Каковы рекомендации по созданию безопасных паролей?

В Unix-системах PAM, или Pluggable Authentication Module, является хорошим административным инструментом, который поставляется с библиотекой крэка, с которой вы можете проверять пароли.

После некоторой недавней работы по обеспечению безопасности я знаю, что государственные стандарты обычно имеют следующие рекомендации, когда речь идет о пароле:

• Минимальная длина 14 символов
• Как минимум 2 специальных символа
• Не менее 2 символов нижнего регистра
• Минимум 2 заглавных буквы
• Не менее 2 цифр
• Должен меняться каждые 60 дней
• Нет словарных слов или имен пользователей

Здравый смысл подсказывает, что вы не должны помещать 2 цифры и специальные символы в начале или конце, а должны быть с вкраплениями. Работая над этими рекомендациями, он поднял вопрос, стоило ли иметь такие сложные пароли. С такими сложными паролями кажется, что они имеют большую вероятность быть сохраненными где-то в виде простого текста пользователем или где-то записаны.

В личном пользовании я обычно придерживаюсь менее строгих правил, чем эти рекомендации, но определенно не использую слова из словаря или L33t.

У Брюса Шнайера есть хорошая статья об этом, основанная на том, что компания должна быть обычной практикой в ​​выборе паролей людьми.

РЕДАКТИРОВАТЬ: О, чтобы сгенерировать пароль. Вы можете использовать такие инструменты, как KeePass или Password Safe, чтобы автоматически генерировать и хранить разные надежные пароли для ваших логинов. Смотрите этот вопрос для получения дополнительной информации.

На grc.com есть хорошая страница, где вы можете получить надежные пароли.

Лично я пытаюсь сделать для паролей относительно длинную запоминающуюся фразу и выполнить следующую трансформацию:

• Включите все однозначные знаки препинания и первую букву каждого слова
• Выполните заглавную букву в немецком стиле (первое слово и все существительные / имена в заглавных буквах) или наоборот ...
• Заменить некоторые слова или буквы с цифрами, O-> 0, for/ fore/ four-> 4, one, an-> 1и т.д.

В большинстве случаев это приводит к получению довольно безопасного и не угадываемого пароля, который я могу легко восстановить самостоятельно, основываясь на этих правилах и запомнив фразу.

Например:

What are the guidelines for creation of a secure passwords? 

становится:

WatG4co1sP? 

Обратите внимание, что эта схема может использоваться для создания паролей, которые в значительной степени соответствуют любым правилам, которые может иметь компания в отношении минимальной длины, требуемых включенных символов и т. Д. Она также имеет дополнительное преимущество, если вы выбираете схему кодирования, которую вы можете применять последовательно поскольку это имеет смысл для вас (для заглавных букв, специальных символов и цифр), вам не нужно записывать что-либо на бумаге, чтобы избежать проблемы, когда хакер может найти ваши пароли, просто осмотрев ваше рабочее пространство.

Когда безопасность является основным фактором, я всегда включаю некоторые символы высокого ASCII.

Например, 154 - это Ü. Эти персонажи не только значительно увеличивают время, необходимое для атаки грубой силой, но большинство атак даже не сканируют этот диапазон символов и иногда даже не способны на это.

Также очевидно:

• Чем дольше, тем безопаснее.
• Смешайте строчные и прописные буквы, цифры, символы.
• Не основывайте его на словарных словах, именах собственных и общеизвестных значениях (например, аббревиатурах).

Обсуждение в Diceware - интересное чтение.

Для создания дорогостоящих паролей и парольных фраз метод словаря, подобного diceware, и хорошего рандомизатора, такого как кучка игральных костей, является довольно хорошим выбором.

Лично я использую PasswordSafe, заблокированный сильной парольной фразой, сгенерированной техникой diceware. Я позволяю PasswordSafe генерировать все остальные пароли, которые мне нужны, и, как правило, не знаю, какими они могут быть через несколько минут. У меня есть копии безопасного файла в нескольких системах, поэтому я не слишком беспокоюсь о том, что все яйца находятся в одной корзине. Большим преимуществом является то, что я никогда не использую один и тот же пароль для двух целей.

Для личного пользования я рекомендую хранить разборчивую копию парольной фразы сейфа в безопасном месте, где его могут найти ваши наследники ...

Этот сайт хорошо описывает рекомендации и позволит вам проверить его безопасность. Я думаю, что придумать свой собственный будет более запоминающимся, чем сгенерированный.

На сайте SecurityStats есть страница, на которой вы можете попробовать свой пароль.
Он также содержит рекомендации по созданию более надежных паролей.

• Microsoft также имеет аналогичную страницу проверки пароля
• Еще один похожий измеритель паролей
• Предложения поддержки Google - выбор пароля и секретного вопроса
  • Однако мне никогда не нравился угол вопроса безопасности

Внимательно читайте в блоге Google Enterprise по отслеживанию безопасности паролей.
Вы можете создать учетную запись для себя, чтобы проверить надежность своих паролей .

Поскольку система аутентификации аккаунта Google постоянно видит новые варианты парольных атак со всего мира, мы можем оценить надежность пароля в режиме реального времени и помочь администраторам определить пароли, которые в прошлом были относительно безопасными и более уязвимыми к последним моделям атак.

Что касается прочности против грубого взлома, то лучше всего увеличить длину, а количество возможных комбинаций увеличится в геометрической прогрессии (буквально). Конечно, все еще хорошая идея ввести некоторые случайные символы и символы, чтобы сделать атаки по словарю более сложными. Или, может быть, использовать пару слов из разных языков - бонусные баллы для не-ASCII символов!

Более подробный анализ доступен здесь.

И хотя мы рассматриваем рекомендации по паролям xkcd, никогда не используйте пароли повторно .

Смотрите также Password Maker . При этом используется информация, которую вы предоставляете, включая начальное число, чтобы вы могли создать уникальный пароль. Затем все, что вам нужно сделать, это запомнить начальное число и определить те же значения данных, и Password Maker сгенерирует тот же пароль для вас позже.

Мои проблемы с паролями в том, что их трудно набирать и труднее запомнить. Лично у меня есть программа gpw, которая генерирует пароли из слогов, в результате чего пароль обычно «почти» произносимый. Если вы его добавите, а затем добавите немного заглавных букв и знаков пунктуации, вы получите нечто, что немного легче запомнить, чем шум линии, но достаточно надежно защищено от грубых атак.

Так, например, я бы сделал это:

$ gpw ompartiz tocycedt psyllicu doggiedu 

Я бы выбрал тот, который мне нравится, а затем превратил бы его в что-то вроде? D0ggid00