Jak mogę mieć bezpieczne logowanie do domeny bez złożonego hasła?


4

Niedawno przeszedłem do bezpieczeństwa, używając menedżera haseł, aby mieć różne złożone hasła do każdej usługi, z której korzystam. Jest jednak jedna dziura w tym systemie: logowanie do domeny. Nie mogę uruchomić menedżera haseł bez uprzedniego zalogowania się do systemu operacyjnego. Ponieważ moje hasło do domeny jest przechowywane w pamięci, jest znacznie mniej złożone niż każde inne hasło, które mam.

Nie chcę polegać na skanerze linii papilarnych z powodu zapalenia skóry.

Jakie opcje może obsługiwać system Windows 7 i 8 w celu bezpiecznego logowania do konta domeny?


4
Spójrz na te komiksy xkcd . To może być pomocne.
VL-80

Odpowiedzi:


5

Skanowania odcisków palców NIGDY nie należy traktować jako zamiennika hasła. Może być stosowany jako dodatkowy czynnik, ale nigdy nie może być stosowany samodzielnie, ponieważ nie można go nigdy zmienić.

Najlepszym, ale najprostszym rozwiązaniem jest stworzenie wzoru, który można zapamiętać. Taki, który pozwala zmieniać się w czasie, ale nadal pozostaje niezapomniany.

Prawdę mówiąc, zapamiętanie wzoru liter, cyfr i symboli nie jest trudne i można użyć wielu wzorów. To sam wzór sprawia, że ​​jest niezapomniany. Dotyczy to również słów, ale jesteśmy oczywiście uwarunkowani do rozpoznawania znaczących słów.

Więc wzór taki jak:

mhall~ouat<14?05

„Mary Had a Little Lamb ~ Once Upon A Time <2014? May” - rozumiesz?

Możesz po prostu grać z niektórymi symbolami lub po prostu cyframi. Możesz jednak nie chcieć używać czegoś tak oczywistego jak baza, jeśli jesteś naprawdę paranoikiem, ponieważ naprawdę dobry tęczowy stół może to podnieść.

Ten przykład składa się z 15 znaków, zarówno alfanumerycznych, jak i numerycznych. Można go nieco poprawić za pomocą dużej lub dwóch liter, chociaż w rzeczywistości jest to możliwość, że symbol górny / dolny / numeryczny / jest ważniejszy niż ich rzeczywiste użycie w każdym haśle.

Takie hasło będzie bardzo silne, nawet w przypadku obecnych zagrożeń. Największym pozostałym zagrożeniem jest surfowanie po ramionach lub jeden z bardziej ezoterycznych wątków, takich jak analiza dźwięku (pisania na klawiaturze).

Możesz pójść dalej, jeśli chcesz, korzystając z dodatkowych czynników, takich jak YubiKey lub karta inteligentna, ale naprawdę powinieneś użyć ich jako DODATKOWYCH czynników, a nie zwykłego zamiennika. Jeśli chcesz zachować maksymalne bezpieczeństwo, to jest.

Osobiście używam również narzędzi do zapamiętywania większości haseł i preferuję naprawdę losowe, wygenerowane hasło systemu Windows. Niemniej jednak jest to tylko jedno hasło i dlatego nie jest trudne do zapamiętania po kilku rodzajach ćwiczeń.

Należy jednak pamiętać, że jeśli polegasz tylko na haśle logowania do systemu Windows, nadal będziesz ujawniać WSZYSTKIE dane, jeśli ktoś zdobędzie Twój komputer. Dla prawdziwego bezpieczeństwa potrzebny jest BIOS UEFI, układ TPM, zabezpieczone ustawienia BIOS i pełne szyfrowanie dysku. Tylko dzięki nim będziesz mieć uzasadnione oczekiwania, że ​​atakujący nie będą mogli uzyskać twoich informacji, jeśli zdobędą komputer.

Następnie należy również dodać dodatkową ochronę do systemu Windows. Przynajmniej Microsoft EMET, najlepiej narzędzie do białej listy aplikacji (takie jak wbudowane w AVAST AV). Biała lista aplikacji pozwala na uruchamianie tylko określonych aplikacji i jest prawie na pewno najlepszą bieżącą obroną przed atakami zero-day. Dzięki programowi EMET do hartowania systemu Windows i dobrego narzędzia AV / anty-malware, takiego jak AVAST, wraz z innymi przedstawionymi środkami, usuwania całego niepotrzebnego oprogramowania i aktualizowania pozostałych poprawek, będziesz bezpieczny, ponieważ jest można być teraz.

AKTUALIZACJA: Zdałem sobie sprawę, że nie w pełni odpowiedziałem na zadane pytanie dotyczące dostępnych opcji logowania do Domen.

Jest na to wiele narzędzi, a system Windows obsługuje wymienną funkcję logowania, która wcześniej nazywała się GINA, nie jestem pewien, czy nadal tak jest. Logowanie przy użyciu kart inteligentnych jest obsługiwane natywnie i istnieje wiele zewnętrznych narzędzi do uzupełniania (lub zastępowania) standardowych loginów / haseł w domenie, takich jak generatory haseł jednorazowych (takie jak tokeny RSA) i tym podobne. Możesz także dostosować wymagania dotyczące haseł dla domen Windows, aby wymusić silniejsze hasła. W takim przypadku zalecam udzielenie łatwych wskazówek. Wydaje mi się, że pamiętam kilka infografik wyjaśniających rodzaj wyboru hasła, o którym wspomniałem powyżej.


1
System GINA został zastąpiony modelem dostawcy poświadczeń w systemie Vista.
Patrick Seymour

Istnieje wiele powodów, dla których nie należy używać skanera linii papilarnych dla podstawowego bezpieczeństwa. Brak możliwości zmiany odcisków palców znajduje się na liście, ale nie jest na szczycie.
Matthew Najmon

zgodnie z xkcd 936 Wolę „” Mary Had a Little Lamb ~ Once Upon A Time <2014? May ”jako moje hasło
PlasmaHH

@PlasmaHH, myślę, że Windows AD prawdopodobnie wysadziłby uszczelkę na całej długości, choć zgadzam się z tym sentymentem. Oczywiście nie chciałbym wpisywać go częściej niż raz w roku!
Julian Knight

@JulianKnight: Używam haseł do wielu rzeczy od lat 90. i muszę powiedzieć, że przynajmniej dla mnie szybsze jest wpisanie zdania wohle niż zastanawianie się, który jest następny list, jaki przypadek, jakie 1337 potwierdzenie i co było specjalnego w tych konkretnych schematach wymagań dotyczących hasła.
PlasmaHH

3

Pojedyncze zapamiętane hasło może być tak samo bezpieczne, jak każde hasło losowe przechowywane w menedżerze haseł. Potrzebujesz prostego algorytmu, który przekształca łatwe do zapamiętania słowo lub wyrażenie (które ma dla ciebie osobiste znaczenie) w złożone hasło. Możesz bezpiecznie zapisać więcej niż wystarczająco, aby przywołać frazę i algorytm bez prawdziwej obawy, że ktoś wybierze Twoją kieszeń i ją rozwiąże.

Powiedzmy, że lubisz Disneya. Twoim zdaniem może być wujek Walt. Zmodyfikuj frazę w nowatorski sposób, na przykład zamieniając pierwszą i ostatnią literę każdego słowa oraz zawijając każdą cyfrę i interpunkcję, jednocześnie wpisując pozornie dowolne litery na wzorze (powiedzmy, drugą od końca).

Wujek (5 liter) i Walt (4 litery) mogą stać się 4encLu $ taLw5.

Jeśli naprawdę byłeś paranoikiem lub martwiłeś się zapomnieniem własnego algorytmu, możesz wymyślić jakąś notatkę, aby coś gdzieś zanotować, na przykład „45 USD za komórkę animacyjną Disneya?”, Jakbyś zastanawiał się nad zakupem.

Kiedy nadejdzie czas zmiany hasła, możesz zachować algorytm osobisty i wymyślić inną frazę i równie „losową” notatkę.


1
Naprawdę nie lubię tej strategii, ponieważ wydaje się bardzo mądra w teorii, ale w praktyce występują dwie poważne wady: (1) schemat szyfrowania ad-hoc, który wymyślisz na miejscu, będzie prawdopodobnie bardzo słaby i doda małą entropię (2) ) czas potrzebny na wprowadzenie hasła upłynął od 3 sekund do 2 minut, co zapewnia więcej okazji dla internautów, szczególnie jeśli nie możesz wykonać szyfrowania w głowie i musisz użyć papieru.
Superbest

Mam ponad 60 haseł, które korzystają z takiego systemu i potrafię je przywołać i wprowadzić większość bez odniesienia w kilka sekund. Czasami, jeśli od jakiegoś czasu nie korzystałem z usługi, sprawdzę listę podpowiedzi, która zawiera jedno słowo na usługę, ale nie ma pojęcia, jak działa algorytm. Jedyna troska o słabość programu zależy od tego, czy prawdziwa osoba rozpozna podpowiedź i uzyska ją fizycznie. Jeśli nie pamiętasz swojego algorytmu, nie zaprojektowałeś go wystarczająco dobrze. Nie ma być nie do zatrzymania, ponieważ nic nie jest. Ma być w miarę bezpieczny i łatwy do zapamiętania tylko dla ciebie.
denmch

@ Superbest, zrobiłeś ważny punkt na temat rzeczy, które wydają się bezpieczne / losowe, gdy nie są. Jedynym naprawdę silnym hasłem jest hasło losowe. Jednak czasami musimy iść na kompromis, aby zapewnić sprawne systemy.
Julian Knight

1

Kup laptopa lub klawiaturę z czytnikiem kart inteligentnych i wymagaj uwierzytelnienia przy użyciu karty inteligentnej podczas logowania do domeny.

Z powodu wydania wielu dużych plików haseł w postaci zwykłego tekstu możliwe jest bardzo dobre wyobrażenie o tym, co ludzie uważają za złożone hasła, które są łatwe do zapamiętania. Rezultatem jest to złożone hasło wygenerowane przy użyciu prostych algorytmów takich jak

a password that you can remember and then add lots of characters

a simple algorithm that transforms an easy to remember word or phrase

create a pattern that you can remember

- nie są już skomplikowane w generowaniu. Istnieją algorytmy do łamania zabezpieczeń, które generują te hasła, i wszystko, co uważasz za sprytne, zostało wyuczone z milionów dostępnych przykładów haseł.


Niestety nie jest to również panaceum. Karty inteligentne opierają się na solidnej PKI, czymś, co jest niezwykle trudne do wdrożenia, nie mówiąc już o utrzymywaniu przez dowolny okres czasu. Zazwyczaj są one zabezpieczone kodem PIN umożliwiającym dostęp zamiast silnego hasła, co również je osłabia. Oczywiście zapewniają one drugi czynnik, który bardzo pomaga.
Julian Knight

0

Możemy zawęzić to pytanie do - jak stworzyć silne hasło, które jest łatwe do zapamiętania.

Będę opracować to xkcd komiksy .

Twoje hasło może zawierać różnego rodzaju znaki (litery, symbole, wielkie litery) i może używać zwykłego zastępowania symboli itp. I może być bardzo złożone. Ale trudno będzie zapamiętać.

Lub może składać się z 4-5 typowych losowych słów i być bardzo łatwym do zapamiętania. Jednocześnie zapewni ci lepsze bezpieczeństwo, ponieważ trudniej złamać dłuższe hasło.

Jeśli baza danych jest brutalnie wymuszana z przyzwoitą prędkością, nie będzie znaczącej różnicy między hasłami GordanFreemani g0rDAn&fr33mNaz punktu widzenia jej łamania, jeśli zdecyduje się przejść całą drogę, aż do pęknięcia.

Ale będzie różnica między hasłami g0rDAn&fr33mNai GordanFreemanIsFightingWallaceBreenInCity17!- łatwo pamiętam to hasło, a jednocześnie będzie ono znacznie bezpieczniejsze niż pierwsze hasło. W tym haśle są nawet wielkie litery, cyfry i symbole - aby w pełni spełnić zasady haseł domenowych, jeśli takie istnieją.

Oto kolejna rada - z Uniwersytetu Stanforda. Są one wydawane nową politykę siły hasła:

Zasady dotyczące hasła

Reguły hasła Stanford, oparte na długości hasła, to:

8-11: mixed case letters, numbers, & symbols
12-15: mixed case letters & numbers
16-19: mixed case letters
20+: no restrictions

Nie może być równy bieżącemu hasłu, poprzednim hasłu, identyfikatorowi SUNet ani odpowiedzi na reset hasła.

Nie może to być pojedyncze słowo pojawiające się w słowniku (angielski lub inny niż angielski)

Musi składać się wyłącznie ze znaków alfabetu rzymskiego, cyfr lub symboli na klawiaturze amerykańskiej. Przykłady obejmują znaki, takie jak # $%! @.

Wybierz opcję, która Ci się podoba i powinieneś być bezpieczny.


Niestety jest to nieco niebezpieczny zestaw założeń. Długie hasła są bezpieczniejsze, ale może nie aż tak bardzo, jeśli sama fraza może być odgadnięta lub może być powszechnie używana przez inne osoby. W twoim przykładzie, jeśli używane wyrażenie jest stosunkowo powszechne, może być mniej bezpieczne niż losowy zestaw znaków i symboli, które są krótsze. Dlatego sprawdzanie złożoności haseł oparte na długości i złożoności jest fałszywe. Przydadzą się tylko warcaby, które są poparte również listami słów i fraz.
Julian Knight

0

W przypadku bezpiecznego hasła do domeny jego długość jest głównym faktoringiem przy łamaniu hasła.

Steve Gibson mówi o stosach siana haseł jako sposobie tworzenia długich haseł. Możesz przeczytać jego stronę na https://www.grc.com/haystack.htm, aby uzyskać szczegółowe informacje. Podstawowym pomysłem jest wybranie hasła, które można zapamiętać, a następnie dodanie do niego wielu łatwych do zapamiętania znaków. Na przykład wybierz ulubionego psa Snoopy, a następnie dwie ostatnie cyfry (14) początku I wojny światowej (Snoopy walczył z Czerwonym Baronem w I wojnie światowej). Następnie możesz mieć następujące hasło (zmień o na zera, aby uzyskać liczby):

Sn00py>>>>>>>>>>>>>>

Które, zgodnie z kalkulatorem Brute force na stronie Steve'a, zajmie 11,52 tysięcy bilionów stuleci, aby załamać się, zakładając ogromną tablicę Cracking, która może wykonać 100 trylionów zgadnięć na sekundę (wymagałoby to 1000 łamaczy haseł włączonych przez GPU). Następnie możesz stworzyć proste i łatwe do zapamiętania hasło, które również trudno złamać.

Uwaga historyczna: hasła domeny systemu Windows zawierające więcej niż 14 znaków są przechowywane w bardziej bezpieczny sposób, który nie pozwala na dekodowanie hasła w częściach, więc całe hasło musi zostać zdekodowane w jednym kawałku.

AKTUALIZACJA: Użytkownik chciał „bezpiecznego” hasła, które nie było skomplikowane. Jeśli chcesz mieć silne hasło, które będzie w stanie sprostać trudnym hakerom, musisz mieć długie i złożone hasło. Biorąc pod uwagę ograniczenie nieskomplikowane, długość hasła będzie jedyną rzeczą zapewniającą bezpieczeństwo (ale nadal musi być bardziej złożona niż zwykły znak). Użycie >> polega na przedłużeniu hasła do punktu, w którym zgadywanie z użyciem siły nie jest skuteczne. Właśnie to wskazują liczby ze strony Steve'a. Problem polega na tym, że jeśli wybierzesz schemat, który jest również używany przez crackera haseł, siła jest znacznie mniejsza. Dlatego, gdy robisz to naprawdę, musisz wybrać bazę i przedłużacze, które można zapamiętać, ale prawdopodobnie nie znajdą się w bazie danych crackerów.

Masz rację, Steve twierdzi, że nie jest to miernik siły hasła. Mówi, że dodanie długości hasła znacznie utrudnia brutalną siłę (bieganie wzorców nie jest brutalną siłą). Hasło podane powyżej było przykładem, użytkownik końcowy powinien zmienić je na wymagany poziom złożoności, zachowując długie (hasło ponad 15 znaków).


Kontroler Steve NIE jest miernikiem siły, jak wyraźnie stwierdza. Aby uzyskać prawdziwą miarę siły hasła, musisz również zastosować te same narzędzia, których używają hakerzy. Mianowicie tęczowe tabele zawierające wspólne (i nie tak powszechne) listy słów i wyrażeń - w tym zwykłe zamiany liter, tak jak wcześniej. Przyzwoita maszyna może łatwo sprawdzić miliony kombinacji.
Julian Knight
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.