Учитывая недавние события с «хакерским» изучением и повторной попыткой паролей от администраторов веб-сайтов , что мы можем предложить всем о лучших методах, когда дело доходит до паролей?
- использовать уникальные пароли между сайтами (т.е. никогда не использовать пароль повторно)
- слов, найденных в словаре, следует избегать
- рассмотреть возможность использования слов или фраз не на английском языке
- используйте парольные фразы и используйте первую букву каждого слова
- не очень помогает
Пожалуйста, предложите больше!
Ответы:
Используйте пароли, которые не состоят из общих слов или имен. Словарные атаки используют словари с миллионами слов и очень быстрые.
Используйте длинные пароли. Я склонен использовать парольные фразы . Я выбираю фразу, предложение или рифму и нахожу способ использовать достаточное количество буквенно-цифровых символов, чтобы мои слова не были словарными.
Не используйте один и тот же пароль для нескольких служб входа. Потратьте некоторое время, чтобы придумать формулу для выбора парольных фраз. Это позволяет вам использовать много разных паролей, которые, если вы забудете, вы сможете восстановить с некоторой пробой и ошибкой.
Если вам нужно, во что бы то ни стало, запишите хороший, длинный, надежный пароль и спрячьте его где-нибудь. По крайней мере, это лучше, чем использовать слабый пароль, который легче запомнить.
Если приведенные выше предложения окажутся неуправляемыми, используйте менеджер паролей с длинным безопасным паролем, а затем используйте случайные символьные пароли для всего остального. Возьмите с собой менеджер паролей на зашифрованном USB-накопителе (конечно же, с резервной копией).
источник
Я нашел несколько проблем с парольными фразами:
Мое решение этой проблемы состояло в том, чтобы использовать парольные фразы как мнемонику действительного пароля. Например, я мог бы выбрать несколько строк великого стихотворения Уильяма Генри Дэвиса (76 символов):
И я бы выбрал первые буквы каждого слова, создав следующий довольно хороший пароль из 16 символов:
Использование поэзии особенно хорошо, потому что ее легче запомнить, и когда вас просят сменить пароль, вы можете просто выбрать следующие несколько строк стихотворения.
источник
При навязывании режима пароля другим не только требуется, чтобы они использовали уникальные, длиннее порога, содержали смешанный регистр, специальные символы и т. Д., Но также обучали пользователя менеджерам паролей или схемам для создания / запоминания этих паролей. если вы этого не сделаете, пользователи запишут пароли или найдут другие небезопасные способы их «запоминания».
источник
Если у вас возникли проблемы с запоминанием паролей, используйте хорошо известный текст. Выберите предложение, используйте n- ю букву от каждого слова в качестве пароля, сохраните пунктуацию. (например , пароль , сгенерированный с 1 - м букв первого предложения этого ответа может быть «Iyhtrp, uswkt.»). Вы можете сделать его сильнее, изменив некоторые в верхний регистр и добавив некоторые специальные символы.
источник
Не используйте пароль, вот где вы идете неправильно. Используйте либо произвольную коллекцию символов (минимум 8), либо пароль. Вы можете придумать формулу для генерации отдельной парольной фразы для каждого сайта, например, ILikeStackOverflowOnions или ILikeServerFaultOnions; это защищает вас от посторонних, однако может по-прежнему вызывать проблемы, если сам сайт взломан, а пароли не засолены, или если администратор был изначально поврежден.
источник
Регулярно меняйте пароль. Где я работаю, это 30-дневный цикл. Это PITA, но он уменьшает ценность взломанных паролей до ограниченного временного окна. Это, плюс сложная политика паролей AD, требует, чтобы она была не менее 8 символов, содержала верхний, нижний, числовой и символы.
В дополнение, мы используем сервис самообслуживания менеджера паролей. Он предоставляет пользовательскую GINA для Windows, которая позволяет пользователям сбрасывать свой пароль, если он его забывает, или разблокировать его, если они слишком много раз его обманывают. Приложение диспетчера паролей требует, чтобы пользователь зарегистрировался в службе, предоставил кучу личной информации, которую только они знали бы, и которая впоследствии будет использоваться в качестве вопросов, когда пользователю потребуется сбросить пароль или разблокировать свою учетную запись.
источник
Я считаю, что пароли должны генерироваться, а не придумываться пользователем. Это позволяет избежать всех этих глупых проблем с легко угадываемыми паролями.
Мне нравится использовать pwgen , который генерирует списки паролей, такие как
но на самом деле подойдет любая программа генерации pw. Одним из преимуществ pwgen является то, что он пытается запоминать пароли (несколько) запоминающимся образом, включая некоторые гласные.
источник
Ничего отличного от (источник dailywtf.com):
источник
источник
Держитесь подальше от этих 500 лучших паролей .
Длинные, сложные пароли обеспечивают хорошую безопасность, в основном надежные пароли , но обязательно используют разные пароли для всех учетных записей пользователей.
источник
Используйте такой инструмент, как SuperGenPass, чтобы генерировать уникальные пароли для любых веб-сайтов, для которых у вас есть логин.
источник
Hak5 только что выполнил эпизод, демонстрирующий инструмент из Remote Exploit, который берет несколько строк и генерирует словарь всех комбинаций, верхнего, нижнего, буквенного написания и т. Д. Таким образом, вы вводите его, например, имя цели, имена ребенка, даты рождения или другая информация, которую вы знаете о цели. Сгенерированный им словарь можно использовать в качестве входных данных для перебора слабого пароля.
Мораль: избегайте использования личной информации в вашем пароле
источник
Если вы знаете слова или фразы на неанглийском языке , вы можете использовать их как часть своего пароля. Например, я обычно использую японские слова в качестве части своих паролей, которая защищает от словарных атак, но позволяет мне их помнить (в отличие от случайно сгенерированных паролей).
источник
Я начал использовать Password Safe , изначально разработанный Bruce Schneier, для хранения любых веб-паролей. У меня есть очень надежная парольная фраза для пароля, и все остальные пароли генерируются автоматически и никогда не используются повторно на разных веб-сайтах.
Программное обеспечение также имеет функции, такие как истекающие пароли и тому подобное.
Я считаю , что это (учитывая сильный безопасный пароль) , чтобы быть лучшим компромиссом и наиболее безопасный подход к паролям сайта.
источник
Для семьи и друзей я обычно говорю, что это круто использовать такие вещи, как имена питомцев и девичьи фамилии матерей и так далее, если происходят следующие две вещи:
источник
При вводе обязательного срока действия пароля выберите коэффициент 7, а не блок дней (например, 30 или 60 дней).
Результатом истечения 30-дневного срока может быть то, что пользователь должен изменить свой пароль в праздничные или выходные дни, и может возникнуть сюрприз, когда он придет на работу на следующий день.
Если бы вы установили масштаб срока действия в 7 раз, это обеспечило бы, чтобы дата смены пароля приходилась на тот же день недели, что и предыдущее изменение.
источник
Если у вас есть несколько сайтов для одной и той же пользовательской базы, я должен настоятельно рекомендовать какую-либо форму единого входа (например, Shibboleth). Когда у пользователей разные пароли для сайтов с несколькими сайтами, у них, как правило, проблемы с запоминанием их всех. Один или два пароля легко запоминаются большинством людей, три пользователь может записать их в секретном месте. Если больше четырех, то пользователь может просто записать их все в заметку и применить их на столе или мониторе.
Пароли не должны быть слишком сложными, хотя они должны быть достаточно сложными, чтобы предотвратить первую или вторую попытку. Пока ваша система / сайты имеют какие-то меры безопасности, которые ограничивают количество попыток входа в систему, пароли не должны быть слишком сложными.
Например, если ваша система имеет ограничение в 3 попытки входа в час, то такой базовый пароль, как «Cindy65», является более сложным. В то время как хакер может знать , что пользователи настоящее имя Синди, он на самом деле никогда не узнает , что она родилась в 1965 г. Его попытки, естественно , будет «Cindy», « л astname», «Синди», L astname», хотя этим время он заблокирован.
Хотя это может быть упрощенный случай и простой пароль, это все, что действительно необходимо, если вы, администратор, настроили все правильно на стороне сервера. Мы также можем запросить несколько более сложные пароли, которые легко запомнить, например, случайную комбинацию клавиш. Символы и заглавные буквы также очень помогают.
Нам просто нужно помнить: чем сложнее мы делаем это для пользователей, тем больше вероятность, что они запишут это публично.
Одна вещь, которую я всегда хотел бы попросить своих пользователей сделать, это написать их имя в сочетании с названием лекарства, которое они принимают, любимую еду, имя лучшего друга и т. Д. Эти комбинации слов из словаря, хотя и упрощенные, почти невозможно взломать.
Примеры: СиндиПрозак, УильямКоден, ДжоПеттербит
Удачи.
источник
Не записывай это. И если вы это сделаете, положите его в сейф. И не записывайте это комбо, либо.
источник
Если требования безопасности действительно жесткие, я бы старался по возможности избегать использования паролей. Подумайте об использовании аутентификации на основе ключей ssh, клиентских сертификатов на смарт-картах и т. Д. Однако для того, чтобы это работало должным образом, требуются большие навыки и бюджет, поэтому следует провести надлежащую оценку рисков.
Если вы решите придерживаться паролей, я последую совету Capar и Lexu.
источник
Ограничения по длине пароля глупы. (Ограничение паролей длиной от 6 до 8 символов является обычным, но не имеет смысла в современных системах).
Требование частой смены паролей побуждает пользователей записывать свои пароли и выбирать более простые. Это компромисс угроз, и вы должны рассмотреть, какая угроза более актуальна.
Требовать от пользователя содержать «специальные символы» в точно 8-символьном пароле вместо того, чтобы разрешать 30-символьный пароль, состоящий только из букв, не имеет смысла.
Не давайте пользователям очевидный пароль и попросите его сменить его. Они не будут. Или потребуйте, чтобы они изменили его при первом входе в систему, выберите надежный пароль для них, зная, что они его запишут, или заставьте их выбрать надежный пароль перед вами.
источник
Мы обучаем наших пользователей подбирать парольные фразы и использовать первую букву каждого слова.
WTOUTPPAUTFLOEW - добавьте ноль или 3 (с надписью), измените пару раз, когда у вас получится что-то, что ни один словарь никогда не выберет, но все еще легко запомнить.
однако - просто убедитесь, что вы не меняете их пароль на парольную фразу на основе слогана / видения компании и т. д.
источник
Чтобы предотвратить то, что случилось с администратором этого веб-сайта, и, если у вас есть доступ к оболочке Unix или Cygwin, вы можете использовать
$ echo -n *password* | md5sum -
d1b13e9abbe4edb1b07317241969376e -
и проверьте это значение в базе данных MD5, например, http://gdataonline.com/ . Удостоверьтесь, что это не появляется там.
Кроме того, вот пример более необработанного словаря MD5, который я получил простым поиском по этому хэш-значению (предупреждение: большой файл): https://secure.sensepost.com/sp-hash/jebwy
источник