Best practice per le password


30

Dati i recenti eventi con l'apprendimento di un "hacker" e il tentativo di riprovare le password dagli amministratori di siti Web , cosa possiamo suggerire a tutti in merito alle migliori pratiche in materia di password?

  • utilizzare password univoche tra siti (ovvero non riutilizzare mai una password)
  • le parole trovate nel dizionario devono essere evitate
  • considera l'utilizzo di parole o frasi di una lingua non inglese
  • usa le passphrase e usa la prima lettera di ogni parola
  • l33tifying non aiuta molto

Per favore, suggerisci di più!


4
La punta tre contraddice la punta due.
Oddmund,

@Oddmund: No se usi sia l'inglese che il non inglese. Vale a dire One in spagnolo è uno, quindi usa OneUno. O divisione delle parole: metà della parola deriva dall'inglese, l'altra metà da un'altra lingua. Il calcio in spagnolo è fútbol, ​​quindi usa il futball. E poi ricorrere da lì.
Kevin M,

@Oddmund: No. L'uso delle parole di una lingua (non inglese) non implica che si possano trovare in un dizionario (non inglese)
user1092608

Risposte:


25
  • Utilizzare password che non sono composte da parole o nomi comuni. Gli attacchi a dizionario utilizzano dizionari con milioni di parole e sono molto rapidi.

  • Usa password lunghe. Tendo a usare passphrase . Scelgo una frase, una frase o una rima e trovo un modo per usare un buon numero di caratteri non alfanumerici in modo che le mie parole non siano parole del dizionario.

  • Non utilizzare la stessa password per più servizi di accesso. Prenditi del tempo per elaborare una formula per raccogliere le passphrase. Ciò ti consente di utilizzare molte password diverse che, se dimenticate, potresti essere in grado di ricreare con alcune prove ed errori.

  • Se è necessario, scrivere una password buona, lunga e sicura e nasconderla da qualche parte. Almeno è meglio che usare una password debole che sia più facile da ricordare.

  • Se i suggerimenti sopra riportati risultano ingestibili, utilizzare un gestore di password con una password sicura lunga e quindi utilizzare password di caratteri casuali per tutto il resto. Porta con te il gestore delle password su un'unità flash USB crittografata (di cui ovviamente è stato eseguito il backup).


Qualcuno sa perché il mio uso di grassetto in "passphrase" non sembra funzionare? Sembra perfetto nell'anteprima quando sono in modalità di modifica ... strano.
Arnold Spence,

stai usando due stelle o una? Prova solo uno ...
Mikeage

1
@Mikeage: un asterisco = corsivo; due = grassetto. Suggerirei di provare <b> o <strong>; Sospetto che incorporarlo in una parola stia confondendo il parser di SO.
derobert,

1
Vorrei provare a mettere uno spazio subito dopo "passa" in modo da avere frasi [uno spazio] [asterisco] [asterisco]. Se il problema persiste, prova a inserire uno spazio tra il secondo lotto di asterischi e il punto.
pbz,

3
+1 per "scrivere una password buona, lunga e sicura e nasconderla". Negli anni '80, qualcuno iniziò ad avvertire gli utenti di NON scrivere le loro password, quel comportamento bloccato e tutti noi stiamo peggio per questo.
Portman

7

Ho riscontrato diversi problemi con le passphrase:

  • Molti siti hanno un limite superiore alla lunghezza della password - come 20 caratteri - è sciocco, ma cosa puoi fare.
  • Altri siti non consentono spazi nelle password.
  • La digitazione cieca di testi lunghi è soggetta a errori, soprattutto quando non si è bravi a digitare.
  • La digitazione della passphrase da 50 caratteri richiede un po 'più di tempo rispetto alla buona password da 15 caratteri.

La mia soluzione a questo problema è stata quella di utilizzare le passphrase come mnemoniche della password effettiva. Ad esempio, potrei scegliere alcune righe di grandi poesie di William Henry Davies (76 caratteri):

Non c'è tempo per vedere, quando passiamo i boschi,
dove gli scoiattoli nascondono le loro noci nell'erba.

E sceglierei le prime lettere di ogni parola, creando la seguente password 16 caratteri piuttosto buona:

Nttswwwp,Wshtnig

L'uso della poesia è particolarmente utile, perché è più facile da ricordare e quando ti viene chiesto di cambiare la password, puoi semplicemente selezionare le prossime righe di una poesia.


3
Inoltre, imparerai un nuovo poema ogni volta che la tua password cambia, e in tal modo ottieni alcuni punti cultura. :)
Jonathan,

4
Mi sono sparato ai piedi con questo usando i testi delle canzoni. Innanzitutto, la mia tendenza a canticchiare la canzone. Secondo, rimettermi in testa la canzone per un mese
consecutivo

4

Quando si impone un regime di password ad altri, non solo è necessario che utilizzino univoco, più lungo di una soglia, contengano maiuscole / minuscole, caratteri speciali ecc., Ma anche educare l'utente sui gestori di password o sugli schemi per costruire / ricordare quelle password. in caso contrario, gli utenti scriveranno le password o troveranno altri modi non sicuri per "ricordarle".


Insegnare i gestori di password è un cattivo esempio per l'utente medio non tecnico. Stai scambiando una cattiva pratica (scrivendo le password) per una pratica leggermente migliore, ma ancora cattiva (memorizzandoli elettronicamente). Una vulnerabilità in un gestore di password (come password principale debole, exploit remoto, ecc.) Può portare a un disastro.
spoulson,

In altre parole, non memorizzerei password di alto valore in un gestore di password, come accessi bancari, ecc.
spoulson,

Non sono d'accordo con voi nel rispetto che anche Bruce Schneier raccomanda l'uso di un gestore di password con una forte password tramite l'utilizzo di password deboli che vengono riutilizzati e / o mischiate tra i siti.
Martin C.

@spoulson: la fiducia cieca nella tecnologia è sempre pericolosa .. Personalmente credo che un vault password altamente crittografato (con un buon pwd, intendiamoci) sia sicuro quanto una richiesta di accesso. Se ti fidi che il fornitore del sistema operativo indurisca l'accesso, puoi anche fidarti dell'autore di Password Manager. Le regole della paranoia .. non fidarti di nessuno ... ecc ... ma alla fine equivale sempre a un salto di fiducia ...
lexu

2
Schneier si spinge fino a raccomandare di scriverle: schneier.com/blog/archives/2005/06/write_down_your.html
Will M

4

Se hai problemi a ricordare le password, usa del testo ben noto. Scegli una frase, usa l' ennesima lettera di ogni parola come password, mantieni la punteggiatura. (es. la password generata da 1 a lettere della prima frase di questa risposta potrebbe essere "Iyhtrp, uswkt."). Puoi renderlo più forte modificandone alcune in maiuscolo e aggiungendo alcuni caratteri speciali.


Questo è davvero un buon metodo!
Techboy,

3

Non usare una password, ecco dove sbagli in primo luogo. Utilizzare una raccolta casuale di caratteri (minimo 8) o una passphrase. È possibile elaborare una formula per generare una passphrase diversa per ciascun sito, ad esempio ILikeStackOverflowOnions o ILikeServerFaultOnions; questo ti protegge dagli estranei, ma potrebbe comunque causare problemi se il sito reale viene violato e le password non sono salate o se l'amministratore è stato corrotto in primo luogo.


1+ Ma perché nessuno spazio o punteggiatura nella passphrase? Questo sta aggiungendo un po 'di forza a loro imho, come "Mi piacciono le olive e serverfault.com!" che dovrebbe essere una password abbastanza forte ma estremamente veloce e facile da digitare e ricordare ^^ (alcuni sistemi molto vecchi o oscuri aggrottano le sopracciglia negli spazi nelle password - dicono loro di andare all'inferno;)
Oskar Duveborn,

Bene, gli spazi sono ovviamente un vantaggio, così come la punteggiatura. Ma ho scoperto che ci sono alcuni siti insicuri molto fastidiosi che non accettano password con punteggiatura, una volta avevo una banca che non lo faceva :-(
Adam Gibbins,

1
@Oskar Duveborn: Nota che invece di usare la punteggiatura nella password, puoi semplicemente allungarla; matematicamente, il risultato (numero di possibili password) è lo stesso. Potresti anche usare PW con solo caratteri minuscoli, se li allunghi un po 'di più.
sleske,

Sì, sono solo in punteggiatura per facilitare il ricordo di una frase per le persone. I vantaggi di una password più lunga sono solo un bonus;) Avevo anche una banca che non occupava spazio, tre anni fa. In questi giorni però va bene. E i sistemi unix precedenti hanno un massimo di 8 caratteri ma, dato che non riesci a vedere quello che scrivi, puoi sempre far finta di digitare anche lì l'intera password di 30 caratteri;)
Oskar Duveborn,

3

Cambia la tua password regolarmente. Dove lavoro, è un ciclo di 30 giorni. È una PITA, ma riduce il valore delle password compromesse in un intervallo di tempo limitato. Ciò, oltre a una complessa politica di password di AD, stabilisce che deve essere composto da almeno 8 caratteri, contenere superiore, inferiore, numerico e simboli.

Per integrare, utilizziamo un servizio di gestione password self-service. Fornisce un GINA di Windows personalizzato che fornisce funzionalità per consentire all'utente di reimpostare la propria password se la dimentica o di sbloccarla se è andata in giro troppe volte. L'app per la gestione delle password richiede che l'utente si iscriva al servizio, fornisca un sacco di informazioni personali che solo loro saprebbero che verranno successivamente utilizzate come domande quando l'utente deve reimpostare la password / sbloccare il proprio account.


3
L'applicazione di modifiche della password basate sul tempo è generalmente considerata una pratica molto negativa. Posso quasi garantire che le ultime cifre delle password della maggior parte delle persone conterranno il mese o l'anno in cui è stata impostata l'ultima volta.
Andrew,

3

Credo che le password debbano essere generate, piuttosto che pensate dall'utente. Questo evita tutti quei problemi sciocchi con password facili da indovinare.

Mi piace usare pwgen , che genera elenchi di password simili

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

ma davvero qualsiasi programma di generazione pw lo farà. Un vantaggio di pwgen è che cerca di rendere le password (in qualche modo) memorabili, includendo alcune vocali.


È così che lo faccio. Genera un sacco di password e scegline una che non abbia caratteri ambigui, come 1, I, ecc.
John Gardeniers,

3

Qualcosa di diverso da (fonte dailywtf.com):

testo alternativo


2
  1. Usa password complesse.
  2. Non riutilizzare le password.
  3. In considerazione del n. 2, utilizzare uno strumento come PwdHash di fronte a conti travolgenti e disparati.


2

Utilizzare uno strumento come SuperGenPass per generare password univoche per tutti i siti Web per i quali si dispone di un accesso.


+1 per la sola generazione di password, anziché avere un milione di regole stupide per crearle.
sleske,

2

Hak5 ha appena fatto un episodio dimostrando uno strumento da Remote Exploit che prende un numero di stringhe e genera un dizionario di tutte le combinazioni, superiore, inferiore, ortografia delle leet, ecc. Quindi gli dai input come il nome del bersaglio, i nomi dei bambini, le date di nascita o altre informazioni che conosci sull'obiettivo. Il dizionario che genera può essere utilizzato come input per forzare una password debole.

Morale: evitare di utilizzare le informazioni personali nella password


1
D'altra parte, un po 'di tempo fa ho lavorato su un sito in cui uno dei requisiti della password del cliente era "non può essere una forma di parola del dizionario" (leet, ecc.), Quindi ho dovuto costruire un generatore simile che identificasse tutte le varie varianti che erano proibite ed era abbastanza veloce per essere eseguito in un ciclo di postback quando cambiarono la password.
GalacticCowboy

Un buon punto, più scelte limiti, più chiare potrebbero essere le scelte possibili.
spoulson,

1
Non sono sicuro che @spoulson implichi lo stesso, ma: se proibisci attivamente qualsiasi parola da un dizionario, non stai sostanzialmente limitando il numero di possibili password? E quindi, in teoria, rendere più facile trovare la password?
Arjan,

L'idea è quella di rimuovere modelli riconoscibili in una password che può essere attaccata dal dizionario o facilmente ricordata da una terza parte. Rimuovere la possibilità di creare password deboli non rende più debole lo schema delle password.
spoulson,

@Ajran: Sì, certo che hai ragione, vietare le password "deboli" riduce efficacemente la lunghezza in bit delle password (di una determinata lunghezza massima). Tuttavia, questo è importante solo se si impedisce effettivamente una parte non trascurabile dello spazio delle password, cosa che si spera non sia il caso.
sleske,

2

Se conosci parole o frasi in una lingua non inglese , puoi usarle come parte della tua password. Ad esempio, uso comunemente parole giapponesi come parte delle mie password che respinge gli attacchi del dizionario ma mi consente di ricordarle (al contrario delle password generate casualmente).


2
Non dare per scontato che le persone che attaccano le tue password parleranno solo inglese. Non dare per scontato che un utente malintenzionato che parla solo inglese non aggiungerà dizionari di altre lingue al suo cracker di password.
pag

2

Ho iniziato a utilizzare Password Safe , originariamente progettato da Bruce Schneier, per archiviare qualsiasi password Web. Ho una passphrase molto forte sulla sicurezza delle password e tutte le altre password sono generate automaticamente e non vengono mai riutilizzate attraverso i siti Web.

Il software ha anche funzionalità come scadenza password e simili.

Considero questo (dato il forte password sicura) per essere il migliore trade-off e l'approccio più sicuro per le password del sito web.


1

Per la famiglia e gli amici di solito dico che è bello usare cose come nomi di animali domestici e nomi da nubile di madri e cose fintanto che accadono le seguenti due cose:

  • concatena almeno due nomi (es: nome da nubile delle madri + nome degli animali domestici)
  • incorporare caratteri maiuscoli e speciali.

OK per applicazioni a bassa sicurezza, immagino. Ma non vorrai farlo per esempio un sito di banking online.
David Z,

cattiva idea punto e basta. È troppo prevedibile e incoraggia password deboli ovunque. Lo stesso consiglio dovrebbe essere dato a familiari e amici di quello dato ai dipendenti.
Judioo,

@ i-moan Tendo ad essere d'accordo ma lo sto usando come un passo nella giusta direzione. Se riesco a convincerli ad usare questo approccio invece di usare SOLO il nome di animali domestici o qualcosa che penso sia un passo nella giusta direzione
Christian Hagelid,

Buoni commenti Cose facili da ricordare per te, ma
confuse

1

Quando si istituisce un periodo di scadenza della password obbligatorio, scegliere un fattore 7, anziché un blocco di giorni (ad es. 30 o 60 giorni).

Il risultato della scadenza di 30 giorni potrebbe essere che l'utente è tenuto a cambiare la password durante una vacanza o un fine settimana e potrebbe avere una sorpresa quando entrano in lavoro il giorno successivo.

Se si imposta la scala di scadenza su un fattore 7, ciò assicurerebbe che la data di modifica della password cada lo stesso giorno della settimana della modifica precedente.


In realtà, la maggior parte dei sistemi con scadenza ha due date di scadenza: dopo la prima, è necessario modificare il pw al prossimo accesso. Solo dopo che il secondo ha superato solo una modifica pw, la scadenza ha effettivamente luogo. Quindi questo normalmente non dovrebbe essere un problema.
sleske,

1

Se disponi di più siti per la stessa base di utenti, ti consiglio vivamente una qualche forma di accesso singolo (come Shibboleth). Quando gli utenti hanno password diverse per siti multipli, tendono ad avere difficoltà a ricordarle tutte. Una o due password sono facilmente ricordate dalla maggior parte delle persone, tre l'utente può scriverle in una posizione segreta. Se più di quattro l'utente può benissimo scriverli tutti su una nota di post e applicarli alla scrivania o al monitor.

Le password non devono essere eccessivamente complesse, sebbene debbano essere abbastanza complesse da impedire il primo o il secondo tentativo. Finché il tuo sistema / i tuoi siti hanno una sorta di misura di sicurezza che limita il numero di tentativi di accesso, le password non devono essere troppo complesse.

Ad esempio, se i sistemi hanno un limite di 3 tentativi di accesso all'ora, una password di base come "Cindy65" è più che abbastanza complessa. Mentre l'hacker può sapere che il vero nome dell'utente è Cindy, in realtà non saprebbe mai che è nata nel 1965. I suoi tentativi sarebbero naturalmente "cindy", " l astname", "Cindy", L astname ", anche se con questo volta che viene bloccato.

Mentre questo può essere un caso semplicistico e una semplice password, è tutto ciò che è veramente necessario se l'amministratore ha impostato tutto sul lato server corretto. Possiamo anche richiedere password leggermente più complesse che siano facili da ricordare, come una combinazione casuale di chiavi. Anche i simboli e le lettere maiuscole sono di grande aiuto.

Dobbiamo solo ricordare, più difficile lo facciamo per l'utente, più è probabile che lo scriveranno in pubblico.

Una cosa che mi piace sempre chiedere ai miei utenti di fare è scrivere il loro nome concatenato con il nome di un farmaco che stanno assumendo, cibo preferito, nome dei migliori amici, ecc. Questa combinazione di parole del dizionario mentre semplicistica è quasi impossibile da decifrare.

Esempi: CindyProzac, WilliamCodene, JoePetertherabbit

In bocca al lupo.


0

Non scriverlo. E se lo fai, mettilo in una cassaforte. E non scrivere neanche quella combinazione.


2
Quando è stata l'ultima volta che qualcuno ha fatto irruzione in una casa e ha rubato una password? Per gli utenti domestici, scrivere una password è spesso il più sicuro, poiché incoraggia password forti, uniche, difficili da ricordare.
Portman

Sono d'accordo con Ben - soprattutto per un ambiente di lavoro
Techboy

0

Se i requisiti di sicurezza sono davvero severi, proverei a evitare l'uso delle password laddove possibile. Pensa usando l'autenticazione basata su chiave ssh, i certificati client su smart card, ecc. Tuttavia, ci vuole molta competenza e budget per farlo funzionare correttamente, quindi dovrebbe essere effettuata una valutazione del rischio adeguata.

Se decidi di mantenere le password, seguirò i consigli di capar e lexu.


0

Le restrizioni sulla lunghezza della password sono stupide. (Limitare le password tra 6-8 caratteri è comune, ma non ha senso sui sistemi moderni).

La necessità di frequenti cambi di password incoraggia gli utenti a scrivere le proprie password e a sceglierne di più semplici. Questo è un compromesso delle minacce e devi considerare quale minaccia è più rilevante.

Richiedere a un utente di contenere "caratteri speciali" in una password di esattamente 8 caratteri, invece di consentire una password di 30 caratteri composta solo da lettere, non ha senso.

Non dare agli utenti una password ovvia e chiedere che la cambino. Non lo faranno. O richiedi che la modifichino al primo accesso, seleziona una password sicura per loro sapendo che la scriveranno o fai in modo che selezionino una forte davanti a te.


0

Formiamo i nostri utenti a scegliere passphrase e utilizzare la prima lettera di ogni parola.
WTOUTPPAUTFLOEW: aggiungi uno zero o 3 (leetizing), modifica il capslock un paio di volte e hai qualcosa che nessun dizionario potrà mai scegliere, ma è ancora facile da ricordare.

comunque-- assicurati di non cambiare la loro password in una passphrase basata sullo slogan aziendale / dichiarazione di visione ecc.


-1

Per aiutare a prevenire ciò che è accaduto a quell'amministratore del sito Web e supponendo che tu abbia accesso a una shell Unix o Cygwin, puoi usare

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

e controlla quel valore su un database MD5, come http://gdataonline.com/ . Assicurati che non appaia lì dentro.

Inoltre, ecco un esempio di un dizionario MD5 più grezzo, che ho ottenuto semplicemente cercando su Google quel valore di hash (avviso: file di grandi dimensioni): https://secure.sensepost.com/sp-hash/jebwy


1
Sì giusto, questo è il modo perfetto di inviare nuovi hash alla loro coda di lavoro in modo che a un certo punto una semplice ricerca su Google per l'hash rivelerà la password. Consiglio vivamente di non inviare hash a tali siti.
serverhorror,

2
Il tuo hash è "jeffa" tra ...
serverhorror il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.