Передовий досвід використання пароля

З огляду на останні події, коли «хакерське» навчання та повторне повторення паролів від адміністраторів веб-сайтів , що ми можемо запропонувати всім щодо найкращих практик щодо паролів?

• використовувати унікальні паролі між сайтами (тобто ніколи не використовувати повторно пароль)
• слів, знайдених у словнику, слід уникати
• розглянути можливість використання слів або фраз з не англійської мови
• використовуйте фрази та використовуйте першу букву кожного слова
• l33tifying не дуже допомагає

Просимо запропонувати більше!

• Використовуйте паролі, які не складаються із загальних слів чи імен. Словник атаки використовують словники з мільйонами слів і дуже швидкі.

• Використовуйте довгі паролі. Я схильний використовувати фразові фрази . Я вибираю фразу, речення або риму і знаходжу спосіб використовувати досить велику кількість не буквено-цифрових символів, щоб мої слова не були словниковими словами.

• Не використовуйте один і той же пароль для декількох служб входу. Витратьте трохи часу, щоб придумати формулу для вибору паролів. Це дозволяє використовувати безліч різних паролів, які, якщо їх забути, ви зможете відтворити за допомогою проб і помилок.

• Якщо вам доведеться, обов'язково запишіть хороший, довгий, надійний пароль і схойте його кудись. Принаймні, краще, ніж використовувати слабкий пароль, який легше запам'ятати.

• Якщо наведені вище пропозиції виявляться нерегульованими, використовуйте диспетчер паролів з довгим захищеним паролем, а потім використовуйте паролі випадкових символів для всього іншого. Візьміть із собою менеджер паролів на зашифрованому флеш-пам’яті USB (звичайно, резервне копіювання).

Я знайшов декілька проблем із паролями:

• Багато сайтів мають верхню межу довжини пароля - як 20 символів - це нерозумно, але що ви можете зробити.
• На інших сайтах не допускається пробілів у паролях.
• Сліпо вводячи довгі тексти, не схильні до помилок - особливо, коли ви не добрий машиніст.
• Введення 50-знакової парольної фрази займає трохи більше часу, ніж хороший 15-символьний пароль.

Моє рішення цієї проблеми було використовувати парольні фрази як мнемічні до фактичного пароля. Наприклад, я міг підібрати кілька рядків великої поеми від Вільяма Генрі Девіс (76 символів):

Немає часу побачити, коли ми проходимо лісом,
Де білки ховають горіхи в траві.

І я б вибрав перші літери кожного слова, створивши наступний непоганий 16-знаковий пароль:

Nttswwwp,Wshtnig

Використовувати поезію особливо добре, тому що її легше запам’ятати, і коли вас попросять змінити пароль, ви можете просто вибрати наступні кілька рядків поеми.

Диктуючи режим паролів іншим, не вимагайте, щоб вони використовували унікальний, довший ніж поріг, містили змішаний регістр, спеціальні символи тощо. Якщо ви цього не зробите, користувачі записують паролі або знайдуть інші, небезпечні способи їх "запам'ятати".

Якщо у вас виникли проблеми з запам'ятовуванням паролів, скористайтеся добре відомим текстом. Доберіть речення, використовуйте n- ^е письмо від кожного слова як пароль, зберігайте розділові знаки. (Наприклад , пароль , згенерований з 1 - ^м букв першого речення цієї відповіді може бути «Iyhtrp, uswkt.»). Ви можете зробити її сильнішою, змінивши частину верхнього регістру та додавши кілька спеціальних символів.

Не використовуйте пароль, саме там ви в першу чергу помиляєтесь. Використовуйте або випадкову колекцію символів (мінімум 8), або фразу. Ви можете придумати формулу для створення різної парольної фрази для кожного сайту, наприклад, ILikeStackOverflowOnions або ILikeServerFaultOnions; це захищає вас від сторонніх людей, проте все-таки може виникнути проблеми, якщо фактичний сайт зламаний, а паролі не засолені або якщо адміністратор був пошкоджений в першу чергу.

Регулярно міняйте свій пароль. Де я працюю, це цикл 30 днів. Це PITA, але він зменшує значення зламаних паролів до обмеженого часового періоду. Це, плюс складна політика щодо паролів AD, передбачає, що принаймні 8 символів повинні містити верхній, нижній, цифровий і символи.

Для доповнення ми використовуємо службу керування паролями самообслуговування. Він надає користувальницьку систему Windows GINA, яка надає функціональні можливості, щоб користувач міг скинути свій пароль, якщо він його забув, або розблокувати, якщо він занадто багато разів переходив у нього. Додаток менеджера паролів вимагає, щоб користувач зареєструвався в сервісі, надав купу особистої інформації, тільки вони знали б, що пізніше використовується як питання, коли користувачеві потрібно скинути пароль / розблокувати свій акаунт.

Я вважаю, що паролі повинні бути створені, а не продумані користувачем. Це дозволяє уникнути всіх безглуздих проблем із легкістю відгадати паролі.

Мені подобається використовувати pwgen , який генерує такі списки паролів

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

але насправді будь-яка програма з генерації Pw зробить. Однією з переваг pwgen є те, що він намагається зробити паролі (дещо) запам'ятовуючими, включивши деякі голосні.

Все, що відрізняється від (джерело dailywtf.com):

1. Використовуйте надійні паролі.
2. Не використовуйте паролі повторно.
3. Враховуючи №2, використовуйте такий інструмент, як PwdHash, перед великими неоднорідними рахунками.

Тримайтеся подалі від цих 500 найгірших паролів .

Довгі, складні паролі пропонують хорошу безпеку, в основному міцні паролі , але, безумовно, використовують різні паролі для всіх облікових записів користувачів.

Використовуйте такий інструмент, як SuperGenPass, щоб генерувати унікальні паролі для будь-яких веб-сайтів, для яких ви маєте ввійти.

Hak5 тільки що зробив епізод, демонструючи інструмент від Remote Exploit, який займає ряд рядків і генерує словник усіх комбінацій, верхній, нижній, пишемо орфограму тощо. Отже, ви даєте йому введення, як ім'я цілі, імена малюка, дати народження або інша інформація, яку ви знаєте про ціль. Створений ним словник може використовуватися як вхід для грубої сили слабкого пароля.

Мораль: уникайте використання особистої інформації у своєму паролі

Якщо ви знаєте слова чи фрази не англійською мовою , ви можете використовувати їх як частину свого пароля. Наприклад, я часто використовую японські слова як частину своїх паролів, яка відбиває напади словника, але дозволяє мені запам'ятати їх (на відміну від випадково генерованих паролів).

Я почав використовувати Password Safe , який спочатку був розроблений Брюсом Шнейєром для зберігання будь-яких веб-паролів. У мене дуже безпечна парольна фраза щодо безпечного пароля, а всі інші паролі створюються автоматично і ніколи не використовуються повторно на веб-сайтах.

Програмне забезпечення також має такі функції, як термін дії паролів та інше.

Я вважаю це (зважаючи на надійний безпечний пароль) як найкращий компромісний і найбільш безпечний підхід до паролів веб-сайту.

Для сім’ї та друзів, як правило, я кажу, що здорово використовувати такі речі, як імена домашніх тварин та дівоче прізвище та речі, доки наступні дві речі:

• об'єднати принаймні два імені (наприклад: дівоче прізвище матерів + прізвище домашніх тварин)
• включити великі регістри та спеціальні символи.

Призначаючи термін дії обов'язкового терміну дії пароля, вибирайте коефіцієнт 7, а не блок днів (наприклад, 30 або 60 днів).

Результатом 30-денного терміну може бути те, що користувач повинен змінити свій пароль у відпустку чи вихідні, і може виникнути сюрприз, коли він наступного дня прийде на роботу.

Якби ви встановили шкалу терміну придатності до значення 7, це забезпечить, щоб дата зміни пароля впала в той же день тижня, що і попередня зміна.

Якщо у вас є кілька сайтів для однієї користувальницької бази, я мушу настійно запропонувати певну форму єдиного входу (наприклад, Shibboleth). Коли користувачі мають різні паролі для декількох сайтів, вони, як правило, не можуть запам'ятати їх усі. Більшість людей легко запам'ятовує один або два паролі, три користувачі можуть записати їх у секретному місці. Якщо більше чотирьох користувачів дуже добре, вони можуть просто виписати їх на посаду, яку вона записує, і застосувати її до столу чи монітора.

Паролі не повинні бути надмірно складними, хоча вони повинні бути досить складними, щоб запобігти першій чи другій спробі. Поки ваша система / сайти мають певний захід безпеки, який обмежує кількість спроб входу, тоді паролі не повинні бути надмірно складними.

Наприклад, якщо ваші системи мають обмеження до 3 спроб входу в годину, базовий пароль, такий як "Cindy65", є більш складним. Хоча хакер може знати, що справжнє ім’я користувачів - Сінді, він насправді ніколи не дізнається, що вона народилася в 1965 році. Його спроби, природно, були б "синді", " я астнем", "Сінді", " Л астменом", хоча цим час він заблокований.

Хоча це може бути спрощений випадок і простий пароль, це все, що дійсно потрібно, якщо ви адміністратор налаштував все на правильній стороні сервера. Ми також можемо попросити трохи складніші паролі, які легко запам’ятати, наприклад випадкову комбінацію клавіш. Символи та великі літери також дуже допомагають.

Нам просто потрібно пам’ятати, чим важче ми робимо це на користувачі, тим більше шансів на те, що вони запишуть це на публіці.

Я завжди люблю просити своїх користувачів - це написати своє ім’я, з'єднане з назвою ліків, на яких вони вживаються, улюбленою їжею, найкращими іменами друзів тощо. Ці поєднання словникових слів у той час, коли спрощені, майже неможливо зламати.

Приклади: CindyProzac, WilliamCodene, JoePetertherabbit

Щасти.

Не записуйте це. А якщо ви це зробите, покладіть у сейф. І не записуйте цю комбінацію також.

Якщо вимоги безпеки дійсно жорсткі, я б намагався уникати використання паролів, коли це можливо. Подумайте, використовуючи аутентифікацію на основі ключа ssh, клієнтські сертифікати на смарт-картках тощо. Для того, щоб це працювало належним чином, потрібно багато навичок та бюджету, тому слід правильно оцінити ризик.

Якщо ви вирішите дотримуватися паролів, я б дотримувався порад capar та lexu.

Обмеження щодо довжини пароля нерозумно. (Обмеження паролів до 6-8 символів є загальним явищем, але в сучасних системах немає сенсу).

Необхідність частої зміни паролів спонукає користувачів записувати свої паролі та вибирати більш прості. Це компроміс загроз, і ви повинні врахувати, яка загроза є більш актуальною.

Не вимагати того, щоб користувач містив «спеціальні символи» в точно 8-символьному паролі, замість того, щоб дозволяти 30-символьний пароль, що складається лише з літер, не має сенсу.

Не дайте користувачам очевидного пароля і не вимагайте, щоб вони його змінили. Вони не хочуть. Або вимагайте, щоб вони змінили його під час першого входу, виберіть надійний пароль для них, знаючи, що вони його запишуть, або змусьте їх вибрати сильний перед вами.

Ми навчаємо наших користувачів вибирати фрази та використовувати першу букву кожного слова.
WTOUTPPAUTFLOEW - додайте нуль або 3 (посвідчуючи), змініть кілька разів капсули, і у вас є щось, що ніколи не вибере словник, але все ще легко запам'ятати.

Однак просто переконайтеся, що ви не змінюєте їх пароль на парольну фразу, грунтуючись на слогані компанії / заяві про бачення тощо.

Щоб запобігти тому, що сталося з цим адміністратором веб-сайту, і припускаючи, що у вас є доступ до оболонки Unix або Cygwin, ви можете використовувати

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

і перевірте це значення в базі даних MD5, наприклад http://gdataonline.com/ . Переконайтесь, що він не відображається там.

Крім того, ось приклад більш необробленого словника MD5, який я отримав, просто погуглившись за цим хеш-значенням (попередження: великий файл): https://secure.sensepost.com/sp-hash/jebwy