ti-enxame.com

Melhores práticas de senha

Dados os recentes eventos com A 'hacker' aprendendo e voltando as senhas dos administradores do site , o que podemos sugerir a todos sobre as melhores práticas quando se trata de senhas?

  • use senhas exclusivas entre sites (i.e. Nunca reutilize uma senha)
  • palavras encontradas no dicionário devem ser evitadas
  • considere usar palavras ou frases de um idioma não inglês
  • use frases passeas e use a primeira letra de cada palavra
  • l33tificando não ajuda muito

Por favor, sugira mais!

30
p.campbell
  • Use senhas que são não compostas de palavras ou nomes comuns. Os ataques de dicionário usam dicionários com milhões de palavras e são muito rápidos.

  • Use senhas longas. Eu costumo usar o passe frases. Eu escolho uma frase, frase ou rima e acho que alguma maneira de usar um número justo de caracteres não alfabéticos para que minhas palavras não sejam palavras de dicionário.

  • Não use a mesma senha para vários serviços de login. Leve algum tempo para criar uma fórmula para escolher passphrases. Isso permite que você use muitas senhas diferentes que, se esquecidas, você poderá recriar com alguma tentativa e erro.

  • Se você precisar, por todos os meios, escreva uma senha boa, longa e segura para baixo e escondê-lo em algum lugar. Que pelo menos é melhor do que usar uma senha fraca que é mais fácil de lembrar.

  • Se as sugestões acima provarem incontroláveis, use um gerenciador de senhas com uma senha segura longa e use senhas de caracteres aleatórios para todo o resto. Leve o gerenciador de senha com você em uma unidade flash USB criptografada (backup, é claro).

25
Arnold Spence

Eu encontrei vários problemas com passphrases:

  • Muitos sites têm limite superior para o comprimento da senha - como 20 caracteres - é bobo, mas o que você pode fazer.
  • Outros sites não permitem espaços nas senhas.
  • Digitar textos longos cegamente é propenso a erros - especialmente quando você não é bom touch-typons.
  • Digitar 50-char senha demora um pouco mais do que uma boa senha de 15 caracteres.

Minha solução para este problema foi usar passphrases como uma mnemônica para a senha real. Por exemplo, eu poderia escolher algumas linhas de grande poema de William Henry Davies (76 caracteres):

Não há tempo para ver, quando madeiras passamos,
[.____] Onde os esquilos escondem suas nozes na grama.

E eu escolheria as primeiras letras de cada palavra, criando a seguinte senha de 16 caracteres muito boa:

Nttswwwp,Wshtnig

Usar a poesia é especialmente bom, porque é mais fácil lembrar e quando você é solicitado a alterar a senha, você pode apenas escolher as próximas linhas de um poema.

7
Rene Saarsoo

Se você tiver problemas para lembrar senhas, use algum texto bem conhecido. Escolha uma frase, use nº carta de cada palavra como senha, mantenha a pontuação. (por exemplo, senha gerada a partir de 1st Cartas da primeira frase desta resposta podem ser "iyhtrp, USWKT"). Você pode tornar mais forte alterando alguns para maiúsculas e adicionando alguns caracteres especiais.

4
vartec

Ao ditar um regime de senha para os outros, não exija apenas que eles usem exclusivos, mais longos que um limite, contenham caixa mista, caracteres especiais, etc., mas também educar o usuário sobre gerentes de senha ou esquemas para construir/lembrar essas senhas. . Se você não fizer isso, os usuários escreverão as senhas ou encontrarem outras maneiras inseguras de "lembrar".

4
lexu

Não use uma senha, é aí que você está errado em primeiro lugar. Use uma coleção aleatória de caracteres (mínimo 8) ou uma frase secreta. Você pode criar uma fórmula para gerar uma frase secreta diferente para cada site, por exemplo, ilikestackoverflowoniononions ou iLikeserverFaultonions; Isso mantém você seguro contra pessoas de fora, no entanto, ainda pode causar problemas se o site real for hackeado e as senhas não são salgadas, ou se o administrador estiver corrompido no primeiro lugar.

3
Adam Gibbins

Qualquer coisa diferente de (Fonte Dailywtf.com):

alt text

3
sucuri

Eu acredito que as senhas devem ser geradas, em vez de pensar pelo usuário. Isso evita todos os problemas bobos com senhas fáceis de adivinhar.

Eu gosto de usar Pwen , que gera listas de senha como

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

mas realmente qualquer programa de geração PW fará. Uma vantagem do Pwen é que tenta fazer as senhas (um pouco) memorável, incluindo algumas vogais.

3
sleske

Altere sua senha regularmente. Onde eu trabalho, é um ciclo de 30 dias. É uma pita, mas mitiga o valor de senhas hackeadas a uma janela de tempo limitada. Isso, além de uma política de senha do anúncio complexa, dita que precisa ser pelo menos 8 caracteres, contenha superior, inferior, numérico e símbolos.

Para complementar, usamos um serviço de gerenciador de senhas de autoatendimento. Ele fornece um Windows Gina personalizado que fornece funcionalidade para permitir que o usuário redefina sua senha se eles esquecerem, ou desbloqueá-lo se eles gostassem de muitas vezes. O aplicativo do Gerenciador de Senhas requer que o usuário se inscreva no serviço, forneça um monte de informações pessoais que saberia que é usado posteriormente como perguntas quando o usuário precisa redefinir a senha/desbloquear sua conta.

3
spoulson

Use uma ferramenta como supergenass para gerar senhas exclusivas para quaisquer sites que você tem um login.

2
Alex Angas

Hak5 acabou de fazer um episódio Demonstrando uma ferramenta de Exploit remoto que leva uma série de strings e gera um dicionário de todas as combinações, parte superior, inferior, leet ortografia, etc. Dê uma entrada como o nome do alvo, os nomes da criança, os dores de nascimento ou outras informações que você conhece sobre o alvo. O dicionário que gera pode ser usado como entrada para força bruta uma senha fraca.

Moral: Evite usar informações pessoais em sua senha

2
spoulson

Se você conhece palavras ou frases em A Idioma não Inglês, você pode usar isso como parte de sua senha. Por exemplo, geralmente uso palavras japonesas como parte de minhas senhas que se afasta ataques de dicionário ainda me permite lembrar deles (em oposição a senhas geradas aleatoriamente).

2
Chris Gillum
  1. Use senhas fortes.
  2. Não reutilize senhas.
  3. Em consideração do número 2, use uma ferramenta como pwdhash em face de contas díspares esmagadoras.
2
jldugger

Fique longe disso top 500 piores senhas .

Senhas longas e complexas oferecem boa segurança, basicamente senhas fortes , mas definitivamente use senhas diferentes para todas as contas de usuário.

2
TStamper

Comecei a usar senha segura , que foi originalmente projetada por Bruce Schneier, para armazenar qualquer senha da Web. Eu tenho uma frase de frase muito forte na senha segura e todas as outras senhas são geradas automaticamente e nunca reutilizadas em sites.

O software também possui recursos como esperar senhas e similares.

Eu considero isso (dado o forte senha segura) para ser a melhor trade-off e abordagem mais segura das senhas do site.

2
Martin C.

Se você tiver vários sites para a mesma base de usuário, então devo sugerir alguma forma de sinal único (como shibboleth). Quando os usuários têm senhas diferentes para sites de múltiplas, eles tendem a ter problemas para lembrar todos eles. Uma ou duas senhas são facilmente lembram-se da maioria das pessoas, três o usuário podem escrevê-las em um local secreto. Se mais, em seguida, quatro o usuário poderá apenas escrevê-los todos em um post-it note e aplique-o à mesa ou monitor.

As senhas não precisam ser excessivamente complexas, embora precise ser complexas o suficiente para evitar a primeira ou a segunda tentativa. Contanto que o seu sistema/sites tenha algum tipo de medida de segurança que limita o número de tentativas de login, as senhas não precisam ser complexas.

Como exemplo, se seus sistemas tiverem um limite de 3 tentativas de logon por hora, uma senha básica, como "cindy65", é mais complexa o suficiente. Enquanto o hacker pode saber que o nome real do usuário é Cindy, ele realmente nunca saberia que ela nasceu em 1965. Suas tentativas seriam naturalmente "Cindy", "l ASTNAME", "Cindy", "Cindy", L ASTNAME ", embora por esse tempo ele esteja bloqueado.

Embora isso possa ser um caso simplista e uma senha simples, é tudo o que é realmente necessário se o administrador configurasse tudo o lado do servidor correto. Também podemos pedir senhas ligeiramente mais complexas que é fácil de lembrar, como uma combinação aleatória de chaves. Símbolos e letras maiúsculas também ajudam muito.

Nós só precisamos lembrar, mais difíceis de fazermos no usuário, mais provável é que eles vão escrevê-lo em público.

Uma coisa que eu sempre gosto de pedir aos meus usuários que façam é escrever seu nome concatenado com o nome de uma medicação em que estão, alimentos favoritos, nome dos melhores amigos, etc. Essas combinações de palavras de dicionário, enquanto simplistas são quase impossíveis de rachar.

Exemplos: Cindyprozac, Williamcodene, Joepetertherabbit

Boa sorte.

1
Recursion

Ao instituir o período de expiração de senha obrigatória, escolha um fator de 7, em vez de um bloco de dias (por exemplo, 30 ou 60 dias).

O resultado da expiração de 30 dias pode ser que o usuário seja necessário para alterar sua senha em um feriado ou fim de semana, e pode ter uma surpresa quando eles entrarem no trabalho no dia seguinte.

Se você fosse colocar a escala de expiração para um fator de 7, isso garantiria que a data de mudança de senha caia no mesmo dia da semana como a alteração anterior.

1
p.campbell

Para a família e os amigos, costumo dizer que é legal usar coisas como nomes de animais de estimação e nome de solteira e outras coisas, desde que as duas coisas seguintes acontecessem:

  • concatenar pelo menos dois nomes (ex: Nome de Maiden Mães + Nome dos Animais)
  • incorporar caracteres maiúsculos e especiais.
1
Christian Hagelid

Se os requisitos de segurança estiverem realmente apertados, eu tentaria evitar o uso de senhas sempre que possível. Pense usando a autenticação baseada em chaves SSH, certificados de cliente em cartões inteligentes, etc. É preciso muita habilidade e orçamento para fazer isso funcionar corretamente, portanto, uma avaliação de risco adequada deve ser feita.

Se você decidir ficar com senhas, eu seguiria o conselho de CAPAR e LEXU.

0
Vincent De Baere

Restrições ao comprimento da senha são bobas. (Restringir senhas para entre 6-8 caracteres é comum, mas não faz sentido nos sistemas modernos).

A necessidade de alterações freqüentes de senha incentiva os usuários a anotarem suas senhas e escolherem as mais simples. Esta é uma trade of ameaça, e você deve considerar qual ameaça é mais relevante.

Exigir que um usuário contenha "caracteres especiais" em uma senha exatamente de 8 caracteres, em vez de permitir que uma senha de 30 caracteres consistindo apenas em letras, não faz sentido.

Não dê aos usuários uma senha óbvia e peça que eles mudam. Eles não vão. Ou exija que eles o alterem no primeiro login, selecione uma senha forte para que eles saibam que eles vão escrevê-lo ou fazê-los selecionar um forte na sua frente.

0
carlito

Não escreva. E se você fizer, coloque em um cofre. E não escreva que COMBO.

0
Sophie Alpert