z podanych przez Ciebie informacji, w tym zarodka, dzięki czemu możesz wygenerować unikalne hasło. Następnie wszystko, co musisz zrobić, to zapamiętać ziarno i wymyślić te same wartości danych, a Maker haseł wygeneruje dla ciebie to samo hasło później.
Moje problemy z takimi hasłami polegają na tym, że są one trudne do wpisania i trudniejsze do zapamiętania. Osobiście mam program o nazwie gpw, który generuje hasła z fragmentów sylab, co daje hasło, które zazwyczaj jest „prawie” wymawiane. Jeśli to zrobisz, a następnie dodasz wielkie litery i interpunkcję, uzyskasz coś nieco łatwiejszego do zapamiętania niż szum linii, ale jest dość bezpieczny dla brutalnych siłowników.
Na przykład zrobiłbym to:
$ gpw
ompartiz
tocycedt
psyllicu
doggiedu
Wybrałbym taki, który mi się podoba, a następnie zmieniłem go w coś w rodzaju? D0ggid00