Mật khẩu thực hành tốt nhất

Với các sự kiện gần đây với việc học và thử lại mật khẩu của 'hacker' từ quản trị viên trang web , chúng tôi có thể đề xuất gì cho mọi người về các thực tiễn tốt nhất khi nói đến mật khẩu?

• sử dụng mật khẩu duy nhất giữa các trang web (nghĩa là không bao giờ sử dụng lại mật khẩu)
• những từ được tìm thấy trong từ điển là phải tránh
• xem xét sử dụng các từ hoặc cụm từ từ một ngôn ngữ không phải tiếng Anh
• sử dụng cụm từ và sử dụng chữ cái đầu tiên của mỗi từ
• l33tifying không giúp được gì nhiều

Xin đề nghị thêm!

• Sử dụng mật khẩu không bao gồm các từ hoặc tên phổ biến. Các cuộc tấn công từ điển sử dụng từ điển với hàng triệu từ và rất nhanh chóng.

• Sử dụng mật khẩu dài. Tôi có xu hướng sử dụng cụm từ vượt qua . Tôi chọn một cụm từ, câu hoặc vần và tìm cách sử dụng một số lượng lớn các ký tự không phải là số để các từ của tôi không phải là từ trong từ điển.

• Không sử dụng cùng một mật khẩu cho nhiều dịch vụ đăng nhập. Hãy dành chút thời gian để đưa ra công thức chọn cụm mật khẩu. Điều này cho phép bạn sử dụng nhiều mật khẩu khác nhau, nếu bị quên, bạn có thể tạo lại với một số thử nghiệm và lỗi.

• Nếu bạn phải, bằng mọi cách hãy viết một mật khẩu tốt, dài và an toàn xuống và giấu nó ở đâu đó. Điều đó ít nhất là tốt hơn so với việc sử dụng một mật khẩu yếu dễ nhớ hơn.

• Nếu các đề xuất trên chứng tỏ không thể quản lý được, hãy sử dụng trình quản lý mật khẩu có mật khẩu bảo mật dài và sau đó sử dụng mật khẩu ký tự ngẫu nhiên cho mọi thứ khác. Mang theo trình quản lý mật khẩu bên mình trên ổ flash USB được mã hóa (tất nhiên là sao lưu).

Tôi đã tìm thấy một số vấn đề với cụm mật khẩu:

• Nhiều trang web có giới hạn trên về độ dài mật khẩu - như 20 ký tự - thật ngớ ngẩn, nhưng bạn có thể làm gì.
• Các trang web khác không cho phép không gian trong mật khẩu.
• Gõ văn bản dài một cách mù quáng là dễ bị lỗi - đặc biệt là khi bạn không giỏi đánh máy.
• Nhập mật khẩu 50 ký tự mất nhiều thời gian hơn mật khẩu 15 ký tự tốt.

Giải pháp của tôi cho vấn đề này là sử dụng cụm mật khẩu như một cách ghi nhớ mật khẩu thực tế. Ví dụ tôi có thể chọn một vài dòng thơ tuyệt vời từ William Henry Davies (76 ký tự):

Không có thời gian để xem, khi rừng chúng tôi đi qua,
Nơi những con sóc giấu hạt của chúng trong cỏ.

Và tôi sẽ chọn các chữ cái đầu tiên của mỗi từ, tạo mật khẩu 16 ký tự khá tốt sau đây:

Nttswwwp,Wshtnig

Sử dụng thơ đặc biệt tốt, vì nó dễ nhớ hơn và khi bạn được yêu cầu thay đổi mật khẩu, bạn chỉ cần chọn một vài dòng tiếp theo của một bài thơ.

Khi ra lệnh cho chế độ mật khẩu cho người khác, không chỉ yêu cầu họ sử dụng duy nhất, dài hơn ngưỡng, chứa trường hợp hỗn hợp, ký tự đặc biệt, v.v. mà còn giáo dục người dùng về trình quản lý mật khẩu hoặc kế hoạch xây dựng / ghi nhớ các mật khẩu đó .. . nếu bạn không, người dùng sẽ ghi lại mật khẩu hoặc tìm những cách khác, không an toàn để "ghi nhớ" chúng.

Nếu bạn gặp khó khăn trong việc nhớ mật khẩu, hãy sử dụng một số văn bản cũng biết. Chọn một câu, sử dụng chữ cái ^thứ n từ mỗi từ làm mật khẩu, giữ nguyên dấu câu. (ví dụ mật khẩu được tạo ra từ 1 ^st thư câu đầu tiên của câu trả lời này có thể là "Iyhtrp, uswkt."). Bạn có thể làm cho nó mạnh hơn bằng cách thay đổi một số chữ hoa và thêm một số ký tự đặc biệt.

Đừng sử dụng mật khẩu, đó là nơi bạn đang sai ở nơi đầu tiên. Sử dụng bộ sưu tập ký tự ngẫu nhiên (tối thiểu 8 ký tự) hoặc cụm mật khẩu. Bạn có thể đưa ra một công thức để tạo một cụm mật khẩu khác nhau cho mỗi trang web, ví dụ ILikeStackOverflowOnions hoặc ILikeServerFaultOnions; điều này giúp bạn an toàn trước người ngoài, tuy nhiên vẫn có thể gây ra sự cố nếu trang web thực sự bị hack và mật khẩu không được lưu lại hoặc nếu quản trị viên bị hỏng ngay từ đầu.

Thay đổi mật khẩu thường xuyên. Nơi tôi làm việc, đó là một chu kỳ 30 ngày. Đó là một PITA, nhưng nó giảm nhẹ giá trị của mật khẩu bị hack vào một cửa sổ giới hạn thời gian. Điều đó, cộng với chính sách mật khẩu AD phức tạp chỉ ra rằng nó cần ít nhất 8 ký tự, chứa các ký hiệu trên, dưới, số và ký hiệu.

Để bổ sung, chúng tôi sử dụng dịch vụ quản lý mật khẩu tự phục vụ. Nó cung cấp một Windows GINA tùy chỉnh cung cấp chức năng cho phép người dùng đặt lại mật khẩu nếu họ quên hoặc mở khóa nếu họ sử dụng nó quá nhiều lần. Ứng dụng quản lý mật khẩu yêu cầu người dùng đăng ký dịch vụ, chỉ cung cấp một loạt thông tin cá nhân mà họ sẽ biết sau này được sử dụng làm câu hỏi khi người dùng cần đặt lại mật khẩu / mở khóa tài khoản của họ.

Tôi tin rằng mật khẩu nên được tạo ra, thay vì người dùng nghĩ ra. Điều này tránh tất cả những vấn đề ngớ ngẩn với mật khẩu dễ đoán.

Tôi thích sử dụng pwgen , tạo danh sách mật khẩu như

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

nhưng thực sự bất kỳ chương trình thế hệ pw sẽ làm. Một lợi thế của pwgen là nó cố gắng tạo mật khẩu (phần nào) một cách đáng nhớ, bằng cách bao gồm một số nguyên âm.

Bất cứ điều gì khác với (nguồn Dailywtf.com):

1. Sử dụng mật khẩu mạnh.
2. Đừng sử dụng lại mật khẩu.
3. Khi xem xét số 2, hãy sử dụng một công cụ như PwdHash khi đối mặt với các tài khoản khác nhau áp đảo.

Tránh xa Top 500 mật khẩu tồi tệ nhất này .

Mật khẩu dài, phức tạp cung cấp bảo mật tốt, về cơ bản là mật khẩu mạnh , nhưng chắc chắn sử dụng các mật khẩu khác nhau cho tất cả các tài khoản người dùng.

Sử dụng một công cụ như SuperGenPass để tạo mật khẩu duy nhất cho bất kỳ trang web nào bạn đăng nhập.

Hak5 vừa thực hiện một tập trình diễn một công cụ từ Remote Miningit , lấy một số chuỗi và tạo ra một từ điển của tất cả các kết hợp, đánh vần trên, dưới, leet, v.v. thông tin khác bạn biết về mục tiêu. Từ điển mà nó tạo ra có thể được sử dụng làm đầu vào để tạo ra mật khẩu yếu.

Đạo đức: Tránh sử dụng thông tin cá nhân trong mật khẩu của bạn

Nếu bạn biết các từ hoặc cụm từ trong một ngôn ngữ không phải tiếng Anh , bạn có thể sử dụng chúng như một phần của mật khẩu của bạn. Ví dụ: tôi thường sử dụng các từ tiếng Nhật như một phần của mật khẩu để chống lại các cuộc tấn công từ điển cho phép tôi nhớ chúng (trái ngược với mật khẩu được tạo ngẫu nhiên).

Tôi bắt đầu sử dụng Password Safe , được thiết kế ban đầu bởi Bruce Schneier, để lưu trữ bất kỳ mật khẩu web nào. Tôi có một mật khẩu rất mạnh về mật khẩu an toàn và tất cả các mật khẩu khác được tạo tự động và không bao giờ được sử dụng lại trên các trang web.

Phần mềm này cũng có các tính năng như hết hạn mật khẩu và tương tự.

Tôi coi điều này (được cung cấp mật khẩu an toàn mạnh ) là cách tiếp cận tốt nhất và an toàn nhất đối với mật khẩu trang web.

Đối với gia đình và bạn bè, tôi thường nói rằng thật tuyệt khi sử dụng những thứ như tên thú cưng và tên thời con gái của mẹ miễn là hai điều sau đây xảy ra:

• ghép ít nhất hai tên (ví dụ: tên thời con gái + tên vật nuôi)
• kết hợp chữ hoa và ký tự đặc biệt.

Khi thiết lập thời hạn hết hạn mật khẩu bắt buộc, hãy chọn hệ số 7, thay vì một khối ngày (ví dụ: 30 hoặc 60 ngày).

Kết quả của thời hạn 30 ngày có thể là người dùng được yêu cầu thay đổi mật khẩu vào ngày lễ hoặc cuối tuần, và có thể có một bất ngờ khi họ đi làm vào ngày hôm sau.

Nếu bạn đặt thang điểm hết hạn thành hệ số 7, điều này sẽ đảm bảo rằng ngày thay đổi mật khẩu sẽ rơi vào cùng ngày trong tuần như thay đổi trước đó.

Nếu bạn có nhiều trang web cho cùng một cơ sở người dùng thì tôi phải đề xuất một số hình thức đăng nhập đơn (như Shibboleth). Khi người dùng có mật khẩu khác nhau cho nhiều trang web, họ có xu hướng gặp khó khăn khi nhớ tất cả. Hầu hết mọi người đều nhớ một hoặc hai mật khẩu, ba người dùng có thể ghi lại chúng ở một vị trí bí mật. Nếu nhiều hơn bốn người dùng rất có thể chỉ cần viết tất cả ra trên một bài đăng nó ghi chú và áp dụng nó vào bàn hoặc màn hình.

Mật khẩu không cần quá phức tạp, mặc dù chúng cần đủ phức tạp để ngăn chặn lần thử đầu tiên hoặc lần thứ hai. Miễn là hệ thống / trang web của bạn có một số biện pháp bảo mật giới hạn số lần đăng nhập, thì mật khẩu không cần quá phức tạp.

Ví dụ: nếu hệ thống của bạn có giới hạn 3 lần đăng nhập mỗi giờ, thì mật khẩu cơ bản như "Cindy65" sẽ đủ phức tạp hơn. Mặc dù tin tặc có thể biết rằng tên thật của người dùng là Cindy, nhưng anh ta thực sự sẽ không bao giờ biết rằng cô sinh năm 1965. Những nỗ lực của anh ta tự nhiên sẽ là "cindy", " l astname", "Cindy", L astname ", mặc dù vậy thời gian anh bị chặn

Mặc dù đây có thể là một trường hợp đơn giản và một mật khẩu đơn giản, nhưng đó là tất cả những gì thực sự cần thiết nếu quản trị viên của bạn đã thiết lập mọi thứ chính xác phía máy chủ. Chúng ta cũng có thể yêu cầu các mật khẩu phức tạp hơn một chút dễ nhớ, chẳng hạn như một tổ hợp phím ngẫu nhiên. Biểu tượng và chữ in hoa cũng giúp rất nhiều.

Chúng ta chỉ cần nhớ, chúng ta càng làm cho nó khó hơn với người dùng, thì càng có nhiều khả năng họ sẽ viết nó ra trước công chúng.

Một điều tôi luôn muốn yêu cầu người dùng của mình làm là viết tên của họ được gắn với tên của một loại thuốc họ đang dùng, thực phẩm yêu thích, tên bạn thân, v.v.

Ví dụ: CindyProzac, WilliamCodene, JoePetertherợi

Chúc may mắn.

Đừng viết nó ra. Và nếu bạn làm, đặt nó trong một an toàn. Và đừng viết kết hợp đó xuống.

Nếu các yêu cầu bảo mật thực sự chặt chẽ, tôi sẽ thử và tránh sử dụng mật khẩu bất cứ khi nào có thể. Hãy suy nghĩ bằng cách sử dụng xác thực dựa trên khóa ssh, chứng chỉ ứng dụng khách trên thẻ thông minh, v.v ... Phải mất rất nhiều kỹ năng và ngân sách để thực hiện công việc đó đúng cách, do đó cần phải thực hiện đánh giá rủi ro thích hợp.

Nếu bạn quyết định gắn bó với mật khẩu, tôi sẽ làm theo lời khuyên của capar và lexu.

Hạn chế về độ dài mật khẩu là ngớ ngẩn. (Hạn chế mật khẩu từ 6-8 ký tự là phổ biến, nhưng không có ý nghĩa gì đối với các hệ thống hiện đại).

Yêu cầu thay đổi mật khẩu thường xuyên khuyến khích người dùng ghi lại mật khẩu của họ và chọn mật khẩu đơn giản hơn. Đây là sự đánh đổi các mối đe dọa và bạn phải xem xét mối đe dọa nào phù hợp hơn.

Yêu cầu người dùng chứa "ký tự đặc biệt" trong mật khẩu chính xác 8 ký tự, thay vì chỉ cho phép mật khẩu 30 ký tự chỉ bao gồm các chữ cái, không có ý nghĩa gì.

Đừng cung cấp cho người dùng một mật khẩu rõ ràng và yêu cầu họ thay đổi nó. Họ sẽ không. Hoặc yêu cầu họ thay đổi nó trong lần đăng nhập đầu tiên, chọn mật khẩu mạnh cho họ biết rằng họ sẽ ghi lại hoặc yêu cầu họ chọn mật khẩu mạnh trước mặt bạn.

Chúng tôi đào tạo người dùng của chúng tôi để chọn cụm mật khẩu và sử dụng chữ cái đầu tiên của mỗi từ.
WTOUTPPAUTFLOEW - thêm số 0 hoặc số 3 (sắp xếp lại), thay đổi capslock một vài lần và bạn đã có một thứ mà từ điển sẽ không bao giờ chọn ra nhưng vẫn dễ nhớ.

tuy nhiên-- chỉ cần đảm bảo rằng bạn không thay đổi mật khẩu của họ thành cụm mật khẩu dựa trên khẩu hiệu / tuyên bố về tầm nhìn của công ty, v.v.

Để giúp ngăn chặn những gì đã xảy ra với quản trị viên trang web đó và giả sử bạn có quyền truy cập vào hệ vỏ Unix hoặc Cygwin, bạn có thể sử dụng

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

và kiểm tra giá trị đó dựa trên cơ sở dữ liệu MD5, như http://gdataonline.com/ . Hãy chắc chắn rằng nó không xuất hiện ở đó.

Ngoài ra, đây là một ví dụ về một từ điển MD5 thô hơn mà tôi có được bằng cách đơn giản là tìm kiếm giá trị băm đó (cảnh báo: tệp lớn): https://secure.sensepost.com/sp-hash/jebwy