Najlepsze praktyki dotyczące hasła

30

Biorąc pod uwagę ostatnie wydarzenia związane z uczeniem się i ponownym próbowaniem haseł od administratorów witryn , co możemy sugerować wszystkim o najlepszych praktykach dotyczących haseł?

  • używaj unikalnych haseł między witrynami (tj. nigdy nie używaj ponownie hasła)
  • słów znalezionych w słowniku należy unikać
  • rozważ użycie słów lub wyrażeń z języka innego niż angielski
  • użyj fraz hasła i użyj pierwszej litery każdego słowa
  • L33tifying niewiele pomaga

Proszę zasugerować więcej!

p.campbell
źródło
4
Wskazówka trzecia zaprzecza wskazówka druga.
Oddmund
@Oddmund: Nie, jeśli używasz zarówno angielskiego, jak i nieanglojęzycznego. Tj. One po hiszpańsku to uno, więc użyj OneUno. Lub podział na słowa: połowa słowa pochodzi z angielskiego, druga połowa z innego języka. Piłka nożna w języku hiszpańskim to fútbol, ​​więc używaj futbolu. A potem wracaj stamtąd.
Kevin M
@Oddmund: Nie. Używanie słów z języka (innego niż angielski) nie oznacza, że ​​można je znaleźć w słowniku (innym niż angielski)
użytkownik1092608

Odpowiedzi:

25
  • Używaj haseł, które nie składają się z typowych słów lub nazw. Ataki słownikowe wykorzystują słowniki zawierające miliony słów i są bardzo szybkie.

  • Używaj długich haseł. Zwykle używam fraz . Wybieram frazę, zdanie lub wierszyk i znajduję sposób na użycie sporej liczby znaków innych niż alfanumeryczne, aby moje słowa nie były słowami słownikowymi.

  • Nie używaj tego samego hasła do wielu usług logowania. Poświęć trochę czasu, aby wymyślić formułę zbierania haseł. Pozwala to na użycie wielu różnych haseł, które, jeśli zostaną zapomniane, mogą być odtworzone z pewną próbą i błędem.

  • Jeśli musisz, napisz dobre, długie, bezpieczne hasło i ukryj je gdzieś. To przynajmniej jest lepsze niż używanie słabego hasła, które jest łatwiejsze do zapamiętania.

  • Jeśli powyższe sugestie okażą się niemożliwe do zarządzania, użyj menedżera haseł z długim bezpiecznym hasłem, a następnie użyj haseł losowych znaków do wszystkiego innego. Noś przy sobie menedżera haseł na zaszyfrowanym dysku flash USB (oczywiście z kopią zapasową).

Arnold Spence
źródło
Czy ktoś wie, dlaczego moje odważne użycie „haseł” wydaje się nie działać? Wygląda dobrze na podglądzie, gdy jestem w trybie edycji ... dziwne.
Arnold Spence
używasz dwóch gwiazd, czy jednej? Spróbuj tylko jednego ...
Mikeage,
1
@Mikeage: jedna gwiazdka = kursywa; dwa = pogrubienie. Sugeruję wypróbowanie <b> lub <strong>; Podejrzewam, że osadzenie go w słowie jest mylącym parserem SO.
derobert
1
Spróbowałbym wstawić spację zaraz po „pasowaniu”, abyś miał frazę [jedna spacja] [gwiazdka] [gwiazdka]. Jeśli to nie zadziała, spróbuj wstawić spację między drugą partią gwiazdek a kropką.
pbz
3
+1, aby „zapisać dobre, długie, bezpieczne hasło i ukryć je”. W latach 80. ktoś zaczął ostrzegać użytkowników, aby NIE zapisywali swoich haseł, że takie zachowanie utknęło i wszyscy jesteśmy z tego powodu gorzej.
Portman
7

Znalazłem kilka problemów z hasłami:

  • Wiele witryn ma górny limit długości hasła - jak 20 znaków - to głupie, ale co możesz zrobić.
  • Inne strony nie dopuszczają spacji w hasłach.
  • Pisanie długich tekstów na ślepo jest podatne na błędy - szczególnie, gdy nie jesteś dobrym maszynistką.
  • Wpisanie 50-znakowego hasła zajmuje nieco więcej czasu niż dobre 15-znakowe hasło.

Moim rozwiązaniem tego problemu jest użycie haseł jako mnemoniki rzeczywistego hasła. Na przykład mogłem wybrać kilka wierszy wielkiego wiersza Williama Henry'ego Daviesa (76 znaków):

Nie ma czasu, aby zobaczyć, kiedy mijamy lasy,
gdzie wiewiórki chowają orzechy w trawie.

I wybrałbym pierwsze litery każdego słowa, tworząc następujące całkiem dobre 16-znakowe hasło:

Nttswwwp,Wshtnig

Używanie poezji jest szczególnie dobre, ponieważ łatwiej jest zapamiętać, a kiedy zostaniesz poproszony o zmianę hasła, możesz po prostu wybrać kilka kolejnych wierszy wiersza.

Rene Saarsoo
źródło
3
Ponadto za każdym razem, gdy zmieniasz hasło, nauczysz się nowego wiersza, a tym samym zdobędziesz punkty kultury. :)
Jonathan
4
Wystrzeliłem się tym stopą, używając tekstów piosenek. Po pierwsze, moja tendencja do nucenia piosenki. Po drugie, utknięcie mi w głowie przez miesiąc bez przerwy ...
Kara Marfia
4

Podczas dyktowania reżimu haseł innym, nie tylko wymagaj, aby używali unikalnego, dłuższego niż próg, zawierały różne litery, znaki specjalne itp., Ale także edukuj użytkownika o menedżerach haseł lub schematach dotyczących konstruowania / zapamiętywania tych haseł. Jeśli tego nie zrobisz, użytkownicy zapiszą hasła lub znajdą inne, niepewne sposoby ich „zapamiętania”.

Lexu
źródło
Nauczanie menedżerów haseł jest złym przykładem dla przeciętnego nietechnicznego użytkownika. Wymieniasz złą praktykę (zapisywanie haseł) na nieco lepszą, ale wciąż złą praktykę (przechowywanie ich drogą elektroniczną). Luka w menedżerze haseł (taka jak słabe hasło główne, zdalne wykorzystanie itp.) Może doprowadzić do katastrofy.
spoulson
Innymi słowy, nie przechowywałbym haseł o wysokiej wartości w menedżerze haseł, takich jak dane logowania do banku itp.
spoulson
Nie zgadzam się z tobą w związku z tym, że nawet Bruce Schneier zaleca użycie menedżera haseł z silnym hasłem zamiast używania słabych haseł, które są ponownie wykorzystywane i / lub tasowane między stronami.
Martin C.
@spoulson: ślepe poleganie na technologii jest zawsze niebezpieczne. Osobiście uważam, że wysoce zaszyfrowana przechowalnia haseł (z dobrym pwd, pamiętaj o tym) jest tak samo bezpieczna jak monit logowania. Jeśli ufasz dostawcy systemu operacyjnego, że utrudni logowanie, możesz także zaufać autorowi Menedżerów haseł. Paranoja rządzi ... nie ufaj nikomu ... itd. ... ale ostatecznie to zawsze oznacza skok wiary ...
Lexu
2
Schneier posuwa się tak daleko, że zaleca ich zapisanie: schneier.com/blog/archives/2005/06/write_down_your.html
Czy
4

Jeśli masz problemy z zapamiętywaniem haseł, użyj dobrze znanego tekstu. Wybierz zdanie, użyj n- tej litery z każdego słowa jako hasła, zachowaj interpunkcję. (np hasło wygenerowane od 1 st liter zdaniu pierwszym niniejszego odpowiedź może być „Iyhtrp, uswkt.”). Możesz go wzmocnić, zmieniając niektóre na wielkie litery i dodając specjalne znaki.

vartec
źródło
To naprawdę dobra metoda!
Techboy
3

Nie używaj hasła, to właśnie tam popełnisz błąd. Użyj losowej kolekcji znaków (minimum 8) lub hasła. Możesz opracować formułę generowania różnych haseł dla każdej witryny, na przykład ILikeStackOverflowOnions lub ILikeServerFaultOnions; zapewnia to bezpieczeństwo przed osobami z zewnątrz, jednak nadal może powodować problemy, jeśli rzeczywista witryna zostanie zhakowana, a hasła nie zostaną solone lub jeśli administrator zostanie uszkodzony.

Adam Gibbins
źródło
1+ Ale dlaczego w haśle nie ma spacji ani interpunkcji? To dodaje im siły, na przykład „Lubię oliwki i serverfault.com!” które powinno być dość silnym hasłem, a jednocześnie niezwykle szybkie i łatwe do wpisania i zapamiętania ^^ (niektóre naprawdę stare lub niejasne systemy
krzywo patrzą
No cóż, spacje są oczywiście plusem, podobnie jak interpunkcja. Ale zauważyłem, że istnieją bardzo irytujące niepewne strony, które nie przyjmą haseł z interpunkcją, kiedyś miałem bank, który nie :-(
Adam Gibbins
1
@Oskar Duveborn: Zauważ, że zamiast używać interpunkcji w haśle, możesz po prostu wydłużyć go; matematycznie wynik (liczba możliwych haseł) jest taki sam. Możesz nawet używać PW z tylko małymi literami, jeśli zwiększysz je nieco dłużej.
śleske,
Tak, jestem po prostu interpunkcyjny, aby ułatwić sobie zapamiętanie frazy dla ludzi. Korzyści z dłuższego hasła to tylko bonus;) Miałem też bank, który nie zajmował miejsca trzy lata temu. Ale teraz jest w porządku. Starsze systemy uniksowe mają maksymalnie 8 znaków, ale ponieważ nie widzisz, co wpisujesz, zawsze możesz udawać, że
wpisujesz
3

Regularnie zmieniaj hasło. Tam, gdzie pracuję, jest to 30-dniowy cykl. Jest to PITA, ale zmniejsza wartość zhakowanych haseł w ograniczonym czasie. To, a także złożona polityka haseł AD dyktuje, że musi ona mieć co najmniej 8 znaków, zawierać górny, dolny, numeryczny i symbole.

W celu uzupełnienia korzystamy z samoobsługowej usługi zarządzania hasłami. Zapewnia niestandardową GINA dla systemu Windows, która zapewnia funkcjonalność pozwalającą użytkownikowi zresetować hasło, jeśli go zapomni, lub odblokować je, jeśli zbyt wiele razy go oszuka. Aplikacja menedżera haseł wymaga zarejestrowania się użytkownika w usłudze, podania szeregu danych osobowych, o których wiedziałby, że zostaną później wykorzystane jako pytania, gdy użytkownik będzie musiał zresetować hasło / odblokować swoje konto.

spoulson
źródło
3
Wymuszanie zmiany hasła w oparciu o czas jest ogólnie postrzegane jako naprawdę zła praktyka. Mogę prawie zagwarantować, że ostatnie cyfry haseł większości ludzi będą zawierały miesiąc lub rok, w którym były ostatnio ustawione.
Andrew
3

Uważam, że hasła powinny zostać wygenerowane, a nie wymyślone przez użytkownika. Pozwala to uniknąć tych wszystkich głupich problemów dzięki łatwym do odgadnięcia hasłom.

Lubię używać pwgen , który generuje listy haseł jak

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

ale tak naprawdę zrobi to każdy program generacji pw. Jedną z zalet pwgen jest to, że stara się zapamiętać hasła (nieco), włączając w to niektóre samogłoski.

Śleske
źródło
Tak to robię. Wygeneruj wiązkę haseł i wybierz takie, które nie ma dwuznacznych znaków, takie jak 1, I I itd.
John Gardeniers
3

Wszystko inne niż (źródło dailywtf.com):

alternatywny tekst

sucuri
źródło
2
  1. Używaj silnych haseł.
  2. Nie używaj ponownie haseł.
  3. Biorąc pod uwagę # 2, użyj narzędzia takiego jak PwdHash w obliczu ogromnej liczby różnych kont.
jldugger
źródło
2

Unikaj tych 500 najgorszych haseł .

Długie, złożone hasła zapewniają dobre bezpieczeństwo, zasadniczo silne hasła , ale zdecydowanie używają różnych haseł dla wszystkich kont użytkowników.

TStamper
źródło
Interesujący link ...
David Z
2

Użyj narzędzia takiego jak SuperGenPass, aby wygenerować unikalne hasła do stron internetowych, na które masz login.

Alex Angas
źródło
+1 za samo generowanie haseł zamiast posiadania miliona głupich reguł ich tworzenia.
śleske,
2

Hak5 właśnie zrobił odcinek demonstrujący narzędzie z Remote Exploit, które pobiera wiele ciągów znaków i generuje słownik wszystkich kombinacji, górnej, dolnej, pisowni itp. Więc podajesz dane wejściowe, takie jak imię celu, imiona dzieci, daty urodzenia lub inne informacje, które znasz o celu. Słownik, który generuje, może służyć jako dane wejściowe do brutalnej siły słabego hasła.

Morał: Unikaj używania danych osobowych w swoim haśle

spoulson
źródło
1
Z drugiej strony, jakiś czas temu pracowałem w witrynie, w której jednym z wymagań dotyczących hasła klienta było „nie może być żadna forma słowa w słowniku” (leet itp.), Więc musiałem zbudować podobny generator, który identyfikowałby wszystkie różne odmiany, które były zabronione, i były wystarczająco szybkie, aby uruchomić w cyklu postback po zmianie hasła.
GalacticCowboy
Dobra uwaga: im więcej możliwości ograniczysz, tym wyraźniejsze mogą być możliwe wybory.
spoulson
1
Nie jestem pewien, czy @spoulson implikuje to samo, ale: jeśli aktywnie zabraniasz jakiegokolwiek słowa ze słownika, czy nie ograniczasz w zasadzie liczby możliwych haseł? A zatem teoretycznie ułatwić znalezienie hasła?
Arjan
Chodzi o usunięcie rozpoznawalnych wzorców w haśle, które mogą zostać zaatakowane przez słownik lub łatwo zapamiętane przez osoby trzecie. Usunięcie możliwości tworzenia słabych haseł nie osłabia schematu haseł.
spoulson
@Ajran: Tak, oczywiście masz rację, niedozwolone „słabe” hasła skutecznie zmniejszają długość bitów haseł (o danej maksymalnej długości). Ma to jednak znaczenie tylko wtedy, gdy faktycznie nie zezwalasz na znaczną część miejsca na hasło, co, mam nadzieję, nie jest prawdą.
śleske,
2

Jeśli znasz słowa lub wyrażenia w języku innym niż angielski , możesz użyć ich jako części hasła. Na przykład często używam japońskich słów jako części haseł, które odpierają ataki słownikowe, ale pozwalają mi je zapamiętać (w przeciwieństwie do losowo generowanych haseł).

Chris Gillum
źródło
2
Nie zakładaj, że osoby atakujące twoje hasła będą mówić tylko po angielsku. Nie zakładaj, że osoba atakująca, która mówi tylko po angielsku, nie doda słowników innych języków do swojego programu do łamania haseł.
pgs
2

Zacząłem używać Bezpiecznego hasła , które pierwotnie zaprojektował Bruce Schneier, do przechowywania dowolnych haseł internetowych. Mam bardzo silne hasło do bezpiecznego hasła, a wszystkie inne hasła są generowane automatycznie i nigdy nie są ponownie używane na stronach internetowych.

Oprogramowanie ma również takie funkcje, jak wygasające hasła i tym podobne.

Uważam to (biorąc pod uwagę silne bezpieczne hasło) za najlepszą kompromis i najbezpieczniejsze podejście do haseł do stron internetowych.

Martin C.
źródło
1

W przypadku rodziny i przyjaciół zwykle mówię, że fajnie jest używać rzeczy takich jak imiona zwierząt domowych i panieńskie nazwisko matki i inne rzeczy, o ile zdarzają się następujące dwie rzeczy:

  • łączą co najmniej dwa nazwiska (np. panieńskie nazwisko matki + imię i nazwisko zwierzaka)
  • zawierają wielkie litery i znaki specjalne.
Christian Hagelid
źródło
Chyba OK dla aplikacji o niskim poziomie bezpieczeństwa. Ale nie chciałbyś tego robić np. Dla witryny bankowości internetowej.
David Z
zły pomysł kropka. Jest zbyt przewidywalny i wszędzie zachęca do słabych haseł. Tej samej radzie należy udzielić rodzinie i przyjaciołom, jak pracownikom.
Judioo
@ i-moan Zwykle się zgadzam, ale używam go jako kroku we właściwym kierunku. Jeśli uda mi się skłonić ich do korzystania z tego podejścia,
zamiast
Dobre komentarze Rzeczy, które łatwo zapamiętać, ale pomieszały się tak, że inni nie mogą zgadnąć
Techboy
1

Wprowadzając obowiązkowy okres ważności hasła, wybierz współczynnik 7 zamiast bloku dni (np. 30 lub 60 dni).

W wyniku 30-dniowego wygaśnięcia użytkownik może zmienić hasło w wakacje lub weekend i może mieć niespodziankę, gdy wejdzie do pracy następnego dnia.

Jeśli ustawisz skalę wygaśnięcia na współczynnik 7, zapewni to, że data zmiany hasła przypada w tym samym dniu tygodnia, co poprzednia zmiana.

p.campbell
źródło
W rzeczywistości większość systemów z datą wygaśnięcia ma dwie daty wygaśnięcia: Po pierwszym musisz zmienić swój pw przy następnym logowaniu. Dopiero po tym, jak sekunda minie tylko zmiana pw, wygaśnięcie faktycznie ma miejsce. Więc zwykle nie powinno to stanowić problemu.
śleske,
1

Jeśli masz wiele witryn dla tej samej bazy użytkowników, muszę zdecydowanie zasugerować jakąś formę pojedynczego logowania (np. Shibboleth). Gdy użytkownicy mają różne hasła do wielu witryn, zwykle mają problemy z zapamiętaniem ich wszystkich. Jedno lub dwa hasła są łatwe do zapamiętania przez większość ludzi, trzy użytkownik może zapisać je w tajnym miejscu. Jeśli jest ich więcej niż cztery, użytkownik może po prostu zapisać je wszystkie na notatce i umieścić na biurku lub monitorze.

Hasła nie muszą być zbyt skomplikowane, ale muszą być wystarczająco złożone, aby zapobiec pierwszej lub drugiej próbie. Tak długo, jak twój system / witryny mają jakiś środek bezpieczeństwa, który ogranicza liczbę prób logowania, hasła nie muszą być zbyt skomplikowane.

Na przykład, jeśli twój system ma limit 3 prób logowania na godzinę, wówczas podstawowe hasło, takie jak „Cindy65”, jest wystarczająco skomplikowane. Chociaż haker może wiedzieć, że prawdziwym imieniem użytkownika jest Cindy, tak naprawdę nigdy nie dowie się, że urodziła się w 1965 roku. Jego próby byłyby oczywiście „cindy”, „ l astname”, „Cindy”, L astname ”, choć przez to czas jest zablokowany.

Chociaż może to być uproszczony przypadek i proste hasło, to wszystko, co jest naprawdę potrzebne, jeśli administrator skonfigurował wszystko poprawnie po stronie serwera. Możemy również poprosić o nieco bardziej złożone hasła, które są łatwe do zapamiętania, takie jak losowa kombinacja kluczy. Pomagają również symbole i duże litery.

Musimy tylko pamiętać, że im bardziej obciążamy użytkownika, tym bardziej prawdopodobne jest, że zapisze go publicznie.

Jedną z rzeczy, o których zawsze lubię prosić moich użytkowników, jest wpisanie ich nazwy połączonej z nazwą leku, na którym się znajdują, ulubionego jedzenia, nazwiska najlepszych przyjaciół itp. Te kombinacje słowników, choć uproszczone, są prawie niemożliwe do złamania.

Przykłady: CindyProzac, WilliamCodene, JoePetertherabbit

Powodzenia.

Rekurencja
źródło
0

Nie zapisuj tego. A jeśli to zrobisz, schowaj to w sejfie. I nie zapisuj też tego zestawu.

Sophie Alpert
źródło
2
Kiedy ostatni raz ktoś włamał się do domu i ukradł hasło? Dla użytkowników domowych zapisanie hasła jest często NAJBEZPIECZNIEJSZE, ponieważ zachęca do tworzenia silnych, unikalnych i trudnych do zapamiętania haseł.
Portman
Zgadzam się z Benem - szczególnie w środowisku pracy
Techboy
0

Jeśli wymagania bezpieczeństwa są bardzo surowe, staram się unikać używania haseł tam, gdzie to możliwe. Pomyśl, używając uwierzytelniania opartego na kluczu ssh, certyfikatów klienta na kartach inteligentnych itp. Aby to działało, potrzeba dużo umiejętności i budżetu, więc należy dokonać właściwej oceny ryzyka.

Jeśli zdecydujesz się trzymać haseł, postąpię zgodnie z radą Capar i Lexu.

Vincent De Baere
źródło
0

Ograniczenia dotyczące długości hasła są głupie. (Ograniczanie haseł do 6-8 znaków jest powszechne, ale nie ma sensu w nowoczesnych systemach).

Wymaganie częstych zmian hasła zachęca użytkowników do zapisywania haseł i wybierania prostszych. Jest to kompromis zagrożeń i musisz rozważyć, które zagrożenie jest bardziej odpowiednie.

Wymaganie od użytkownika, aby zawierało „znaki specjalne” w dokładnie 8-znakowym haśle, zamiast dopuszczania 30-znakowego hasła składającego się wyłącznie z liter, nie ma sensu.

Nie podawaj użytkownikom oczywistego hasła i poproś o jego zmianę. Nie będą. Albo wymagaj, aby zmienili go przy pierwszym logowaniu, wybierz silne hasło, wiedząc, że go zapiszą, lub spraw, aby wybrali silne hasło przed tobą.

Carlito
źródło
0

Szkolimy naszych użytkowników w zakresie wybierania haseł i używania pierwszej litery każdego słowa.
WTOUTPPAUTFLOEW - dodaj zero lub 3 (leetifying), zmieniaj kilka razy Capslock i masz coś, czego żaden słownik nigdy nie wybierze, ale nadal jest łatwy do zapamiętania.

jednak - upewnij się, że nie zmienisz hasła na hasło oparte na sloganie firmy / oświadczeniu dotyczącym wizji itp.

hellimat
źródło
-1

Aby zapobiec temu, co stało się z administratorem tej witryny, i zakładając, że masz dostęp do powłoki Unix lub Cygwin, możesz użyć

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

i sprawdź tę wartość w bazie danych MD5, takiej jak http://gdataonline.com/ . Upewnij się, że tam się nie pojawia.

Oto przykład bardziej surowego słownika MD5, który dostałem po prostu szukając tej wartości skrótu (ostrzeżenie: duży plik): https://secure.sensepost.com/sp-hash/jebwy

joev
źródło
1
Tak, to doskonały sposób na przesłanie nowych skrótów do kolejki roboczej, aby w pewnym momencie proste wyszukiwanie hasha w Google ujawniło hasło. Zdecydowanie odradzam przesyłanie skrótów do takich stron.
serverhorror
2
Twój skrót to „jeffa” btw ...
serverhorror