Мне нужно внедрить «стоп-лист», чтобы пользователи не выбирали общие пароли в новой онлайн-службе.
Может ли кто-нибудь указать мне где-нибудь в Интернете такой список?
Отредактировано: обратите внимание, что я пытаюсь исключить только самые распространенные пароли, а не исчерпывающий словарь. И, конечно же, это дополняет достаточно надежную политику паролей (длина, использование не-буквенных символов и т. Д.)
Спасибо.
Если заказчик требует свериться со списком известных плохих паролей, я бы, вероятно, попросил их предоставить список паролей, которые они считают плохими. Если они не могут предоставить список, я бы воспользовался правилами сложности пароля, как предлагали другие.
Разве старый инструмент «взлома» Unix не имеет списка общих паролей? Я считаю, что у него есть методы перебора и словаря.
Думаю, этого покупателя нужно немного побить по голове. :)
Раздражает то, что я могу понять и даже посочувствовать тому, откуда они. Но это требование вызовет только горе и хлопоты в долгосрочной перспективе (я вижу, например, необходимость в будущем обновлять список «известных общих паролей» ежегодно или даже чаще). Известно, что требования к сложности пароля работают в полевых условиях, и даже самые простые требования к сложности (такие как любые 3 буквы в верхнем, нижнем регистре, числа или символа) автоматически исключают подавляющее большинство слов словаря.
Еще одним препятствием на пути к соглашению является то, что многие люди будут использовать знакомые им вещи в качестве пароля. Например, номер социального страхования может отвечать требованиям сложности (числа, буквы и дефис, возможно) и, безусловно, никогда быть в любом гипотетическом списке «известных общих паролей», но также будет небезопасным в том смысле, что это одна из вещей, которые может попробовать потенциальный взломщик (при условии, что они либо знали это, либо имели средства для его получения).
Однажды я использовал онлайн-сервис, который оценил безопасность пароля, измерив комбинацию факторов: сколько символов каждого типа было в пароле и какова была длина всего пароля. Была предоставлена мгновенная обратная связь, поэтому вы могли понять, был ли ваш пароль признан правильным или нет на основе их показателей. Мне такой подход кажется намного предпочтительнее.
Также привлекательным было бы использование такой службы, как OpenID или Microsoft Passport (или как там она называется на этой неделе) вместо реализации своей собственной. Я с большим подозрением отношусь к службам, которые требуют, чтобы у пользователя был отдельный вход для всего, к чему он обращается. Главный риск заключается в том, что у пользователя есть так много комбинаций имени пользователя и пароля, которые нужно запомнить, что они в конечном итоге их запишут, а также что они в конечном итоге будут использовать одно и то же имя пользователя и пароль для всех, так что если один - и все это берет один - компрометируется, они все эффективно скомпрометированы. Правило самого слабого звена применяется здесь с включенными ручками. Обращение к поставщику, который специализируется в этой области, - это хорошо (вы можете сосредоточиться на специфике своей услуги, у вас есть известный надежный механизм аутентификации и т. Д.).
Большинство людей используют словарные списки словаря для такого рода вещей. Я не могу ручаться за то, насколько хороши эти списки ... но вот несколько
Если вы просто погуглите "списки словарных слов", вы должны получить кучу результатов.
Почему бы просто не обеспечить соблюдение хороших политик паролей. Примерно как минимум 8 символов, смешанный регистр, как минимум 1 цифра и 1 не буквенно-цифровой символ. Помимо этого, есть несколько хороших словарей, в которых вы можете сравнить пароли.
Не используйте статический список. Попробуйте запустить John the Ripper, чтобы убедиться, что pw слишком прост.
Я согласен с тем, что, вероятно, лучше иметь надежную политику паролей.
Если я действительно хотел реализовать то, что вы сказали, я думаю, вам нужно найти пару хороших словарей. Затем вы захотите сгенерировать все хеши из вариаций этого словаря, а затем проверить их хеши по этому списку. Это называется радужный стол, а в мире атак это называется компромиссом между временем и памятью. Если вы этого не сделаете, проверка на сервере действительно займет слишком много времени.
Еще лучше было бы использовать инструмент, который генерирует кучу неверных паролей на основе информации, которой они заполнили форму. Видеть CUPP в качестве примера программы на Python, которая это делает.
Вместо того, чтобы пытаться работать со списком неверных паролей, вам лучше использовать любой метод, доступный в вашей системе, чтобы усилить сложность пароля, если это возможно. Если вам все еще нужны списки неверных паролей, поищите списки словарей, используемые взломщиками паролей.
Печальная история, но мой лучший список паролей - это тот, который я получил при проверке моего сервера, который был взломан.
L0phtcrack, как мне кажется, поставлялся со списком паролей, которые он пробовал в первую очередь, аналогично, вы могли бы взглянуть на некоторые анализы Conficker.B, который также имел список паролей, хотя и короткий.
Игнорируя тот факт, что это не очень хорошее решение безопасности (как утверждали другие в своих ответах), я отвечу на ваш вопрос (список общих и плохих паролей).
Я нашел этот список '500 общих паролей'довольно проницательно.
Вы можете получить список слов с помощью этого скрипта, за исключением дублированного пароля «0», который я не могу не разобрать:
curl -s http://www.whatsmypass.com/the-top-500-worst-passwords-of-all-time | sed -n -e '/\(^<td>\(1\?[0-9]\?[0-9]\)<\/td>\|NO\|Top.*\)/d' -e 's/^<td>\(.*\)<\/td>/\1/p'