Лучшие практики паролей

Учитывая недавние события с «хакерским» изучением и повторной попыткой паролей от администраторов веб-сайтов , что мы можем предложить всем о лучших методах, когда дело доходит до паролей?

• использовать уникальные пароли между сайтами (т.е. никогда не использовать пароль повторно)
• слов, найденных в словаре, следует избегать
• рассмотреть возможность использования слов или фраз не на английском языке
• используйте парольные фразы и используйте первую букву каждого слова
• не очень помогает

Пожалуйста, предложите больше!

• Используйте пароли, которые не состоят из общих слов или имен. Словарные атаки используют словари с миллионами слов и очень быстрые.

• Используйте длинные пароли. Я склонен использовать парольные фразы . Я выбираю фразу, предложение или рифму и нахожу способ использовать достаточное количество буквенно-цифровых символов, чтобы мои слова не были словарными.

• Не используйте один и тот же пароль для нескольких служб входа. Потратьте некоторое время, чтобы придумать формулу для выбора парольных фраз. Это позволяет вам использовать много разных паролей, которые, если вы забудете, вы сможете восстановить с некоторой пробой и ошибкой.

• Если вам нужно, во что бы то ни стало, запишите хороший, длинный, надежный пароль и спрячьте его где-нибудь. По крайней мере, это лучше, чем использовать слабый пароль, который легче запомнить.

• Если приведенные выше предложения окажутся неуправляемыми, используйте менеджер паролей с длинным безопасным паролем, а затем используйте случайные символьные пароли для всего остального. Возьмите с собой менеджер паролей на зашифрованном USB-накопителе (конечно же, с резервной копией).

Я нашел несколько проблем с парольными фразами:

• Многие сайты имеют верхний предел длины пароля - например, 20 символов - это глупо, но что поделаешь.
• Другие сайты не допускают пробелов в паролях.
• Ввод длинных текстов вслепую подвержен ошибкам, особенно когда вы не очень хорошо работаете на ощупь
• Ввод 50-символьной парольной фразы занимает немного больше времени, чем хороший 15-символьный пароль.

Мое решение этой проблемы состояло в том, чтобы использовать парольные фразы как мнемонику действительного пароля. Например, я мог бы выбрать несколько строк великого стихотворения Уильяма Генри Дэвиса (76 символов):

Нет времени видеть, когда леса мы проходим,
Где белки прячут свои орехи в траве.

И я бы выбрал первые буквы каждого слова, создав следующий довольно хороший пароль из 16 символов:

Nttswwwp,Wshtnig

Использование поэзии особенно хорошо, потому что ее легче запомнить, и когда вас просят сменить пароль, вы можете просто выбрать следующие несколько строк стихотворения.

При навязывании режима пароля другим не только требуется, чтобы они использовали уникальные, длиннее порога, содержали смешанный регистр, специальные символы и т. Д., Но также обучали пользователя менеджерам паролей или схемам для создания / запоминания этих паролей. если вы этого не сделаете, пользователи запишут пароли или найдут другие небезопасные способы их «запоминания».

Если у вас возникли проблемы с запоминанием паролей, используйте хорошо известный текст. Выберите предложение, используйте n- ^ю букву от каждого слова в качестве пароля, сохраните пунктуацию. (например , пароль , сгенерированный с 1 - ^м букв первого предложения этого ответа может быть «Iyhtrp, uswkt.»). Вы можете сделать его сильнее, изменив некоторые в верхний регистр и добавив некоторые специальные символы.

Не используйте пароль, вот где вы идете неправильно. Используйте либо произвольную коллекцию символов (минимум 8), либо пароль. Вы можете придумать формулу для генерации отдельной парольной фразы для каждого сайта, например, ILikeStackOverflowOnions или ILikeServerFaultOnions; это защищает вас от посторонних, однако может по-прежнему вызывать проблемы, если сам сайт взломан, а пароли не засолены, или если администратор был изначально поврежден.

Регулярно меняйте пароль. Где я работаю, это 30-дневный цикл. Это PITA, но он уменьшает ценность взломанных паролей до ограниченного временного окна. Это, плюс сложная политика паролей AD, требует, чтобы она была не менее 8 символов, содержала верхний, нижний, числовой и символы.

В дополнение, мы используем сервис самообслуживания менеджера паролей. Он предоставляет пользовательскую GINA для Windows, которая позволяет пользователям сбрасывать свой пароль, если он его забывает, или разблокировать его, если они слишком много раз его обманывают. Приложение диспетчера паролей требует, чтобы пользователь зарегистрировался в службе, предоставил кучу личной информации, которую только они знали бы, и которая впоследствии будет использоваться в качестве вопросов, когда пользователю потребуется сбросить пароль или разблокировать свою учетную запись.

Я считаю, что пароли должны генерироваться, а не придумываться пользователем. Это позволяет избежать всех этих глупых проблем с легко угадываемыми паролями.

Мне нравится использовать pwgen , который генерирует списки паролей, такие как

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

но на самом деле подойдет любая программа генерации pw. Одним из преимуществ pwgen является то, что он пытается запоминать пароли (несколько) запоминающимся образом, включая некоторые гласные.

Ничего отличного от (источник dailywtf.com):

1. Используйте надежные пароли.
2. Не используйте пароли повторно.
3. Принимая во внимание # 2, используйте такой инструмент, как PwdHash, перед лицом огромного количества разрозненных аккаунтов.

Держитесь подальше от этих 500 лучших паролей .

Длинные, сложные пароли обеспечивают хорошую безопасность, в основном надежные пароли , но обязательно используют разные пароли для всех учетных записей пользователей.

Используйте такой инструмент, как SuperGenPass, чтобы генерировать уникальные пароли для любых веб-сайтов, для которых у вас есть логин.

Hak5 только что выполнил эпизод, демонстрирующий инструмент из Remote Exploit, который берет несколько строк и генерирует словарь всех комбинаций, верхнего, нижнего, буквенного написания и т. Д. Таким образом, вы вводите его, например, имя цели, имена ребенка, даты рождения или другая информация, которую вы знаете о цели. Сгенерированный им словарь можно использовать в качестве входных данных для перебора слабого пароля.

Мораль: избегайте использования личной информации в вашем пароле

Если вы знаете слова или фразы на неанглийском языке , вы можете использовать их как часть своего пароля. Например, я обычно использую японские слова в качестве части своих паролей, которая защищает от словарных атак, но позволяет мне их помнить (в отличие от случайно сгенерированных паролей).

Я начал использовать Password Safe , изначально разработанный Bruce Schneier, для хранения любых веб-паролей. У меня есть очень надежная парольная фраза для пароля, и все остальные пароли генерируются автоматически и никогда не используются повторно на разных веб-сайтах.

Программное обеспечение также имеет функции, такие как истекающие пароли и тому подобное.

Я считаю , что это (учитывая сильный безопасный пароль) , чтобы быть лучшим компромиссом и наиболее безопасный подход к паролям сайта.

Для семьи и друзей я обычно говорю, что это круто использовать такие вещи, как имена питомцев и девичьи фамилии матерей и так далее, если происходят следующие две вещи:

• объединить как минимум два имени (например: девичья фамилия матери + имя питомца)
• включить заглавные и специальные символы.

При вводе обязательного срока действия пароля выберите коэффициент 7, а не блок дней (например, 30 или 60 дней).

Результатом истечения 30-дневного срока может быть то, что пользователь должен изменить свой пароль в праздничные или выходные дни, и может возникнуть сюрприз, когда он придет на работу на следующий день.

Если бы вы установили масштаб срока действия в 7 раз, это обеспечило бы, чтобы дата смены пароля приходилась на тот же день недели, что и предыдущее изменение.

Если у вас есть несколько сайтов для одной и той же пользовательской базы, я должен настоятельно рекомендовать какую-либо форму единого входа (например, Shibboleth). Когда у пользователей разные пароли для сайтов с несколькими сайтами, у них, как правило, проблемы с запоминанием их всех. Один или два пароля легко запоминаются большинством людей, три пользователь может записать их в секретном месте. Если больше четырех, то пользователь может просто записать их все в заметку и применить их на столе или мониторе.

Пароли не должны быть слишком сложными, хотя они должны быть достаточно сложными, чтобы предотвратить первую или вторую попытку. Пока ваша система / сайты имеют какие-то меры безопасности, которые ограничивают количество попыток входа в систему, пароли не должны быть слишком сложными.

Например, если ваша система имеет ограничение в 3 попытки входа в час, то такой базовый пароль, как «Cindy65», является более сложным. В то время как хакер может знать , что пользователи настоящее имя Синди, он на самом деле никогда не узнает , что она родилась в 1965 г. Его попытки, естественно , будет «Cindy», « л astname», «Синди», L astname», хотя этим время он заблокирован.

Хотя это может быть упрощенный случай и простой пароль, это все, что действительно необходимо, если вы, администратор, настроили все правильно на стороне сервера. Мы также можем запросить несколько более сложные пароли, которые легко запомнить, например, случайную комбинацию клавиш. Символы и заглавные буквы также очень помогают.

Нам просто нужно помнить: чем сложнее мы делаем это для пользователей, тем больше вероятность, что они запишут это публично.

Одна вещь, которую я всегда хотел бы попросить своих пользователей сделать, это написать их имя в сочетании с названием лекарства, которое они принимают, любимую еду, имя лучшего друга и т. Д. Эти комбинации слов из словаря, хотя и упрощенные, почти невозможно взломать.

Примеры: СиндиПрозак, УильямКоден, ДжоПеттербит

Удачи.

Не записывай это. И если вы это сделаете, положите его в сейф. И не записывайте это комбо, либо.

Если требования безопасности действительно жесткие, я бы старался по возможности избегать использования паролей. Подумайте об использовании аутентификации на основе ключей ssh, клиентских сертификатов на смарт-картах и ​​т. Д. Однако для того, чтобы это работало должным образом, требуются большие навыки и бюджет, поэтому следует провести надлежащую оценку рисков.

Если вы решите придерживаться паролей, я последую совету Capar и Lexu.

Ограничения по длине пароля глупы. (Ограничение паролей длиной от 6 до 8 символов является обычным, но не имеет смысла в современных системах).

Требование частой смены паролей побуждает пользователей записывать свои пароли и выбирать более простые. Это компромисс угроз, и вы должны рассмотреть, какая угроза более актуальна.

Требовать от пользователя содержать «специальные символы» в точно 8-символьном пароле вместо того, чтобы разрешать 30-символьный пароль, состоящий только из букв, не имеет смысла.

Не давайте пользователям очевидный пароль и попросите его сменить его. Они не будут. Или потребуйте, чтобы они изменили его при первом входе в систему, выберите надежный пароль для них, зная, что они его запишут, или заставьте их выбрать надежный пароль перед вами.

Мы обучаем наших пользователей подбирать парольные фразы и использовать первую букву каждого слова.
WTOUTPPAUTFLOEW - добавьте ноль или 3 (с надписью), измените пару раз, когда у вас получится что-то, что ни один словарь никогда не выберет, но все еще легко запомнить.

однако - просто убедитесь, что вы не меняете их пароль на парольную фразу на основе слогана / видения компании и т. д.

Чтобы предотвратить то, что случилось с администратором этого веб-сайта, и, если у вас есть доступ к оболочке Unix или Cygwin, вы можете использовать

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

и проверьте это значение в базе данных MD5, например, http://gdataonline.com/ . Удостоверьтесь, что это не появляется там.

Кроме того, вот пример более необработанного словаря MD5, который я получил простым поиском по этому хэш-значению (предупреждение: большой файл): https://secure.sensepost.com/sp-hash/jebwy