Best Practices für Kennwörter

Was können wir angesichts der jüngsten Ereignisse mit einem "Hacker", der Passwörter von Website-Administratoren lernt und erneut abruft , jedem empfehlen , was es mit Best Practices bei Passwörtern auf sich hat?

• Verwenden Sie eindeutige Passwörter zwischen Websites (dh verwenden Sie ein Passwort nie wieder).
• Wörter, die im Wörterbuch gefunden werden, sind zu vermeiden
• Erwägen Sie die Verwendung von Wörtern oder Phrasen aus einer anderen Sprache als Englisch
• Verwenden Sie Passphrasen und den ersten Buchstaben jedes Wortes
• Es hilft nicht sehr viel, zu tifizieren

Bitte schlagen Sie mehr vor!

• Verwenden Sie Passwörter, die nicht aus gebräuchlichen Wörtern oder Namen bestehen. Wörterbuchangriffe verwenden Wörterbücher mit Millionen von Wörtern und sind sehr schnell.

• Verwenden Sie lange Passwörter. Ich neige dazu , den Ball zu verwenden Phrasen . Ich wähle eine Phrase, einen Satz oder einen Reim aus und finde eine Möglichkeit, eine angemessene Anzahl von nicht alphanumerischen Zeichen zu verwenden, damit meine Wörter keine Wörterbuchwörter sind.

• Verwenden Sie nicht dasselbe Kennwort für mehrere Anmeldedienste. Nehmen Sie sich etwas Zeit, um eine Formel für die Auswahl von Passwörtern zu finden. Auf diese Weise können Sie viele verschiedene Kennwörter verwenden. Wenn Sie diese vergessen, können Sie sie möglicherweise mit einigem Aufwand neu erstellen.

• Wenn Sie müssen, schreiben Sie auf jeden Fall ein gutes, langes und sicheres Passwort auf und verstecken Sie es irgendwo. Das ist zumindest besser, als ein schwaches Passwort zu verwenden, an das man sich leichter erinnert.

• Wenn sich die obigen Vorschläge als nicht verwaltbar erweisen, verwenden Sie einen Passwortmanager mit einem langen, sicheren Passwort und verwenden Sie dann für alles andere Zufallskennwörter. Tragen Sie den Passwort-Manager auf einem verschlüsselten USB-Stick mit sich (natürlich gesichert).

Ich habe mehrere Probleme mit Passphrasen gefunden:

• Viele Websites haben eine Obergrenze für die Kennwortlänge - wie z. B. 20 Zeichen - es ist albern, aber was können Sie tun.
• Andere Sites erlauben keine Leerzeichen in Passwörtern.
• Das blinde Schreiben langer Texte ist fehleranfällig - insbesondere, wenn Sie kein guter Tipper sind.
• Das Eingeben einer Passphrase mit 50 Zeichen dauert erheblich länger als ein gutes Passwort mit 15 Zeichen.

Meine Lösung für dieses Problem bestand darin, Passphrasen als Mnemonik für das eigentliche Passwort zu verwenden. Zum Beispiel könnte ich ein paar Zeilen eines großartigen Gedichts von William Henry Davies (76 Zeichen) auswählen:

Keine Zeit zu sehen, wann Wälder vorbeiziehen,
wo Eichhörnchen ihre Nüsse im Gras verstecken.

Und ich würde die ersten Buchstaben von jedem Wort auswählen und das folgende ziemlich gute 16-Zeichen-Passwort erstellen:

Nttswwwp,Wshtnig

Die Verwendung von Gedichten ist besonders gut, da Sie sich leichter daran erinnern können, und wenn Sie aufgefordert werden, das Kennwort zu ändern, können Sie einfach die nächsten paar Zeilen eines Gedichts auswählen.

Wenn Sie anderen Benutzern ein Kennwort-Regime diktieren, müssen sie nicht nur eindeutige, länger als ein Schwellenwert dauernde Zeichen verwenden, gemischte Groß- und Kleinschreibung und Sonderzeichen enthalten usw. Wenn Sie dies nicht tun, werden die Benutzer die Passwörter aufschreiben oder andere, unsichere Wege finden, um sie sich zu merken.

Wenn Sie Probleme haben, sich Kennwörter zu merken, verwenden Sie einen bekannten Text. Wählen Sie einen Satz aus, verwenden Sie den n- ^ten Buchstaben jedes Wortes als Passwort, und behalten Sie die Zeichensetzung bei. (zB Passwort generiert von 1 ^st Schreiben ersten Satz dieser Antwort könnte „Iyhtrp, uswkt“ sein . ). Sie können es stärker machen, indem Sie einige in Großbuchstaben ändern und einige Sonderzeichen hinzufügen.

Verwenden Sie kein Passwort, da liegen Sie an erster Stelle falsch. Verwenden Sie entweder eine zufällige Sammlung von Zeichen (mindestens 8) oder eine Passphrase. Sie können eine Formel zum Generieren einer anderen Passphrase für jede Site erstellen, z. B. ILikeStackOverflowOnions oder ILikeServerFaultOnions. Dies schützt Sie vor Außenstehenden, kann jedoch weiterhin Probleme verursachen, wenn die eigentliche Site gehackt wird und die Kennwörter nicht gesalzen sind oder wenn der Administrator an erster Stelle beschädigt wurde.

Ändern Sie Ihr Passwort regelmäßig. Wo ich arbeite, ist es ein 30-Tage-Zyklus. Es ist ein PITA, aber es reduziert den Wert von gehackten Passwörtern auf ein begrenztes Zeitfenster. Zusätzlich zu einer komplexen AD-Kennwortrichtlinie muss diese mindestens 8 Zeichen lang sein und obere, untere, numerische und Symbole enthalten.

Ergänzend nutzen wir einen Self-Service-Passwort-Manager. Es stellt eine benutzerdefinierte Windows-GINA bereit, mit der der Benutzer sein Kennwort zurücksetzen kann, wenn er es vergisst, oder es entsperren kann, wenn er es zu oft gepatzt hat. Für die Kennwort-Manager-App muss sich der Benutzer beim Dienst anmelden. Geben Sie eine Reihe persönlicher Informationen an, von denen er nur weiß, dass sie später als Fragen verwendet werden, wenn der Benutzer das Kennwort zurücksetzen oder sein Konto entsperren muss.

Ich glaube, Passwörter sollten generiert werden, anstatt vom Benutzer ausgedacht zu werden. Dies vermeidet all diese albernen Probleme mit leicht zu erratenden Passwörtern.

Ich benutze gerne pwgen , das wie Passwortlisten generiert

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

Aber wirklich jedes PW-Erzeugungsprogramm wird es tun. Ein Vorteil von pwgen ist, dass es versucht, die Passwörter (etwas) einprägsam zu gestalten, indem es einige Vokale enthält.

Etwas anderes als (Quelle dailywtf.com):

1. Verwenden Sie sichere Passwörter.
2. Passwörter nicht wiederverwenden.
3. Verwenden Sie unter Berücksichtigung von Nummer 2 ein Tool wie PwdHash angesichts der überwältigenden Unterschiede zwischen den Konten.

Halten Sie sich von diesen Top 500-Passwörtern fern .

Lange, komplexe Passwörter bieten eine gute Sicherheit, im Grunde genommen starke Passwörter , verwenden aber definitiv unterschiedliche Passwörter für alle Benutzerkonten.

Verwenden Sie ein Tool wie SuperGenPass , um eindeutige Kennwörter für Websites zu generieren, für die Sie angemeldet sind.

Hak5 hat gerade eine Episode gemacht , in der ein Tool von Remote Exploit demonstriert wurde , das eine Reihe von Zeichenfolgen verwendet und ein Wörterbuch mit allen Kombinationen, Groß- und Kleinbuchstaben, Kleinbuchstaben usw. erstellt andere Informationen, die Sie über das Ziel wissen. Das erzeugte Wörterbuch kann als Eingabe verwendet werden, um ein schwaches Kennwort zu erzwingen.

Moral: Vermeiden Sie die Verwendung persönlicher Informationen in Ihrem Passwort

Wenn Sie Wörter oder Ausdrücke in einer anderen Sprache als Englisch kennen , können Sie diese als Teil Ihres Passworts verwenden. Zum Beispiel verwende ich häufig japanische Wörter als Teil meiner Passwörter, um Wörterbuchangriffe abzuwehren und sie dennoch zu speichern (im Gegensatz zu zufällig generierten Passwörtern).

Ich habe angefangen, Password Safe , das ursprünglich von Bruce Schneier entwickelt wurde, zum Speichern von Web-Passwörtern zu verwenden. Ich habe eine sehr starke Passphrase im Passwort-Safe, und alle anderen Passwörter werden automatisch generiert und auf Websites nie wieder verwendet.

Die Software hat auch Funktionen wie ablaufende Passwörter und dergleichen.

Ich halte das (angesichts der starken sicheres Passwort) der beste Kompromiss und sicherste Ansatz für Website - Passwörter sein.

Für Familie und Freunde sage ich normalerweise, dass es cool ist, Sachen wie Haustiernamen und Mädchennamen von Müttern und solche Sachen zu verwenden, solange die folgenden zwei Dinge passieren:

• Verketten Sie mindestens zwei Namen (z. B .: Mädchenname der Mutter + Name des Haustiers)
• Großbuchstaben und Sonderzeichen einbeziehen.

Wählen Sie beim Einrichten der obligatorischen Kennwortablaufdauer einen Faktor von 7 anstelle eines Blockes von Tagen (z. B. 30 oder 60 Tage).

Der Ablauf von 30 Tagen kann dazu führen, dass der Benutzer sein Kennwort an Feiertagen oder am Wochenende ändern muss und eine Überraschung erleben muss, wenn er am nächsten Tag zur Arbeit kommt.

Wenn Sie die Gültigkeitsdauer auf den Faktor 7 festlegen, wird sichergestellt, dass das Datum der Kennwortänderung auf den Wochentag der vorherigen Änderung fällt.

Wenn Sie mehrere Sites für dieselbe Nutzerbasis haben, muss ich dringend eine Form der einmaligen Anmeldung (wie Shibboleth) vorschlagen. Wenn Benutzer unterschiedliche Kennwörter für mehrere Websites haben, haben sie häufig Probleme, sich an alle zu erinnern. Ein oder zwei Passwörter können sich die meisten Benutzer leicht merken, drei können sie an einem geheimen Ort notieren. Bei mehr als vier kann der Benutzer sie einfach auf einen Post-It-Zettel schreiben und auf den Schreibtisch oder den Monitor auftragen.

Passwörter müssen nicht übermäßig komplex sein, obwohl sie komplex genug sein müssen, um den ersten oder zweiten Versuch zu verhindern. Solange Ihr System / Ihre Standorte über eine Sicherheitsmaßnahme verfügen, die die Anzahl der Anmeldeversuche begrenzt, müssen die Kennwörter nicht zu komplex sein.

Wenn Ihre Systeme beispielsweise maximal 3 Anmeldeversuche pro Stunde ausführen, ist ein grundlegendes Kennwort wie "Cindy65" mehr als komplex genug. Während der Hacker vielleicht weiß, dass der wirkliche Name des Benutzers Cindy ist, würde er wirklich nie wissen, dass sie 1965 geboren wurde. Seine Versuche wären natürlich "Cindy", " l Astname", "Cindy", L Astname ", wenn auch so Mal ist er gesperrt.

Dies mag ein simpler Fall und ein einfaches Passwort sein, aber es ist alles, was wirklich benötigt wird, wenn Sie als Administrator alles auf der richtigen Serverseite eingerichtet haben. Wir können auch nach etwas komplexeren Passwörtern fragen, die leicht zu merken sind, z. B. nach einer zufälligen Tastenkombination. Symbole und Großbuchstaben helfen ebenfalls sehr.

Wir müssen uns nur daran erinnern, je schwerer wir es für den Benutzer machen, desto wahrscheinlicher ist es, dass er es öffentlich aufschreibt.

Eine Sache, zu der ich meine Benutzer immer gerne auffordere, ist, ihren Namen zusammen mit dem Namen eines Medikaments, das sie einnehmen, Lieblingsessen, den Namen der besten Freunde usw. zu schreiben.

Beispiele: CindyProzac, WilliamCodene, JoePetertherabbit

Viel Glück.

Schreib es nicht auf. Und wenn Sie dies tun, legen Sie es in einen Safe. Und schreiben Sie diese Kombination auch nicht auf.

Wenn die Sicherheitsanforderungen wirklich streng sind, würde ich versuchen, die Verwendung von Passwörtern zu vermeiden, wo immer dies möglich ist. Denken Sie an die Verwendung von SSH-Schlüssel-basierter Authentifizierung, Client-Zertifikaten auf Smartcards usw. Es erfordert jedoch viel Geschick und Budget, damit dies ordnungsgemäß funktioniert. Daher sollte eine ordnungsgemäße Risikobewertung durchgeführt werden.

Wenn Sie sich dazu entschließen, sich an Passwörter zu halten, befolge ich den Rat von capar und lexu.

Einschränkungen der Passwortlänge sind albern. (Das Beschränken von Passwörtern auf 6-8 Zeichen ist üblich, macht aber auf modernen Systemen keinen Sinn.)

Das Erfordernis häufiger Kennwortänderungen ermutigt Benutzer, ihre Kennwörter aufzuschreiben und einfachere zu wählen. Dies ist ein Kompromiss zwischen Bedrohungen, und Sie müssen überlegen, welche Bedrohung relevanter ist.

Es macht keinen Sinn, von einem Benutzer zu verlangen, dass er "Sonderzeichen" in einem Kennwort mit genau 8 Zeichen enthält, anstatt ein Kennwort mit 30 Zeichen zuzulassen, das nur aus Buchstaben besteht.

Geben Sie Benutzern kein offensichtliches Passwort und bitten Sie sie, es zu ändern. Sie werden nicht. Entweder müssen sie es bei der ersten Anmeldung ändern, ein sicheres Passwort für sie auswählen und wissen, dass sie es aufschreiben werden, oder sie müssen ein sicheres Passwort vor sich auswählen.

Wir schulen unsere Benutzer darin, Passwörter zu wählen und den ersten Buchstaben jedes Wortes zu verwenden.
WTOUTPPAUTFLOEW - fügen Sie eine Null oder eine 3 hinzu (Leetifying), variieren Sie die Feststelltaste ein paar Mal und Sie haben etwas, das kein Wörterbuch jemals herausgreifen wird, an das Sie sich aber trotzdem leicht erinnern können.

Achten Sie jedoch darauf, dass Sie das Kennwort nicht in eine Passphrase ändern, die auf dem Firmenslogan / der Vision usw. basiert.

Um zu verhindern, was mit diesem Website-Administrator passiert ist, und vorausgesetzt, Sie haben Zugriff auf eine Unix-Shell oder Cygwin, können Sie verwenden

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

und überprüfen Sie diesen Wert anhand einer MD5-Datenbank wie http://gdataonline.com/ . Stellen Sie sicher, dass es dort nicht angezeigt wird.

Hier ist auch ein Beispiel für ein reineres MD5-Wörterbuch, das ich durch einfaches Durchsuchen des Hash-Werts (Warnung: große Datei) erhalten habe: https://secure.sensepost.com/sp-hash/jebwy