Wikipedia ma fajne streszczenie na ten temat
Powszechna praktyka haseł Zasady haseł często zawierają porady dotyczące właściwego zarządzania hasłami, takie jak:
- nigdy nie udostępniaj konta komputera
- nigdy nie używaj tego samego hasła do więcej niż jednego konta
- nigdy nie podawać hasła nikomu, w tym osobom, które twierdzą, że pochodzą z obsługi klienta lub bezpieczeństwa
- nigdy nie zapisuj hasła
- nigdy nie przekazuj hasła przez telefon, e-mail lub komunikator
- starając się wylogować przed pozostawieniem komputera bez nadzoru
- zmieniając hasła, gdy istnieje podejrzenie, że mogły zostać naruszone
- hasło systemu operacyjnego i hasło aplikacji są różne
- hasło powinno być alfanumeryczne
- spraw, aby hasła ZUPEŁNIE były losowe, ale łatwe do zapamiętania
Sugestie TU Delft :
Charakterystyka dopuszczalnych haseł
- hasło zawiera co najmniej osiem znaków oraz
- zawiera co najmniej jedną wielką literę, oraz
- zawiera co najmniej jedną małą literę, oraz
- zawiera co najmniej jedną cyfrę lub inny znak, taki jak! @ # $% ^ & () {} [] <> ... oraz
- to nie jest termin w znanym języku lub żargonie, i
- nie jest identyczny ani nie pochodzi od towarzyszącej nazwy konta, cech osobistych ani informacji z rodziny / kręgu społecznego, oraz
- łatwo to zapamiętać, na przykład za pomocą zdania kluczowego i
- można go pisać płynnie.
Najlepsze praktyki ochrony haseł
- unikaj używania tego samego hasła do pracy i życia prywatnego;
- traktuj wszystkie hasła jako poufne informacje i nie udostępniaj ich kontom współpracowników, członków rodziny lub innych znajomych;
- nie ujawniaj haseł kolegom, szefowi ani innym znajomym, ani w normalnych okolicznościach, ani w przypadku zwolnienia lub choroby;
- nie podawaj żadnego hasła w miejscu publicznym, telefonicznym lub w komunikacji nieszyfrowanej;
- nigdy nie zapisuj hasła w łatwo dostępnym miejscu;
- nie udzielaj żadnych wskazówek na temat mnemonika używanego do zapamiętywania hasła;
- nigdy nie podawaj informacji o haśle w kwestionariuszach lub formularzach bezpieczeństwa;
- jeśli podejrzewa się niewłaściwe użycie, zgłoś to organizacji bezpieczeństwa i natychmiast zmień wszystkie zaangażowane hasła;
- jeśli ktoś chce znać hasło, zapoznaj się z tymi zasadami.
Do rzeczy osobistych, których używam
źródło
Musisz wybrać „rozsądną” częstotliwość dla tego, jak często powinny być zmieniane. Zbyt szybko, a ludzie zmienią się w
<old_password>+<number>
(lub coś podobnego), więc powoli, a Ty zwiększasz ryzyko złamania hasła. Warto sprawdzić, czy istnieje reguła, którą można ustawić, aby się przed tym uchronić.Trzeba też mieć regułę, która mówi, że hasła nie można użyć do tylu zmian (być może 10), aby ludzie nie zamieniali między dwoma (lub trzema) hasłami do swojego konta.
Ustaw hasło przynajmniej alfanumeryczne z co najmniej jedną dużą literą. Aby uczynić to nieco bezpieczniejszym, dodaj, że musi istnieć co najmniej jeden znak alfanumeryczny.
źródło
Możesz mieć coś w rodzaju generatora haseł, takiego jak SuperGenPass . Mogliby mieć słabe hasło, ale wygenerowany ciąg znaków byłby wyjątkowo silny. Ale to byłoby więcej w przypadku logowania do witryny.
Inne opcje to:
źródło
W piątek musiałem zmienić hasło na stronie klienta. Zasady, które mają, są śmieszne. Wszystkie są standardowe i muszą zawierać wielkie litery, znaki interpunkcyjne, minimalną długość itp.
Problem polega na tym, że są one tak złożone, że prawie niemożliwe jest ich znalezienie, zwłaszcza że komunikat o błędzie nie mówi o dodatkowych wymaganiach.
Zadzwoniłem do działu pomocy technicznej i powiedzieli: po prostu użyj takiego Pa5word # (nie prawdziwego hasła), a następnie zwiększaj liczbę ...
Uważam, że te systemy są całkowicie szalone, ponieważ powstrzymują cię od używania haseł, na przykład „thisismypasswordforjanurary” jest bardzo łatwy do zapamiętania i bardzo bezpieczny, ale większość systemów nie zezwala na tego typu frazy.
Głosowałbym więc na wysoką minimalną długość, powiedzmy 15-20 znaków, że ludzie nie mogą po prostu używać słów, a hasła w stylu l33t nie są wymagane.
Cokolwiek wybierzesz, upewnię się, że udokumentujesz, jakie są ograniczenia i dlaczego one istnieją oraz kilka przykładów dla użytkowników, które pomogą im wygenerować bezpieczne.
źródło
Większość anwsers tutaj sugeruje zasady. Który odpowiada na pytanie, więc to dobrze. Ale moim zdaniem najpierw musisz zadać sobie pytanie: jak ważne są informacje, które chronisz?
Na przykład, zasady haseł dla departamentu obrony, aby zabezpieczyć poufne informacje, będą zasadniczo różnić się od zasad, których będziesz używać dla niepotrzebnych kont e-mail.
źródło
Krótka wersja:
Część administracyjna mnie mówi hasła zawierające od 12 do 16 znaków, zarówno małe, jak i wielkie litery oraz cyfry. Powinien także mieć losową część tekstową, której nie ma w żadnym słowniku. Powinno wystarczyć, aby zapobiec atakom siłowym opartym na sieci.
Jako użytkownik lubię hasła, które są łatwe do zapamiętania, nawet jeśli mogą być długie (16 znaków i więcej). Po zapamiętaniu mogę pisać wystarczająco szybko. Być może zamiast tylko egzekwować zasady, powinieneś znaleźć sprytne sposoby, aby nauczyć użytkowników wybierania bezpiecznych i łatwych do zapamiętania haseł, a nie tylko przypadkowego fragmentu znaków.
źródło