Лучшие практики паролей

• Используйте пароли, которые не состоит из общих слов или имен. Атаки по словарю используют словари с миллионами слов и происходят очень быстро.

• Используйте длинные пароли. Я обычно использую пропускфразы. Я выбираю фразу, предложение или рифму и нахожу способ использовать достаточное количество не буквенно-цифровых символов, чтобы мои слова не были словарными.

• Не используйте один и тот же пароль для нескольких служб входа в систему. Найдите время, чтобы придумать формулу для выбора парольных фраз. Это позволяет вам использовать множество разных паролей, которые, если вы забудете их, вы сможете восстановить с помощью проб и ошибок.

• Если вам нужно, обязательно напишите хороший, длинный и надежный пароль и где-нибудь спрячьте его. По крайней мере, это лучше, чем использование слабого пароля, который легче запомнить.

• Если приведенные выше предложения окажутся неуправляемыми, используйте диспетчер паролей с длинным безопасным паролем, а затем используйте пароли из случайных символов для всего остального. Носите с собой диспетчер паролей на зашифрованном USB-накопителе (конечно, с резервной копией).

Я обнаружил несколько проблем с паролями:

• Многие сайты имеют верхний предел длины пароля - например, 20 символов - это глупо, но что поделаешь?
• Другие сайты не допускают пробелов в паролях.
• Слепой набор длинных текстов подвержен ошибкам, особенно если вы не умеете печатать вслепую.
• Ввод парольной фразы из 50 символов занимает немного больше времени, чем хороший пароль из 15 символов.

Мое решение этой проблемы состояло в том, чтобы использовать парольные фразы в качестве мнемоники фактического пароля. Например, я мог бы выбрать несколько строк великого стихотворения Уильяма Генри Дэвиса (76 символов):

Некогда видеть, когда мы проходим лес,
Где белки прячут орехи в траве.

И я бы выбрал первые буквы каждого слова, создав следующий довольно хороший пароль из 16 символов:

Nttswwwp,Wshtnig

Использование стихов особенно хорошо, потому что их легче запомнить, и когда вас просят изменить пароль, вы можете просто выбрать следующие несколько строк стихотворения.

Если у вас проблемы с запоминанием паролей, используйте хорошо знакомый текст. Выберите предложение, используйте n^th буква из каждого слова в качестве пароля, соблюдайте знаки препинания. (например, пароль сгенерирован из 1^ул буквы первого предложения этого ответа могут быть «Iyhtrp, uswkt.»). Вы можете сделать его сильнее, изменив некоторые на верхний регистр и добавив некоторые специальные символы.

При диктовке режима паролей другим не только требуйте, чтобы они использовали уникальные, более длинные, чем пороговые значения, содержали смешанный регистр, специальные символы и т. Д., Но также обучите пользователя менеджерам паролей или схемам для создания / запоминания этих паролей. Если вы этого не сделаете, пользователи запишут пароли или найдут другие, небезопасные способы их «запомнить».

Что-нибудь отличное от (источник dailywtf.com):

Я считаю, что пароли должны создаваться, а не придумываться пользователем. Это позволяет избежать всех этих глупых проблем с легко угадываемыми паролями.

Я люблю использовать pwgen, который генерирует списки паролей, например

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

но на самом деле подойдет любая программа генерации pw. Одним из преимуществ pwgen является то, что он пытается сделать пароли (в некоторой степени) запоминающимися, включая несколько гласных.

Регулярно меняйте свой пароль. Где я работаю, это 30-дневный цикл. Это PITA, но он снижает ценность взломанных паролей до ограниченного временного окна. Кроме того, сложная политика паролей AD требует, чтобы пароль состоял не менее чем из 8 символов, содержал верхние, нижние, числовые и символы.

В дополнение мы используем сервис самообслуживания менеджера паролей. Он предоставляет настраиваемый Windows GINA, который предоставляет возможность пользователю сбрасывать свой пароль, если он его забыл, или разблокировать его, если он слишком много раз подделывал его. Приложение диспетчера паролей требует, чтобы пользователь зарегистрировался в службе, предоставил кучу личной информации, которую знают только они, которая позже используется в качестве вопросов, когда пользователю нужно сбросить пароль / разблокировать свою учетную запись.

Не используйте пароль, вы в первую очередь ошибаетесь. Используйте либо случайный набор символов (минимум 8), либо парольную фразу. Вы можете придумать формулу для генерации разных кодовых фраз для каждого сайта, например ILikeStackOverflowOnions или ILikeServerFaultOnions; это защищает вас от посторонних, однако может вызвать проблемы, если фактический сайт взломан, а пароли не засолены, или если админ изначально был поврежден.

Я начал использовать Сейф с паролем, который изначально был разработан Брюсом Шнайером для хранения любых веб-паролей. У меня очень надежная кодовая фраза для безопасного пароля, а все остальные пароли генерируются автоматически и никогда не используются повторно на веб-сайтах.

Программное обеспечение также имеет такие функции, как пароли с истекающим сроком действия и тому подобное.

Я считаю это (учитывая сильный безопасный пароль), чтобы быть лучшим компромиссом и наиболее безопасным подходом к паролям веб-сайтов.

Если вы знаете слова или фразы в не английский язык, вы можете использовать их как часть своего пароля. Например, я обычно использую японские слова как часть своих паролей, которые отражают атаки по словарю, но позволяют мне их запоминать (в отличие от случайно сгенерированных паролей).

Hak5 только что сделал эпизод демонстрация инструмента из Удаленный эксплойт который принимает ряд строк и генерирует словарь всех комбинаций, верхнего, нижнего, нижнего правописания и т. д. Таким образом, вы вводите его, например, имя цели, имена детей, даты рождения или другую информацию, которую вы знаете о цели. Генерируемый им словарь может использоваться в качестве входных данных для перебора слабого пароля.

Мораль: избегайте использования личной информации в своем пароле.

Используйте такой инструмент, как SuperGenPass для генерации уникальных паролей для любых веб-сайтов, для которых у вас есть логин.

Держитесь подальше от этих Топ-500 худших паролей.

Длинные и сложные пароли в основном обеспечивают хорошую безопасность. надежные пароли, но обязательно используйте разные пароли для всех учетных записей пользователей.

1. Используйте надежные пароли.
2. Не используйте пароли повторно.
3. Учитывая № 2, используйте такой инструмент, как PwdHash перед лицом огромного количества разрозненных отчетов.

Если у вас есть несколько сайтов для одной и той же базы пользователей, я настоятельно рекомендую какую-либо форму единого входа (например, Shibboleth). Когда у пользователей разные пароли для нескольких сайтов, они, как правило, не могут запомнить их все. Один или два пароля легко запоминаются большинством людей, три пользователь может записать их в секретном месте. Если их больше четырех, пользователь может просто написать их все в заметке и применить на столе или мониторе.

Пароли не должны быть слишком сложными, хотя они должны быть достаточно сложными, чтобы предотвратить первую или вторую попытку. Если в вашей системе / на сайтах есть какие-то меры безопасности, ограничивающие количество попыток входа в систему, то пароли не должны быть слишком сложными.

Например, если ваши системы имеют ограничение в 3 попытки входа в систему в час, то базовый пароль, такой как «Cindy65», более чем достаточно сложный. Хотя хакер может знать, что настоящее имя пользователя - Синди, на самом деле он никогда не узнает, что она родилась в 1965 году. Его попытки, естественно, были бы «синди» ».лastname "," Синди ", Lastname ", хотя к этому времени он заблокирован.

Хотя это может быть упрощенный случай и простой пароль, это все, что действительно нужно, если вы, администратор, настроили все правильно на стороне сервера. Мы также можем запросить несколько более сложные пароли, которые легко запомнить, например случайную комбинацию ключей. Также очень помогают символы и заглавные буквы.

Нам просто нужно помнить, что чем сложнее мы делаем это для пользователя, тем больше вероятность, что он запишет это публично.

Одна вещь, которую я всегда хотел бы попросить своих пользователей сделать, - это написать свое имя в сочетании с названием лекарства, которое они принимают, любимой едой, именем лучших друзей и т. Д. Эту комбинацию словарных слов, хотя и упрощенную, почти невозможно взломать.

Примеры: CindyProzac, WilliamCodene, JoePetertherabbit.

Удачи.

При установлении обязательного срока действия пароля выберите коэффициент 7, а не блок дней (например, 30 или 60 дней).

В результате 30-дневного истечения срока действия пользователя может потребоваться сменить пароль в праздничные или выходные дни, и он может удивиться, когда придет на работу на следующий день.

Если бы вы установили шкалу истечения срока действия в 7 раз, это обеспечило бы то, что дата смены пароля будет приходиться на тот же день недели, что и предыдущее изменение.

Для семьи и друзей я обычно говорю, что это круто использовать такие вещи, как имена домашних животных, девичья фамилия матери и тому подобное, если выполняются следующие две вещи:

• объедините как минимум два имени (например, девичья фамилия матери + имя домашнего животного)
• включать прописные буквы и специальные символы.

Ограничения на длину пароля глупые. (Ограничение паролей до 6-8 символов является обычным явлением, но не имеет смысла в современных системах).

Требование частой смены паролей побуждает пользователей записывать свои пароли и выбирать более простые. Это компромисс между угрозами, и вы должны подумать, какая угроза более актуальна.

Требовать, чтобы пользователь содержал «специальные символы» в пароле из 8 символов, вместо того, чтобы разрешать 30-значный пароль, состоящий только из букв, не имеет смысла.

Не сообщайте пользователям очевидный пароль и не просите их изменить его. Они этого не сделают. Либо потребуйте, чтобы они изменили его при первом входе в систему, выберите для них надежный пароль, зная, что они его запишут, либо заставьте их выбрать надежный перед вами.

Если требования к безопасности действительно жесткие, я бы постарался по возможности избегать использования паролей. Подумайте об использовании аутентификации на основе ssh-ключа, клиентских сертификатов на смарт-картах и ​​т. Д. Однако для того, чтобы это работало должным образом, требуется много навыков и средств, поэтому следует провести надлежащую оценку рисков.

Если вы решите придерживаться паролей, я последую советам capar и lexu.

Не записывай. И если да, положите его в сейф. И не пиши который комбо вниз тоже.

Мы обучаем наших пользователей подбирать парольные фразы и использовать первую букву каждого слова.
WTOUTPPAUTFLOEW - добавьте ноль или 3 (leetifying), измените регистр пару раз, и у вас есть то, что ни один словарь никогда не выберет, но все равно легко запомнить.

однако - просто убедитесь, что вы не изменили их пароль на парольную фразу, основанную на слогане / видении компании и т. д.

Чтобы предотвратить то, что случилось с администратором этого веб-сайта, и если у вас есть доступ к оболочке Unix или Cygwin, вы можете использовать

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

и проверьте это значение по базе данных MD5, например http://gdataonline.com/. Убедитесь, что его там нет.

Кроме того, вот пример более грубого словаря MD5, который я получил, просто поискав это значение хеш-функции в Google (предупреждение: большой файл): https://secure.sensepost.com/sp-hash/jebwy