Jakie są wytyczne dotyczące tworzenia bezpiecznych haseł?

6

Jakie są najlepsze praktyki tworzenia bezpiecznych haseł? Chciałbym sprawić, by trudniej je było złamać przy użyciu narzędzi o brutalnej sile.

część druga

Czy są jakieś narzędzia, które mogą generować te hasła, więc nie muszę sam o tym myśleć?

Axxmasterr
źródło
9
Oto silne hasło: hD7 [lm3A8jGR Jeśli potrzebujesz więcej, po prostu zapytaj.
John Fouhy
jak zawsze wikipedia oferuje dobre porady: en.wikipedia.org/wiki/Password
akf
3
już nie tak silny, jak jego publiczność; D
John T
2
Teraz muszę po prostu wyszukać w Google „Axxmasterr” i wypróbować hD7 [lm3A8jGR na wszystkich znalezionych kontach.
Travis,

Odpowiedzi:

8

W systemach uniksowych PAM lub Pluggable Authentication Module to miłe narzędzie administracyjne, które jest dostarczane z biblioteką cracków, na której można testować hasła.

Po ostatnich pracach związanych z bezpieczeństwem wiem, że standardy rządowe zwykle zawierają następujące wytyczne, jeśli chodzi o hasło:

  • Minimalna długość 14 znaków
  • Co najmniej 2 znaki specjalne
  • Co najmniej 2 małe litery
  • Co najmniej 2 duże litery
  • Co najmniej 2 cyfry
  • Musi być zmieniany co 60 dni
  • Brak słów lub nazw użytkownika w słowniku

Zdrowy rozsądek sugeruje, że nie należy umieszczać 2 cyfr i znaków specjalnych na początku lub na końcu, ale przerywnik. Podczas pracy nad tymi wytycznymi pojawiło się pytanie, czy tak złożone hasła były naprawdę tego warte. Przy tak złożonych hasłach wydaje się, że istnieje większe prawdopodobieństwo, że użytkownik je gdzieś zapisze jako zwykły tekst lub gdzieś zapisze.

Na użytek osobisty zwykle podchodzę mniej rygorystycznie niż te wytyczne, ale na pewno nie mówią słów słownikowych ani L33t.

Evan
źródło
6

Bruce Schneier ma fajny artykuł na ten temat, oparty na tym, co firma musi być powszechną praktyką przy wyborze haseł przez ludzi.

EDYCJA: Och, aby wygenerować hasło. Możesz użyć narzędzi takich jak KeePass lub Password Safe do automatycznego generowania i przechowywania różnych dobrych haseł dla swoich loginów. Zobacz to pytanie, aby uzyskać więcej informacji.

KTC
źródło
5

grc.com ma ładną stronę, na której można uzyskać silne hasła.

Jeff Leonard
źródło
1
Steve Gibson jest tatusiem.
Charles Roper
Od czasu do czasu używałem PWD = curl https://www.grc.com/passwords.htm | openssl sha1w skryptach, w których potrzebuję szybkiego hasła (z kontrolą błędów odpowiedzi curl)
devstopfix
5

Osobiście to, co próbuję zrobić dla haseł, to najpierw pomyśleć o stosunkowo długiej pamiętnej frazie i wykonać na niej następującą transformację:

  • Uwzględnij wszystkie jednoznaczne znaki interpunkcyjne i pierwszą literę każdego słowa
  • Wykonaj wielkie litery w stylu niemieckim (pierwsze słowo i wszystkie rzeczowniki / nazwy jako wielkie litery) lub odwrotnie ...
  • Wymień kilka słów lub liter z cyframi, O-> 0, for/ fore/ four-> 4, one, an-> 1, itd.

W większości przypadków skutkuje to dość bezpiecznym i niewymagalnym hasłem, które mogę łatwo zrekonstruować na podstawie tych reguł i zapamiętywania frazy.

Na przykład:

What are the guidelines for creation of a secure passwords?

Staje się:

WatG4co1sP?

Należy pamiętać, że ten schemat może być używany do tworzenia haseł, które pasują do prawie wszystkich reguł, jakie firma może mieć w odniesieniu do minimalnej długości, wymaganych dołączonych symboli itp. Ma także dodatkową zaletę, o ile wybierzesz schemat kodowania, który możesz konsekwentnie stosować ponieważ ma to dla ciebie sens (w przypadku wielkich liter oraz znaków specjalnych i cyfr), nie powinieneś zapisywać niczego na papierze, unikając problemu, w którym haker może znaleźć twoje hasła, po prostu rozglądając się po obszarze roboczym.

jerryjvl
źródło
1
+1, ponieważ używam tej techniki również do haseł, które faktycznie mają znaczenie. Mogę również zrobić krok do przodu i zastąpić literę „s” „$” i tym podobne.
Sasha Chedygov
3

Kiedy bezpieczeństwo jest głównym czynnikiem, zawsze uwzględniam niektóre znaki ASCII o wysokiej wartości.

Na przykład 154 to Ü. Nie tylko te postacie znacznie zwiększają czas potrzebny na atak brutalną siłą, ale większość ataków nawet nie skanuje tego zakresu postaci, a czasem nawet nie jest w stanie tego zrobić.

Ponadto oczywiste:

  • Dłuższy jest bezpieczniejszy.
  • Mieszaj małe i wielkie litery, cyfry, symbole.
  • Nie opieraj go na żadnych słowach słownikowych, odpowiednich rzeczownikach ani dobrze znanych znaczeniach (tj. Akronimach).
tsilb
źródło
+1 dobra wskazówka. mogą mieć problemy ze starszymi systemami.
quack quixote
2

Dyskusja w Diceware jest interesującą lekturą.

Do tworzenia haseł i haseł o wysokiej wartości, technika słownika, takiego jak kostka do gry i dobry randomizator, taki jak garść kostek, jest całkiem dobrym wyborem.

Osobiście używam PasswordSafe zablokowanego silnym hasłem generowanym przez technikę diceware. Pozwalam PasswordSafe wygenerować każde inne hasło, którego potrzebuję i generalnie nie mam pojęcia, jakie mogą być po kilku minutach. Mam kopie bezpiecznego pliku na kilku systemach, więc nie martwię się zbytnio o to, że wszystkie jajka są w jednym koszyku. Dużą zaletą jest to, że nigdy świadomie nie używam tego samego hasła do dwóch celów.

Na użytek osobisty zalecam przechowywanie czytelnej kopii hasła sejfu w bezpiecznym miejscu, w którym mogliby go znaleźć twoi spadkobiercy ...

RBerteig
źródło
1

Ta strona dobrze opisuje wytyczne i pozwala przetestować ich bezpieczeństwo. Myślę, że wymyślenie własnego będzie bardziej niezapomniane niż wygenerowane.

John T.
źródło
Ciekawe jest to, że test nie jest w stanie zgodzić się z jego algorytmem. Jako losowy test zaczynam pisać w kombinacji upp / niskich liter i cyfr. W pewnym momencie miałem 86%, a DODAWANIE kolejnych liter obniżyło mój wynik do 46%. Co?
KTC
KTC, obniży twój wynik, jeśli masz powtarzające się znaki, kolejne wielkie / małe litery / cyfry, kolejne litery / cyfry itp. Ale zgadzam się z tobą, że nawet dodanie najbardziej niepewnego hasła do KONIEC już zabezpieczonego hasła może „ obniż jego jakość.
Travis
1

Witryna SecurityStats ma stronę, na której możesz wypróbować swoje hasło fu.
Zawiera również wskazówki dotyczące lepszych haseł.


Dobra lektura na blogu Google Enterprise na temat śledzenia bezpieczeństwa haseł.
Możesz założyć własne konto, na którym sprawdzasz moc swoich haseł .

ponieważ system uwierzytelniania konta Google stale widzi nowe odmiany ataków haseł z całego świata, możemy oceniać siłę haseł w czasie rzeczywistym i pomagać administratorom w wykrywaniu haseł, które były stosunkowo bezpieczne w przeszłości i które są bardziej podatne na najnowsze wzorce ataków

nik
źródło
1

xkcd: Siła hasła

Jeśli chodzi o wytrzymałość na pękanie brutalnej siły, najlepiej jest zwiększyć długość, a liczba możliwych kombinacji rośnie wykładniczo (dosłownie). Oczywiście nadal dobrym pomysłem jest wprowadzenie losowych znaków i symboli, aby utrudnić ataki słownikowe. A może użyj kilku słów z różnych języków - dodatkowe punkty za znaki spoza ASCII!

Bardziej szczegółowa analiza dostępna jest tutaj.

Podczas gdy szukamy porady dotyczącej hasła xkcd, nigdy nie używaj ponownie haseł .

Kok
źródło
+1 Podoba mi się też hasło: xkcd.com/792
Kevin Fegan
0

Zobacz także Password Maker . Korzysta z podanych przez Ciebie informacji, w tym zarodka, dzięki czemu możesz wygenerować unikalne hasło. Następnie wszystko, co musisz zrobić, to zapamiętać ziarno i wymyślić te same wartości danych, a Maker haseł wygeneruje dla ciebie to samo hasło później.

Moje problemy z takimi hasłami polegają na tym, że są one trudne do wpisania i trudniejsze do zapamiętania. Osobiście mam program o nazwie gpw, który generuje hasła z fragmentów sylab, co daje hasło, które zazwyczaj jest „prawie” wymawiane. Jeśli to zrobisz, a następnie dodasz wielkie litery i interpunkcję, uzyskasz coś nieco łatwiejszego do zapamiętania niż szum linii, ale jest dość bezpieczny dla brutalnych siłowników.

Na przykład zrobiłbym to:

$ gpw
ompartiz
tocycedt
psyllicu
doggiedu

Wybrałbym taki, który mi się podoba, a następnie zmieniłem go w coś w rodzaju? D0ggid00

David Mackintosh
źródło