Лучшие практики паролей

30

Учитывая недавние события с «хакерским» изучением и повторной попыткой паролей от администраторов веб-сайтов , что мы можем предложить всем о лучших методах, когда дело доходит до паролей?

  • использовать уникальные пароли между сайтами (т.е. никогда не использовать пароль повторно)
  • слов, найденных в словаре, следует избегать
  • рассмотреть возможность использования слов или фраз не на английском языке
  • используйте парольные фразы и используйте первую букву каждого слова
  • не очень помогает

Пожалуйста, предложите больше!

p.campbell
источник
4
Совет три противоречит совету два.
Оддмунд
@ Oddmund: Нет, если вы используете английский и не английский. Т.е. один на испанском - это uno, так что используйте OneUno. Или разделение слов: половина слова происходит от английского, другая половина - от другого языка. Футбол по-испански - это футбол, так что используйте футбол. А потом оттуда отказаться.
Кевин М
@Oddmund: Нет. Использование слов из (не английского) языка не означает, что они должны быть найдены в (не английском) словаре
user1092608

Ответы:

25
  • Используйте пароли, которые не состоят из общих слов или имен. Словарные атаки используют словари с миллионами слов и очень быстрые.

  • Используйте длинные пароли. Я склонен использовать парольные фразы . Я выбираю фразу, предложение или рифму и нахожу способ использовать достаточное количество буквенно-цифровых символов, чтобы мои слова не были словарными.

  • Не используйте один и тот же пароль для нескольких служб входа. Потратьте некоторое время, чтобы придумать формулу для выбора парольных фраз. Это позволяет вам использовать много разных паролей, которые, если вы забудете, вы сможете восстановить с некоторой пробой и ошибкой.

  • Если вам нужно, во что бы то ни стало, запишите хороший, длинный, надежный пароль и спрячьте его где-нибудь. По крайней мере, это лучше, чем использовать слабый пароль, который легче запомнить.

  • Если приведенные выше предложения окажутся неуправляемыми, используйте менеджер паролей с длинным безопасным паролем, а затем используйте случайные символьные пароли для всего остального. Возьмите с собой менеджер паролей на зашифрованном USB-накопителе (конечно же, с резервной копией).

Арнольд Спенс
источник
Кто-нибудь знает, почему мое использование жирного шрифта в «парольных фразах» не работает? Это выглядит хорошо в предварительном просмотре, когда я в режиме редактирования .. странно.
Арнольд Спенс
Вы используете две звезды или одну? Попробуйте только один ...
Mikeage
1
@Mikeage: одна звездочка = курсив; два = жирный Я бы предложил попробовать <b> или <strong>; Я подозреваю, что встраивание его в слово сбивает с толку парсер SO.
Дероберт
1
Я бы попытался поставить пробел сразу после слова «pass», чтобы вы могли использовать фразы [один пробел] [звездочка] [звездочка]. Если это не сработает, попробуйте поставить пробел между второй партией звездочек и точкой.
ПБЗ
3
+1, чтобы «написать хороший, длинный, безопасный пароль и спрятать его». В 1980-х кто-то начал предупреждать пользователей, чтобы они НЕ записывали свои пароли, это поведение застряло, и мы все в худшем положении из-за этого.
Портман
7

Я нашел несколько проблем с парольными фразами:

  • Многие сайты имеют верхний предел длины пароля - например, 20 символов - это глупо, но что поделаешь.
  • Другие сайты не допускают пробелов в паролях.
  • Ввод длинных текстов вслепую подвержен ошибкам, особенно когда вы не очень хорошо работаете на ощупь
  • Ввод 50-символьной парольной фразы занимает немного больше времени, чем хороший 15-символьный пароль.

Мое решение этой проблемы состояло в том, чтобы использовать парольные фразы как мнемонику действительного пароля. Например, я мог бы выбрать несколько строк великого стихотворения Уильяма Генри Дэвиса (76 символов):

Нет времени видеть, когда леса мы проходим,
Где белки прячут свои орехи в траве.

И я бы выбрал первые буквы каждого слова, создав следующий довольно хороший пароль из 16 символов:

Nttswwwp,Wshtnig

Использование поэзии особенно хорошо, потому что ее легче запомнить, и когда вас просят сменить пароль, вы можете просто выбрать следующие несколько строк стихотворения.

Рене Саарсоо
источник
3
Кроме того, каждый раз, когда вы меняете пароль, вы учите новую часть стихотворения и, таким образом, получаете некоторые культурные очки. :)
Джонатан
4
Я выстрелил себе в ногу с этим, используя текст песни. Во-первых, моя склонность напевать песню. Во-вторых, песня застряла у меня в голове на месяц подряд ...
Кара Марфия
4

При навязывании режима пароля другим не только требуется, чтобы они использовали уникальные, длиннее порога, содержали смешанный регистр, специальные символы и т. Д., Но также обучали пользователя менеджерам паролей или схемам для создания / запоминания этих паролей. если вы этого не сделаете, пользователи запишут пароли или найдут другие небезопасные способы их «запоминания».

Lexu
источник
Обучение менеджерам паролей - плохой пример для среднего нетехнического пользователя. Вы торгуете плохой практикой (записываете пароли) для немного лучшей, но все же плохой практики (храните их в электронном виде). Уязвимость в диспетчере паролей (например, слабый мастер-пароль, удаленная эксплуатация и т. Д.) Может привести к катастрофе.
Спулсон
Другими словами, я бы не стал хранить пароли с высокими значениями в менеджере паролей, например, в банковских
логинах
Я не согласен с вами в том, что даже Брюс Шнайер рекомендует использовать менеджер паролей с надежным паролем, а не слабые пароли, которые повторно используются и / или перетасовываются между сайтами.
Мартин С.
@spoulson: слепая зависимость от технологий всегда опасна. Я лично считаю, что надежно зашифрованное хранилище паролей (с хорошим pwd, обратите внимание) так же безопасно, как приглашение для входа в систему. Если вы доверяете поставщику ОС в ужесточении регистрации, вы также можете доверять автору Менеджеров паролей. Паранойя правит ... никому не доверяй ... и т. Д. ... но в конце концов, это всегда прыжок веры ...
lexu
2
Шнайер заходит так далеко, что рекомендует записать их: schneier.com/blog/archives/2005/06/write_down_your.html
Уилл М
4

Если у вас возникли проблемы с запоминанием паролей, используйте хорошо известный текст. Выберите предложение, используйте n- ю букву от каждого слова в качестве пароля, сохраните пунктуацию. (например , пароль , сгенерированный с 1 - м букв первого предложения этого ответа может быть «Iyhtrp, uswkt.»). Вы можете сделать его сильнее, изменив некоторые в верхний регистр и добавив некоторые специальные символы.

Vartec
источник
Это действительно хороший метод!
Techboy
3

Не используйте пароль, вот где вы идете неправильно. Используйте либо произвольную коллекцию символов (минимум 8), либо пароль. Вы можете придумать формулу для генерации отдельной парольной фразы для каждого сайта, например, ILikeStackOverflowOnions или ILikeServerFaultOnions; это защищает вас от посторонних, однако может по-прежнему вызывать проблемы, если сам сайт взломан, а пароли не засолены, или если администратор был изначально поврежден.

Адам Гиббинс
источник
1+ Но почему в парольной фразе нет пробелов или знаков препинания? Это добавляет им силы imho, например: «Мне нравятся оливки и serverfault.com!» который должен быть довольно надежным паролем, но чрезвычайно быстрым и простым для ввода и запоминания ^^ (некоторые действительно старые или непонятные системы недовольны пробелами в паролях - скажите им, что они идут в ад;)
Оскар Дювеборн
Ну да, пробелы, конечно, плюс, как и пунктуация. Но я обнаружил, что есть некоторые очень раздражающие небезопасные сайты, которые не будут вводить пароли с пунктуацией, у меня когда-то был банк, который этого не делал :-(
Адам Гиббинс
1
@ Оскар Дювеборн: обратите внимание, что вместо использования пунктуации в пароле, вы можете просто увеличить его; математически результат (количество возможных паролей) одинаков. Вы могли бы даже использовать PW с только строчными буквами, если вы сделаете их немного длиннее.
слеске
Да, я просто в пунктуации, чтобы облегчить запоминание фразы для людей. Преимущества более длинного пароля - это просто бонус;) У меня также был банк, который три года назад не занимал пробелы. В эти дни все хорошо, хотя. И более старые Unix-системы имеют максимум 8 символов, но, поскольку вы не можете видеть, что вы печатаете, вы всегда можете притвориться, что набираете там и весь пароль из 30 символов;)
Оскар Дювеборн
3

Регулярно меняйте пароль. Где я работаю, это 30-дневный цикл. Это PITA, но он уменьшает ценность взломанных паролей до ограниченного временного окна. Это, плюс сложная политика паролей AD, требует, чтобы она была не менее 8 символов, содержала верхний, нижний, числовой и символы.

В дополнение, мы используем сервис самообслуживания менеджера паролей. Он предоставляет пользовательскую GINA для Windows, которая позволяет пользователям сбрасывать свой пароль, если он его забывает, или разблокировать его, если они слишком много раз его обманывают. Приложение диспетчера паролей требует, чтобы пользователь зарегистрировался в службе, предоставил кучу личной информации, которую только они знали бы, и которая впоследствии будет использоваться в качестве вопросов, когда пользователю потребуется сбросить пароль или разблокировать свою учетную запись.

spoulson
источник
3
Принудительное изменение паролей по времени обычно считается очень плохой практикой. Я могу почти гарантировать, что последние несколько цифр паролей большинства людей будут содержать месяц или год, когда он был установлен в последний раз.
Андрей
3

Я считаю, что пароли должны генерироваться, а не придумываться пользователем. Это позволяет избежать всех этих глупых проблем с легко угадываемыми паролями.

Мне нравится использовать pwgen , который генерирует списки паролей, такие как

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

но на самом деле подойдет любая программа генерации pw. Одним из преимуществ pwgen является то, что он пытается запоминать пароли (несколько) запоминающимся образом, включая некоторые гласные.

sleske
источник
Вот так я и делаю. Сгенерируйте несколько паролей и выберите пароль, в котором нет двусмысленных символов, например, 1, 1 и т. Д.
Джон Гарденье
3

Ничего отличного от (источник dailywtf.com):

альтернативный текст

sucuri
источник
2
  1. Используйте надежные пароли.
  2. Не используйте пароли повторно.
  3. Принимая во внимание # 2, используйте такой инструмент, как PwdHash, перед лицом огромного количества разрозненных аккаунтов.
jldugger
источник
2

Держитесь подальше от этих 500 лучших паролей .

Длинные, сложные пароли обеспечивают хорошую безопасность, в основном надежные пароли , но обязательно используют разные пароли для всех учетных записей пользователей.

TStamper
источник
Интересная ссылка ...
Дэвид З
2

Используйте такой инструмент, как SuperGenPass, чтобы генерировать уникальные пароли для любых веб-сайтов, для которых у вас есть логин.

Алекс Ангас
источник
+1 за создание паролей, а не за миллион глупых правил их создания.
слеске
2

Hak5 только что выполнил эпизод, демонстрирующий инструмент из Remote Exploit, который берет несколько строк и генерирует словарь всех комбинаций, верхнего, нижнего, буквенного написания и т. Д. Таким образом, вы вводите его, например, имя цели, имена ребенка, даты рождения или другая информация, которую вы знаете о цели. Сгенерированный им словарь можно использовать в качестве входных данных для перебора слабого пароля.

Мораль: избегайте использования личной информации в вашем пароле

spoulson
источник
1
С другой стороны, некоторое время назад я работал над сайтом, где одно из требований клиента к паролю было «не может быть любой формой слова из словаря» (например, и т. Д.), Поэтому мне пришлось создать аналогичный генератор, который бы идентифицировал все различные варианты, которые были запрещены и были достаточно быстрыми для запуска в цикле обратной передачи, когда они меняли свой пароль.
GalacticCowboy
Хорошая мысль: чем больше вариантов вы ограничиваете, тем яснее могут быть возможные варианты.
Спулсон
1
Я не уверен, что @spoulson подразумевает то же самое, но: если вы активно запрещаете какое-либо слово из словаря, разве вы не ограничиваете количество возможных паролей? И, следовательно, в теории, облегчить поиск пароля?
Арджан
Идея состоит в том, чтобы удалить узнаваемые шаблоны в пароле, который может быть атакован по словарю или легко запомнен третьей стороной. Удаление возможности создавать слабые пароли не делает схему паролей более слабой.
Спулсон
@Ajran: Да, конечно, вы правы, запрет «слабых» паролей эффективно уменьшает длину битов паролей (заданной максимальной длины). Тем не менее, это имеет значение только в том случае, если вы фактически запретите пренебрежимо малую часть пространства паролей, что, как мы надеемся, не так.
слеске
2

Если вы знаете слова или фразы на неанглийском языке , вы можете использовать их как часть своего пароля. Например, я обычно использую японские слова в качестве части своих паролей, которая защищает от словарных атак, но позволяет мне их помнить (в отличие от случайно сгенерированных паролей).

Крис Гиллум
источник
2
Не думайте, что люди, которые атакуют ваши пароли, будут говорить только по-английски. Не думайте, что злоумышленник, который говорит только по-английски, не будет добавлять словари других языков в свой взломщик паролей.
pgs
2

Я начал использовать Password Safe , изначально разработанный Bruce Schneier, для хранения любых веб-паролей. У меня есть очень надежная парольная фраза для пароля, и все остальные пароли генерируются автоматически и никогда не используются повторно на разных веб-сайтах.

Программное обеспечение также имеет функции, такие как истекающие пароли и тому подобное.

Я считаю , что это (учитывая сильный безопасный пароль) , чтобы быть лучшим компромиссом и наиболее безопасный подход к паролям сайта.

Мартин С.
источник
1

Для семьи и друзей я обычно говорю, что это круто использовать такие вещи, как имена питомцев и девичьи фамилии матерей и так далее, если происходят следующие две вещи:

  • объединить как минимум два имени (например: девичья фамилия матери + имя питомца)
  • включить заглавные и специальные символы.
Кристиан Хагелид
источник
Хорошо для приложений с низким уровнем безопасности, я думаю. Но вы не хотели бы делать это, например, на сайте онлайн-банкинга.
Дэвид З
плохая идея, полная остановка. Это слишком предсказуемо и поощряет слабые пароли везде. Семья и друзья должны давать такие же советы, как и работникам.
Judioo
@ i-стон Я склонен согласиться, но я использую это как шаг в правильном направлении. Если я смогу заставить их использовать этот подход, а не просто использовать имя питомца или что-то еще, я думаю, что это шаг в правильном направлении
Кристиан Хагелид
Хорошие комментарии. Вещи, которые вам легко запомнить, но которые слишком
сложно перепутать
1

При вводе обязательного срока действия пароля выберите коэффициент 7, а не блок дней (например, 30 или 60 дней).

Результатом истечения 30-дневного срока может быть то, что пользователь должен изменить свой пароль в праздничные или выходные дни, и может возникнуть сюрприз, когда он придет на работу на следующий день.

Если бы вы установили масштаб срока действия в 7 раз, это обеспечило бы, чтобы дата смены пароля приходилась на тот же день недели, что и предыдущее изменение.

p.campbell
источник
На самом деле, большинство систем с истечением срока действия имеют две даты истечения срока действия: после первой вам нужно изменить свой pw при следующем входе в систему. Только после того, как второе прошло только изменение pw, истечение действительно имеет место. Так что это обычно не должно быть проблемой.
слеске
1

Если у вас есть несколько сайтов для одной и той же пользовательской базы, я должен настоятельно рекомендовать какую-либо форму единого входа (например, Shibboleth). Когда у пользователей разные пароли для сайтов с несколькими сайтами, у них, как правило, проблемы с запоминанием их всех. Один или два пароля легко запоминаются большинством людей, три пользователь может записать их в секретном месте. Если больше четырех, то пользователь может просто записать их все в заметку и применить их на столе или мониторе.

Пароли не должны быть слишком сложными, хотя они должны быть достаточно сложными, чтобы предотвратить первую или вторую попытку. Пока ваша система / сайты имеют какие-то меры безопасности, которые ограничивают количество попыток входа в систему, пароли не должны быть слишком сложными.

Например, если ваша система имеет ограничение в 3 попытки входа в час, то такой базовый пароль, как «Cindy65», является более сложным. В то время как хакер может знать , что пользователи настоящее имя Синди, он на самом деле никогда не узнает , что она родилась в 1965 г. Его попытки, естественно , будет «Cindy», « л astname», «Синди», L astname», хотя этим время он заблокирован.

Хотя это может быть упрощенный случай и простой пароль, это все, что действительно необходимо, если вы, администратор, настроили все правильно на стороне сервера. Мы также можем запросить несколько более сложные пароли, которые легко запомнить, например, случайную комбинацию клавиш. Символы и заглавные буквы также очень помогают.

Нам просто нужно помнить: чем сложнее мы делаем это для пользователей, тем больше вероятность, что они запишут это публично.

Одна вещь, которую я всегда хотел бы попросить своих пользователей сделать, это написать их имя в сочетании с названием лекарства, которое они принимают, любимую еду, имя лучшего друга и т. Д. Эти комбинации слов из словаря, хотя и упрощенные, почти невозможно взломать.

Примеры: СиндиПрозак, УильямКоден, ДжоПеттербит

Удачи.

Рекурсия
источник
0

Не записывай это. И если вы это сделаете, положите его в сейф. И не записывайте это комбо, либо.

Софи Альперт
источник
2
Когда в последний раз кто-то врывался в дом и украл пароль? Для домашних пользователей написание пароля часто является САМОЕ безопасным, потому что оно поощряет надежные, уникальные, трудно запоминающиеся пароли.
Портман
Я согласен с Беном - особенно для рабочей среды
Techboy
0

Если требования безопасности действительно жесткие, я бы старался по возможности избегать использования паролей. Подумайте об использовании аутентификации на основе ключей ssh, клиентских сертификатов на смарт-картах и ​​т. Д. Однако для того, чтобы это работало должным образом, требуются большие навыки и бюджет, поэтому следует провести надлежащую оценку рисков.

Если вы решите придерживаться паролей, я последую совету Capar и Lexu.

Винсент де Баер
источник
0

Ограничения по длине пароля глупы. (Ограничение паролей длиной от 6 до 8 символов является обычным, но не имеет смысла в современных системах).

Требование частой смены паролей побуждает пользователей записывать свои пароли и выбирать более простые. Это компромисс угроз, и вы должны рассмотреть, какая угроза более актуальна.

Требовать от пользователя содержать «специальные символы» в точно 8-символьном пароле вместо того, чтобы разрешать 30-символьный пароль, состоящий только из букв, не имеет смысла.

Не давайте пользователям очевидный пароль и попросите его сменить его. Они не будут. Или потребуйте, чтобы они изменили его при первом входе в систему, выберите надежный пароль для них, зная, что они его запишут, или заставьте их выбрать надежный пароль перед вами.

Карлито
источник
0

Мы обучаем наших пользователей подбирать парольные фразы и использовать первую букву каждого слова.
WTOUTPPAUTFLOEW - добавьте ноль или 3 (с надписью), измените пару раз, когда у вас получится что-то, что ни один словарь никогда не выберет, но все еще легко запомнить.

однако - просто убедитесь, что вы не меняете их пароль на парольную фразу на основе слогана / видения компании и т. д.

hellimat
источник
-1

Чтобы предотвратить то, что случилось с администратором этого веб-сайта, и, если у вас есть доступ к оболочке Unix или Cygwin, вы можете использовать

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

и проверьте это значение в базе данных MD5, например, http://gdataonline.com/ . Удостоверьтесь, что это не появляется там.

Кроме того, вот пример более необработанного словаря MD5, который я получил простым поиском по этому хэш-значению (предупреждение: большой файл): https://secure.sensepost.com/sp-hash/jebwy

joev
источник
1
Да, верно, это идеальный способ отправки новых хэшей в рабочую очередь, чтобы в какой-то момент простой поиск в хэше в Google показал пароль. Я настоятельно не рекомендую отправлять хэши на такие сайты.
serverhorror
2
Ваш хэш "Jeffa", кстати ...
serverhorror