Was ist eine vernünftige und sichere Passwortanforderung für die Benutzerregistrierung?

Dies ist die Passwortrichtlinie, die ich gerade von UPS erhalten habe (nur zur Überprüfung des Paketstatus):

Ihr Passwort muss zwischen 8 und 26 Zeichen lang sein. Es muss mindestens drei der folgenden Zeichentypen enthalten: Kleinbuchstaben, Großbuchstaben, Ziffern, Sonderzeichen oder Leerzeichen. Das Passwort enthält möglicherweise nicht Ihre Benutzer-ID, Ihren Namen oder Ihre E-Mail-Adresse. (SSO_1007)

Ich muss mein Gehirn tatsächlich etwas erschüttern, um dieses Passwort zu generieren, aber nicht nur das, vor allem bin ich mir sicher, dass ich nach 3 Tagen vergessen werde, was dieses Passwort ist. Benutzer werden nicht so glücklich sein. Das Zurücksetzen des Passworts kann häufig sein. Ich denke, Benutzer werden versuchen, die Nutzung der Website zu vermeiden, es sei denn, sie müssen.

Was ist eine vernünftige und sichere Passwortrichtlinie beim Einrichten einer Website? Ich denke, einige Unternehmen befürchten möglicherweise, dass einige Hacker Millionen Mal oder öfter Passwörter versuchen, und fügen daher all diese Anforderungen für "Sonderzeichen, Kleinbuchstaben, Großbuchstaben" hinzu, aber es ist nicht sinnvoll, das Konto zu deaktivieren oder einfach das zu deaktivieren Passwort und erfordern ein Zurücksetzen des Passworts, wenn ein Benutzer 30 Mal oder 100 Mal versucht hat? Oder fügen Sie jedes Mal eine Verzögerung von 5 Sekunden hinzu, nachdem der Benutzer es 30 Mal versucht hat? Wenn ja, werden diese Sonderzeichen nicht so dringend benötigt.

Um ehrlich zu sein, empfinde ich strenge Passwortanforderungen als Ärger und nicht als Vorteil. Ich würde in der Regel sagen, dass es am sinnvollsten ist, nur eine Länge anzugeben, möglicherweise Sonderzeichen + alphanumerische Zeichen. Alles andere fordert die Leute auf, ihr Passwort aufzuschreiben, was den ganzen Zweck, sichere Passwörter zu haben, zunichte macht. Ich hasse es auch, Ihr Passwort alle x Tage mit den üblichen lächerlichen Regeln ändern zu müssen (z. B. können die letzten 25 Passwörter nicht wiederverwendet werden) - wieder ist alles, was die Leute dazu zwingt, das Ding aufzuschreiben, damit sie es nicht vergessen An diesem Punkt können Sie genauso gut gar nicht nach einem Passwort fragen.

Meiner Meinung nach sollten Passwörter nur eine Längenanforderung haben. Sie möchten nicht, dass jemand "a" als Passwort eingibt. Und wie die xkcd-Antwort zeigt, ist ein extrem schwer zu merkendes Passwort nicht immer so sicher. Erlauben Sie immer, dass Personen auch ihr Passwort ändern. Und vergessen Sie den Mist "Sie können keine der Zeichen verwenden, die in Ihrem vorherigen Passwort enthalten sind".

Das Erstellen einer obszönen Kennwortrichtlinie kann mehr schaden als nützen. Am College ging ich zu der Passwortrichtlinie, die der UPS-Richtlinie ähnlich war UND die Sie alle 2 Wochen ändern mussten UND die Sie zuvor nicht verwenden konnten. Meine Lehrer haben uns daher beim Einrichten von Konten empfohlen, unser reguläres Passwort zu verwenden, das den Regeln entspricht, und am Ende einen Zähler hinzuzufügen und in Ihr Passwort einen Hinweis auf die Zählernummer einzugeben.

Außerdem wird eine strenge Kennwortrichtlinie nichts tun, wenn Ihre Nur-Text-Datenbank von einem SQL-Injection-Fehler gehackt wird ... oder wenn Sie Kennwörter per E-Mail an Ihre Benutzer senden und diese abgefangen werden.

Machen Sie Ihr Passwortsystem für Ihre Benutzer grundsätzlich nicht zu einem Problem, da es sie sonst dazu ermutigt, unsichere Dinge zu tun, damit sie es umgehen können. Wenn mein Unternehmen beispielsweise einen dedizierten Server aus einem Rechenzentrum bezieht, hat es uns Kennwörter mit einer Länge von 20 Zeichen eingerichtet. Sie waren zu sicher, um per E-Mail an uns gesendet zu werden, und mussten gefaxt werden. Wir konnten die Passwörter nicht ändern, sondern nur die Generierung eines neuen 20-stelligen Passworts anfordern. Und das war für jeden Benutzer so. Am Ende haben wir also nur ein Textdokument mit dem Passwort auf unseren Desktops erstellt. Außerdem verwenden wir sie nicht mehr, weil sie bei aller "Sicherheit" wirklich ziemlich unsicher waren.

Stellen Sie sicher, dass Leerzeichen vorhanden sind. Jeder, den ich kenne, kann kurze Phrasen schneller eingeben als den ersten Buchstaben jedes Wortes in der Phrase. Versuchen Sie zB zu tippen Bird in a Treeund dann BiaT. Dies hat den Vorteil, dass es sich nicht offensichtlich um ein Passwort handelt , wenn Sie einen vage funktionierenden Satz wie pick Up milkoder Meetings all dayauf eine Haftnotiz schreiben .

Ich bin kein großer Fan der Regeln "Sie müssen Zahlen und Symbole haben", aber wenn Sie sie konsequent anwenden (z. B. ich bin immer 1, a ist immer @), können Sie trotzdem die englische Phrase auf den Sticky schreiben, anwenden Geben Sie die Regeln ein, die nur Ihnen bekannt sind, und geben Sie sie B1rd in @ treein das Kennwortdialogfeld ein. Aus Sicherheitsgründen fügen die Zahlen und Symbole nicht viel hinzu, aber sie müssen Sie als Benutzer nicht verrückt machen.

Websites mit maximaler Passwortlänge machen mich nervös, wenn meine nette Phrase als "zu lang" eingestuft wird. 26 scheint vernünftig. Ich verstehe, dass jemand die Breite der Säule entwerfen muss, aber 12 ist einfach nur dumm kurz.

Sicher gegen bequem

Die Sicherheitsrichtlinie eines Kennworts sollte den Kompromisskosten angemessen sein. Wenn Ihre Website vor meinem Finanzkonto liegt, möchte ich einen strengen Passwortschutz. Wenn es sich um eine Nischen-Fanseite über Autobots handelt, brauchen Sie nicht viel Schutz.

Die USV-Regeln sind angemessen mit Ausnahme von:

• Die maximale Länge ist viel zu klein. Sie sollten die Verwendung von Passphrasen erleichtern, die leichter zu merken und sicherer sind.

Ich habe das Zurücksetzen nach X Versuchen in den angegebenen Regeln nicht gesehen. Ich denke, das ist in den meisten Fällen albern. Ich denke, Sie sind besser dran, jemanden für einen bestimmten Zeitraum auszusperren, als einen Reset zu erzwingen. Dies setzt ein gewisses Maß an Sicherheit voraus. Wenn dies nicht erforderlich ist, ist dies nicht der Fall und das Sperren / Zurücksetzen ist ein strittiger Punkt.

Es gibt viele Kennwortrichtlinienregeln, die bestenfalls marginale Sicherheitsvorteile bieten. Es gibt jedoch auch Regeln, die echte, greifbare Vorteile für die Sicherheit Ihres Passworts haben.

Regeln (und die Gründe):

• minimale Länge

Verhindert einen kombinatorischen Versuch und Irrtum, bei dem sehr kurze Passwörter schnell beschädigt werden.

• Verbot der Verwendung eines einzelnen englischen Wortes (oder einer anderen Sprache)

Dies verhindert Wörterbuchangriffe.

• erzwungene Aufnahme verschiedener Kategorien (dh gemischter Fall, Zahlen, Interpunktion)

Dies erhöht den durchschnittlichen Angriffsraum.

All diese Gründe lassen sich auf die Minimierung der Vorurteile des Benutzers bei der Auswahl von Passwörtern zurückführen. Die meisten Benutzer sind voreingenommen, kürzere, leicht zu merkende Passwörter zu erstellen. Leider ist das Passwort dadurch normalerweise leichter anzugreifen. Was die meisten Benutzer benötigen, sind Anweisungen zum Erstellen sicherer, einprägsamer Kennwörter oder einer längeren Passphrase.

Sichere einprägsame Passwörter

Wenn ich ein Passwort mit einer Längenbeschränkung erstellen muss, beginne ich immer mit einer Phrase, damit ich eine eingebaute Mnemonik habe. Ich nehme die Phrase und bekomme von jedem Wort das gleiche Positionszeichen. Ich habe jetzt eine Folge von nur Zeichen. Ich wähle dann die Großschreibung, einige basierend auf Eigennamen in der Phrase oder nach Muster (erster und letzter, jeder zweite Buchstabe usw.). Ich füge dann Interpunktion und Zahlen hinzu, die auf einer beliebigen Regel oder einem beliebigen Muster basieren. (dh alle 'j' s sind 7, wobei '&' verwendet wird, wobei die Phrase ein 'und' enthält, usw.).

Mama, habe gerade einen Mann getötet. Lege eine Waffe gegen seinen Kopf. Ich habe meinen Abzug gedrückt, jetzt ist er tot.

Satz von Königin zur Verfügung gestellt

1. mjkampagahhpmtnhd - erster Buchstabe jedes Wortes
2. MjkamPagahhPmtnhd - Das Gehäuse entspricht dem Gehäuse der Phrase
3. Mjk0mP0g0hhPmtnhd - 'a' in 0 geändert
4. Mjk0mP0g0 () Pmtnhd - hat 'seinen Kopf' in () geändert

Nachdem ich es ein paar Mal eingegeben habe, wenn ich an den Satz denke, werde ich nie Probleme haben, mich daran zu erinnern.

Ihr Passwort muss zwischen 8 und 26 Zeichen lang sein

Das Mindestkennwort mit einer Länge von 8 Zeichen ist ein Erbe von Lan Manager. Lan Manager hat Passwörter gehasht, indem er sie in zwei Zeichenfolgen mit 7 Zeichen aufgeteilt und dann gehasht hat. Indem sie mindestens 8 Zeichen benötigten, stellten sie sicher, dass das 2. Wort nicht mit einem leeren Passwort identisch war (es gab kein Salz, sodass jede Instanz von 7 Leerzeichen zum gleichen Ergebnis führte).

Ich bin sicher, dass ich nach 3 Tagen vergessen werde, was dieses Passwort ist.

Ich habe aufgegeben, die Regeln sind so albern und lächerlich, dass ich sie jetzt aufschreibe. Alle außer den wenigen, die ich für Websites verwende. Mein aktueller Arbeitgeber verfolgt auch die letzten 24 verwendeten Passwörter, damit sie nicht recycelt werden können, und das Passwort kann kein englisches Wort mit mehr als 3 Zeichen (vorwärts oder rückwärts) enthalten. Es stellt auch sicher, dass Sie kein vorheriges Wort verwenden und eine Zahl als Teil davon erhöhen (wenn Sie also P4ssw0rd1verwendet würden, könnten Sie weder verwenden P4ssw0rd2noch P4ssw0rd0).

Ich habe meine Lektion auf die harte Tour im Büro gelernt, als ich ein Passwort ändern musste. Es dauerte 45 Minuten, bis das System einen Ersatz akzeptierte. Dann vergaß ich sofort, was ich mir ausgedacht hatte, und musste es zurücksetzen und weitere 45 verschwenden Minuten, in denen ich versuchte, etwas zu bekommen, an das ich mich erinnern konnte, das komplex genug war, um die Anforderungen zu erfüllen (einige der Anforderungen sind oben aufgeführt, andere nicht und andere nicht). Es macht nicht viel Spaß, etwas zu finden, das Regeln entspricht, die Sie nicht kennen dürfen. Zumindest bei Spielen wie Mastermind erhalten Sie Hinweise darauf, wie nahe Sie kommen. Im Büro dürfen einige Leute eine Smartcard benutzen , ich bin keiner von ihnen.

Die Verwendung von bcrypt beim Speichern des Passworts ist ein guter erster Start, einfach weil es Brute-Force-Hacking-Versuche unmöglich macht.

Vernünftig und sicher schließen sich gegenseitig aus. Sie sind zwei Enden einer Stange. Am besten ist es, ein Gleichgewicht in der Mitte zu finden. Zu weit in Richtung Sicherheit und Leute schreiben die Passwörter auf oder verwenden die völlig unsichere Funktion zum Entsperren von Passwörtern.

Das obige Beispiel scheint eher sicher als vernünftig zu sein. Ich habe schlimmer gesehen.

Ich neige lieber zum Vernünftigen. Der Schlüssel ist, sich in Richtung der Sicherheit in Ihrem Back-End zu lehnen. Speichern Sie so wenig wie möglich, verwenden Sie Salze usw. Die neuesten empfohlenen Methoden zum Codieren der Kennwörter in Ihre Datenbank und zum Codieren in eine Richtung. Bewahren Sie dann Ihre Datenbank und Ihren Code sicher auf. Trainieren Sie auch alle Personen mit Administratorrechten für Ihr System, die ein eindeutiges sicheres Kennwort verwenden müssen. Kürzlich wurde gezeigt, dass das Aneinanderreihen mehrerer Wörterbuchwörter sicherer ist als das Ziehen von Sonderzeichen und Groß- / Kleinschreibung. Es erforderte zusammengesetzte Wörterbuchübereinstimmungen, die sich für Hacker wirklich zeitlich summieren, diese waren jedoch für Benutzer immer noch einprägsam.

Kein Wörterbuchwort oder eine triviale Variation davon. Das ist es. Ein Bündel von zwei Wörterbuchwörtern ist so gut wie unknackbar. Ein Einzelbuchstabenersatz für ein Zeichen, das kein offensichtlicher Ersatz ist (0-O, 1-I, 5-S).

Wenn Sie die Antwortzeit begrenzen - das Kennwort wird nach 1s akzeptiert / verweigert und keine zwei parallelen Versuche für dieselbe Anmeldung zulässig sind - muss einer beendet werden (OK oder Fehler), bevor Sie einen anderen versuchen Es dauert 9 Jahre, bis das Passwort für Sonderzeichen gebrochen ist.

Die Komplexität der Kennwortanforderungen sollte mit dem Inhalt Ihrer Websites in Einklang gebracht werden. Eine Bank sollte ein hochkomplexes Passwort benötigen (Groß-, Klein-, Zahlen- und Sonderzeichen). Wenn der Inhalt jedoch trivial ist, wie gespeicherte Suchanfragen und Tracking-Nummern, sollte die Kennwortanforderung gelockert werden. Die Mindestlänge von 6 Zeichen sollte ausreichen. Andernfalls wird Ihr Publikum einfach gestört und davon abgehalten, ein Login zu erstellen.