Каковы инструкции для создания безопасные пароли?
Что лучшие практики должны создать безопасные пароли? Я хотел бы сделать их более жесткими для взламывания с инструментами грубой силы.
Вторая часть
Есть ли какие-либо инструменты, которые могут генерировать эти пароли, таким образом, я не должен думать тот сам?
9 ответов
В системах Unix PAM или Сменный Модуль аутентификации является хорошим средством администрирования, которое идет со взломанной библиотекой, против которой можно протестировать пароли.
После выполнения некоторой недавней работы безопасности я знаю, что правительственные стандарты обычно имеют эти инструкции когда дело доходит до пароля:
- Минимальная Длина 14 символов
- По крайней мере 2 специальных символа
- По крайней мере 2 символа нижнего регистра
- По крайней мере 2 символа верхнего регистра
- По крайней мере 2 цифры
- Должен изменяться каждые 60 дней
- Никакие слова словаря или имена пользователей
Здравый смысл предлагает, чтобы Вы не должны были помещать эти 2 числа и специальные символы вначале или конец, но вкрапили. При работе над этими инструкциями это подняло вопрос, действительно ли наличие таких сложных паролей стоило того. С паролями, столь сложными, кажется, что у них есть более высокая вероятность того, чтобы быть сохраненным как простой текст где-нибудь пользователя или записанный где-нибудь.
В персональном использовании я обычно иду менее строгий, чем те инструкции, но определенно никакие слова словаря или L33t не говорят.
У Bruce Schneier есть хорошая статья о нем, на основе того, что имеет компания, должна быть обычная практика у людей выбор паролей.
Править: О, для генерации пароля. Можно использовать инструменты, такие как KeePass, или Пароль, Безопасный к автоматическому, генерируют и хранят другой хороший пароль для логинов. Посмотрите этот вопрос для получения дополнительной информации.
Лично то, что я пытаюсь сделать для паролей, является первым, думают об относительно длинной незабываемой фразе и выполняют следующее преобразование на нем:
- Включайте всю однозначную пунктуацию и первую букву каждого слова
- Выполните капитализацию немецкого стиля (первое слово и все существительные / имена как прописные буквы), или инверсия...
- Замените некоторые слова или буквы с цифрами,
O->0,for/fore/four->4,one,an->1, и т.д.
В большинстве случаев это приводит к довольно безопасному и неотгадываемому паролю, который я могу легко восстановить сам на основе этих правил и запоминания фразы.
Например:
What are the guidelines for creation of a secure passwords?
Становится:
WatG4co1sP?
Обратите внимание, что эта схема может использоваться для создания паролей, которые соответствуют в значительной степени любым правилам, которые компания может иметь относительно минимальной длины, необходимых включенных символов, и т.д. Это также обладает дополнительным преимуществом, что, пока Вы выбираете схему кодирования, которую можно последовательно применять, потому что это имеет смысл Вам (для прописных букв, и специальных символов и цифр) затем, Вы не должны должны быть записывать что-либо на бумаге, избегая проблемы, где хакер смог находить Ваши пароли, просто взглянув вокруг Вашей рабочей области.
-
1+1, потому что я также использую эту технику для паролей это на самом деле, имеет значение. Я мог бы также взять его шаг вперед и заменить букву' '$' и подобными вещами. – Sasha Chedygov 30.07.2009, 10:26
grc.com имеет хорошую страницу, где можно получить сильные пароли.
-
1
Когда безопасность является основным фактором, я всегда включаю некоторые высокие символы ASCII.
Например, 154 Ü. Мало того, что эти символы значительно увеличивают количество времени, требуемое для атаки перебором, но большинства нападений, даже не сканируют тот диапазон символов и даже не иногда способны к нему.
Кроме того, очевидное:
- Дольше более безопасно.
- Соединение ниже и верхний регистр, числа, символы.
- Не основывайте его ни на каких словах словаря, именах собственных, ни известных значениях (т.е. акронимы).
-
1
Обсуждение в Diceware является интересным чтением.
Для создания высоких паролей значения и паролей, метод словаря как diceware's и хороший randomizer, таких как горстка игр в кости является довольно хорошим выбором.
Лично, я использую PasswordSafe, заблокированный сильным паролем, сгенерированным diceware техникой. Я позволяю PasswordSafe генерировать любой пароль, я нуждаюсь и обычно понятия не имею, чем они могли бы быть после того, как несколько минут передали. У меня есть копии безопасного файла в нескольких системах, таким образом, я не слишком волнуюсь по поводу всех яиц, находящихся в одной корзине. Большое преимущество состоит в том, что я никогда сознательно использую тот же пароль в двух целях.
Для персонального использования я действительно рекомендую хранить четкую копию пароля сейфа в безопасном месте, где это могло быть найдено Вашими наследниками...
Сайт SecurityStats имеет страницу, где можно попробовать пароль fu
Это дает Вам инструкции по лучшим паролям также.
- Microsoft также имеет подобную страницу средства проверки Пароля
- Другой подобный Метр Пароля
- Предложения поддержки Google - Выбор пароля и вопроса о безопасности
- Однако мне никогда не нравился угол вопроса о безопасности
Хорошее чтение на Блоге Google Enterprise на отслеживании безопасности пароля,
Вы могли поддержать счет на себя, где Вы проверяете преимущества своих паролей.
потому что система аутентификации Google Account непрерывно видит, что новые изменения пароля нападают со всего мира, мы можем оценить надежность пароля в режиме реального времени и помочь администраторам определить пароли, которые были относительно безопасны в прошлом, которые более уязвимы для последних шаблонов нападений
Этот сайт обрисовывает в общих чертах инструкции хорошо и позволит Вам тестировать, это - безопасность. Я думаю придумывающий Ваше собственное, будет более незабываемо затем сгенерированный также.
-
1Интересный, хотя тест, я не могу сказать, что соглашаюсь с его алгоритмом. Как случайный тест, я начинаю вводить в комбинации букв upp/low и чисел. Однажды у меня было 86%, затем ДОБАВЛЯЯ, что больше букв уменьшило мой счет вниз до 46%. Ха? – KTC 30.07.2009, 06:34
-
2KTC, это уменьшит Ваш счет, если у Вас будут повторные символы, последовательный верхний регистр/нижний регистр/числа, последовательные буквы/числа, и т.д. Но я действительно соглашаюсь с Вами, что даже добавление самого небезопасного пароля в конец уже безопасного пароля не может уменьшить, это - качество. – Travis 30.07.2009, 19:34
См. также Производителя Пароля. Это использует информацию, которую Вы предоставляете, включая семя, так, чтобы можно было генерировать уникальный пароль. Затем все, что необходимо сделать, помнят семя и выясняют те же значения данных, и Производитель Пароля генерирует тот же пароль для Вас позже.
Мои проблемы с паролями как этот - то, что их трудно ввести и тяжелее помнить. Лично у меня есть программа, названная gpw, который генерирует пароли от блоков слога, приводящих к паролю, который является обычно "почти" удобопроизносимым. Если Вы l33t-ify это, то добавите некоторую капитализацию и punctiation, то Вы закончите с чем-то немного более легким для запоминания, чем шум в линии, но довольно в безопасности от грубых садоводов.
Так, например, я сделал бы это:
$ gpw
ompartiz
tocycedt
psyllicu
doggiedu
Я выбрал бы тот, как который я люблю, затем превращаю его во что-то? D0ggid00