แนวทางปฏิบัติที่ดีที่สุดสำหรับรหัสผ่าน


30

เมื่อได้รับเหตุการณ์ล่าสุดด้วยการเรียนรู้ 'แฮ็กเกอร์' และลองรหัสผ่านใหม่จากผู้ดูแลเว็บไซต์เราจะแนะนำสิ่งที่ดีที่สุดให้กับทุกคนเกี่ยวกับวิธีปฏิบัติที่ดีที่สุดเกี่ยวกับรหัสผ่านได้อย่างไร

  • ใช้รหัสผ่านที่ไม่ซ้ำกันระหว่างเว็บไซต์ (เช่นไม่เคยใช้รหัสผ่านซ้ำ)
  • คำที่พบในพจนานุกรมจะต้องหลีกเลี่ยง
  • พิจารณาใช้คำหรือวลีจากภาษาที่ไม่ใช่ภาษาอังกฤษ
  • ใช้วลีรหัสผ่านและใช้อักษรตัวแรกของแต่ละคำ
  • l33 การระบุไม่ได้ช่วยอะไรมาก

กรุณาแนะนำเพิ่มเติม!


4
เคล็ดลับสามข้อขัดแย้งแยงสอง
Oddmund

@Oddmund: ไม่ใช่ถ้าคุณใช้ทั้งภาษาอังกฤษและไม่ใช่ภาษาอังกฤษ Ie One ในภาษาสเปนคือ uno ดังนั้นใช้ OneUno หรือแบ่งคำ: ครึ่งหนึ่งของคำมาจากภาษาอังกฤษอีกครึ่งหนึ่งมาจากภาษาอื่น ฟุตบอลในภาษาสเปนคือfútbolดังนั้นใช้ futball แล้วค่อยคืนเงินจากที่นั่น
เควิน M

@Oddmund: ไม่การใช้คำจากภาษา (ที่ไม่ใช่ภาษาอังกฤษ) ไม่ได้หมายความว่าพวกเขาจะพบได้ในพจนานุกรม (ที่ไม่ใช่ภาษาอังกฤษ)
user1092608

คำตอบ:


25
  • ใช้รหัสผ่านที่ไม่ประกอบด้วยคำหรือชื่อสามัญ การโจมตีด้วยพจนานุกรมใช้พจนานุกรมที่มีคำศัพท์นับล้านคำและรวดเร็วมาก

  • ใช้รหัสผ่านที่ยาว ฉันมักจะใช้ผ่านวลี ฉันเลือกวลีประโยคหรือคำคล้องจองและหาวิธีใช้จำนวนอักขระที่ไม่ใช่ตัวอักษรและตัวเลขที่ไม่ยุติธรรมเพื่อให้คำของฉันไม่ใช่คำในพจนานุกรม

  • อย่าใช้รหัสผ่านเดียวกันสำหรับหลาย ๆ บริการเข้าสู่ระบบ ใช้เวลาสักครู่ในการหาสูตรสำหรับการเลือกวลีรหัสผ่าน วิธีนี้ช่วยให้คุณใช้รหัสผ่านที่แตกต่างกันมากมายซึ่งหากลืมคุณอาจสามารถสร้างขึ้นใหม่ด้วยการลองผิดลองถูก

  • หากคุณจำเป็นต้องใช้รหัสผ่านที่ปลอดภัยยาวดีและซ่อนไว้ที่ไหนสักแห่ง อย่างน้อยก็ดีกว่าการใช้รหัสผ่านที่อ่อนแอซึ่งง่ายต่อการจดจำ

  • หากคำแนะนำข้างต้นไม่สามารถจัดการได้ให้ใช้ตัวจัดการรหัสผ่านด้วยรหัสผ่านที่ปลอดภัยและใช้รหัสผ่านแบบสุ่มสำหรับทุกสิ่ง พกตัวจัดการรหัสผ่านติดตัวไปกับคุณในแฟลชไดรฟ์ USB เข้ารหัส (สำรองข้อมูลไว้แน่นอน)


ไม่มีใครรู้ว่าทำไมการใช้ตัวหนาใน 'ข้อความรหัสผ่าน' ของฉันจึงไม่ทำงาน มันดูดีในการแสดงตัวอย่างเมื่อฉันอยู่ในโหมดแก้ไข .. คี่
Arnold Spence

คุณใช้ดาวสองดวงหรือหนึ่งดวง ลองเพียงหนึ่ง ...
Mikeage

1
@Mikeage: เครื่องหมายดอกจันหนึ่งตัวเอียง =; สอง = ตัวหนา ฉันขอแนะนำให้ลอง <b> หรือ <strong>; ฉันสงสัยว่าการฝังคำนั้นทำให้เกิดความสับสนในการแยกวิเคราะห์ของ SO
Derobert

1
ฉันจะพยายามเว้นช่องว่างหลังจาก "ผ่าน" ดังนั้นคุณจะต้องผ่าน [หนึ่งช่องว่าง] [เครื่องหมายดอกจัน] [เครื่องหมายดอกจัน] วลี หากไม่ได้ผลให้ลองใส่ช่องว่างระหว่างเครื่องหมายดอกจันชุดที่สองและจุด
pbz

3
+1 ถึง "เขียนรหัสผ่านที่ดียาวปลอดภัยและซ่อนไว้" ในปี 1980 มีบางคนเริ่มเตือนผู้ใช้ว่าอย่าเขียนรหัสผ่านลงพฤติกรรมดังกล่าวติดขัดและเราก็แย่ลงเพราะมัน
Portman

7

ฉันพบปัญหาหลายอย่างเกี่ยวกับข้อความรหัสผ่าน:

  • ไซต์จำนวนมากมีขีด จำกัด สูงสุดของความยาวรหัสผ่านเช่น 20 ตัวอักษรมันโง่ แต่คุณสามารถทำอะไรได้บ้าง
  • เว็บไซต์อื่น ๆ ไม่อนุญาตให้มีช่องว่างในรหัสผ่าน
  • การพิมพ์ข้อความยาว ๆ แบบสุ่มสี่สุ่มห้านั้นเกิดข้อผิดพลาดได้ง่ายโดยเฉพาะเมื่อคุณพิมพ์ดีดไม่เก่ง
  • การพิมพ์ข้อความรหัสผ่าน 50 อักขระใช้เวลานานกว่ารหัสผ่าน 15 อักขระที่ดี

โซลูชันของฉันสำหรับปัญหานี้คือการใช้วลีรหัสผ่านเป็นตัวช่วยจำรหัสผ่านจริง เช่นฉันสามารถเลือกบทกวีที่ยอดเยี่ยมสองสามบรรทัดจาก William Henry Davies (76 ตัวอักษร):

ไม่มีเวลาให้เห็นเมื่อเราผ่านป่า
ที่ไหนที่กระรอกซ่อนถั่วไว้ในหญ้า

และฉันจะเลือกตัวอักษรตัวแรกของแต่ละคำสร้างรหัสผ่าน 16-char ที่ดีงามต่อไปนี้:

Nttswwwp,Wshtnig

การใช้บทกวีนั้นดีมากเพราะจำได้ง่ายกว่าและเมื่อคุณถูกขอให้เปลี่ยนรหัสผ่านคุณสามารถเลือกบทกวีสองสามบรรทัดถัดไป


3
นอกจากนี้คุณยังจะได้เรียนรู้บทกวีใหม่ ๆ ทุกครั้งที่คุณเปลี่ยนรหัสผ่านและได้รับคะแนนวัฒนธรรม :)
Jonathan

4
ฉันยิงตัวเองด้วยเท้าโดยใช้เนื้อเพลง ก่อนอื่นฉันมีแนวโน้มที่จะฮัมเพลง ประการที่สองการทำให้เพลงติดอยู่ในหัวของฉันเป็นเวลาหนึ่งเดือน ...
Kara Marfia

4

เมื่อกำหนดระบอบรหัสผ่านให้ผู้อื่นไม่เพียง แต่ต้องการให้พวกเขาใช้ที่ไม่ซ้ำกันเกินเกณฑ์มีตัวอักษรผสมอักขระพิเศษ ฯลฯ แต่ยังให้ความรู้แก่ผู้ใช้เกี่ยวกับผู้จัดการรหัสผ่านหรือโครงร่างเพื่อสร้าง / จำรหัสผ่านเหล่านั้น ถ้าคุณทำไม่ได้ผู้ใช้จะเขียนรหัสผ่านลงหรือหาวิธีอื่น ๆ ที่ไม่ปลอดภัยในการ "จำ" พวกเขา


การสอนผู้จัดการรหัสผ่านเป็นตัวอย่างที่ดีสำหรับผู้ใช้ที่ไม่ใช่ด้านเทคนิคโดยเฉลี่ย คุณกำลังแลกเปลี่ยนแนวปฏิบัติที่ไม่ดี (จดบันทึกรหัสผ่าน) เพื่อให้ดีขึ้นเล็กน้อย แต่ก็ยังเป็นแนวปฏิบัติที่ไม่ดีอยู่ (เก็บไว้ทางอิเล็กทรอนิกส์) ช่องโหว่ในเครื่องมือจัดการรหัสผ่าน (เช่นรหัสผ่านหลักไม่รัดกุมการใช้ประโยชน์จากระยะไกล ฯลฯ ) อาจนำไปสู่ความเสียหายได้
spoulson

ในคำอื่น ๆ ผมจะไม่เก็บรหัสผ่านที่มีมูลค่าสูงในการจัดการรหัสผ่านเช่นการเข้าสู่ระบบธนาคาร ฯลฯ
spoulson

ฉันไม่เห็นด้วยกับคุณในเรื่องที่แม้แต่ Bruce Schneier แนะนำให้ใช้ตัวจัดการรหัสผ่านด้วยรหัสผ่านที่คาดเดายากเกี่ยวกับการใช้รหัสผ่านที่อ่อนแอซึ่งถูกนำมาใช้ซ้ำและ / หรือสับระหว่างไซต์
Martin C.

@ spoulson: การเชื่อมั่นในเทคโนโลยีตาบอดเป็นอันตรายเสมอ .. ฉันเองเชื่อว่ารหัสผ่านที่เข้ารหัสอย่างปลอดภัย (ด้วยรหัสผ่านที่ดีโปรดทราบว่าคุณ) มีความปลอดภัยเท่ากับการแจ้งเตือนการเข้าสู่ระบบ หากคุณเชื่อถือผู้จำหน่ายระบบปฏิบัติการเพื่อทำให้การเข้าสู่ระบบแข็งขึ้นคุณสามารถเชื่อถือผู้เขียนรหัสผ่านของผู้จัดการได้ กฎหวาดระแวง .. ทำไม่ได้ทุกคนที่ไว้วางใจ .. ฯลฯ ... แต่ในท้ายที่สุดมันก็จะมีจำนวนการก้าวกระโดดของความเชื่อ ...
lexu

2
Schneier ก้าวไปไกลเท่าที่แนะนำให้เขียนลงไป: schneier.com/blog/archives/2005/06/write_down_your.html
M M

4

หากคุณมีปัญหาในการจำรหัสผ่านให้ใช้ข้อความที่รู้จักดี เลือกประโยคที่ใช้ n THจดหมายจากแต่ละคำเป็นรหัสผ่านให้วรรคตอน (รหัสผ่านเช่นสร้างขึ้นจาก 1 เซนต์ตัวอักษรของประโยคแรกของคำตอบนี้อาจจะ "Iyhtrp, uswkt.") คุณสามารถทำให้มันแข็งแกร่งขึ้นโดยการเปลี่ยนเป็นตัวพิมพ์ใหญ่และเพิ่มตัวอักษรพิเศษ


นั่นเป็นวิธีที่ดีจริงๆ!
Techboy

3

อย่าใช้รหัสผ่านนั่นคือสิ่งที่คุณจะผิดในตอนแรก ใช้ชุดอักขระแบบสุ่ม (ขั้นต่ำ 8) หรือวลีรหัสผ่าน คุณสามารถหาสูตรสำหรับสร้างวลีรหัสผ่านที่แตกต่างกันสำหรับแต่ละไซต์ตัวอย่างเช่น ILikeStackOverflowOnions หรือ ILikeServerFaultOnions สิ่งนี้จะช่วยให้คุณปลอดภัยจากบุคคลภายนอกอย่างไรก็ตามยังอาจทำให้เกิดปัญหาได้หากไซต์จริงถูกแฮ็กและรหัสผ่านไม่ได้ถูกใส่เกลือหรือหากผู้ดูแลระบบเสียหายในตอนแรก


1+ แต่ทำไมไม่มีการเว้นวรรคหรือเครื่องหมายวรรคตอนในวลีรหัสผ่าน? นั่นเป็นการเพิ่มความแข็งแกร่งให้กับพวกเขาเช่น "ฉันชอบมะกอกและ serverfault.com!" ซึ่งควรจะเป็นรหัสผ่านที่แข็งแกร่งสวย ๆ อย่างรวดเร็วและง่ายต่อการพิมพ์และจำ ^^ (บางระบบจริงๆเก่าหรือปิดบังหน้างอช่องว่างในรหัสผ่าน - บอกให้ไปนรก;)
ออสการ์ Duveborn

ใช่ช่องว่างแน่นอนบวกเช่นเดียวกับเครื่องหมายวรรคตอน แต่ฉันได้พบมีบางเว็บไซต์ที่ไม่ปลอดภัยที่น่ารำคาญมากที่จะไม่ใช้รหัสผ่านที่มีเครื่องหมายวรรคตอนใน, ผมเคยมีธนาคารที่ไม่ได้ :-(
อดัมกิบบินส์

1
@Oskar Duveborn: โปรดทราบว่าแทนที่จะใช้เครื่องหมายวรรคตอนในรหัสผ่านคุณสามารถทำได้นานขึ้น ในทางคณิตศาสตร์ผลลัพธ์ (จำนวนรหัสผ่านที่เป็นไปได้) จะเท่ากัน คุณสามารถใช้ PWs ด้วยตัวอักษรตัวพิมพ์เล็กถ้าคุณทำให้มันยาวขึ้นอีกหน่อย
sleske

ใช่ฉันเพิ่งเข้าสู่เครื่องหมายวรรคตอนเพื่อความสะดวกในการจดจำวลีสำหรับผู้คน ประโยชน์ของรหัสผ่านที่ยาวขึ้นเป็นเพียงโบนัส) ฉันมีธนาคารที่ไม่มีช่องว่างเมื่อสามปีที่แล้ว วันนี้มันก็ดี และระบบยูนิกซ์ที่เก่ากว่าจะมีความยาวสูงสุด 8 ตัวอักษร แต่เนื่องจากคุณไม่เห็นสิ่งที่คุณพิมพ์คุณสามารถแกล้งทำเป็นว่าคุณพิมพ์รหัสผ่านอักขระ 30 ตัวที่นั่นด้วย)
Oskar Duveborn

3

เปลี่ยนรหัสผ่านเป็นประจำ ฉันทำงานที่ไหนมันเป็นเวลา 30 วัน มันเป็น PITA แต่มันช่วยลดค่าของรหัสผ่านที่ถูกแฮ็กไปยังหน้าต่างเวลาที่ จำกัด ซึ่งรวมถึงนโยบายรหัสผ่านโฆษณาที่ซับซ้อนซึ่งกำหนดว่าต้องมีอย่างน้อย 8 ตัวอักษรประกอบด้วยตัวอักษรตัวบนตัวล่างตัวเลขและสัญลักษณ์

เพื่อเสริมเราใช้บริการตัวจัดการรหัสผ่านแบบบริการตนเอง มี Windows GINA แบบกำหนดเองที่ให้ฟังก์ชั่นเพื่อให้ผู้ใช้รีเซ็ตรหัสผ่านหากลืมหรือปลดล็อคหากทำผิดหลายครั้ง แอปตัวจัดการรหัสผ่านต้องการให้ผู้ใช้ลงทะเบียนในบริการระบุข้อมูลส่วนบุคคลเพียงอย่างเดียวที่พวกเขาจะรู้ว่าจะถูกใช้เป็นคำถามเมื่อผู้ใช้ต้องการรีเซ็ตรหัสผ่าน / ปลดล็อคบัญชีของพวกเขา


3
การบังคับใช้การเปลี่ยนแปลงรหัสผ่านตามเวลานั้นโดยทั่วไปถือว่าเป็นการปฏิบัติที่ไม่ดีจริงๆ ฉันเกือบจะรับประกันได้ว่าตัวเลขสองสามตัวสุดท้ายของรหัสผ่านของคนส่วนใหญ่จะมีเดือนหรือปีที่ตั้งค่าครั้งสุดท้าย
แอนดรู

3

ฉันเชื่อว่าควรสร้างรหัสผ่านแทนที่จะคิดโดยผู้ใช้ วิธีนี้จะช่วยหลีกเลี่ยงปัญหาโง่ ๆ เหล่านั้นด้วยรหัสผ่านที่เดาได้ง่าย

ฉันชอบใช้pwgenซึ่งสร้างรายการรหัสผ่านเช่น

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

แต่จริงๆแล้วโปรแกรมสร้าง pw ใด ๆ จะทำ ข้อดีอย่างหนึ่งของ pwgen ก็คือพยายามสร้างรหัสผ่าน (ค่อนข้าง) อย่างน่าจดจำโดยการรวมเสียงสระบางอย่าง


นั่นคือวิธีที่ฉันทำ สร้างรหัสผ่านจำนวนมากและเลือกรหัสที่ไม่มีอักขระที่คลุมเครือเช่น 1, l I เป็นต้น
John Gardeniers


2
  1. ใช้รหัสผ่านที่คาดเดายาก
  2. อย่าใช้รหัสผ่านซ้ำ
  3. เมื่อพิจารณาถึง # 2 ให้ใช้เครื่องมืออย่างPwdHashในการเผชิญหน้ากับบัญชีที่แตกต่างกันอย่างล้นหลาม

2

อยู่ห่างจากเหล่าTop 500 รหัสผ่านที่เลวร้ายที่สุด

รหัสผ่านที่ยาวและซับซ้อนให้ความปลอดภัยที่ดีโดยทั่วไปรหัสผ่านที่แข็งแกร่งแต่ใช้รหัสผ่านที่แตกต่างกันอย่างแน่นอนสำหรับบัญชีผู้ใช้ทั้งหมด


ลิงค์ที่น่าสนใจ ...
David Z

2

ใช้เครื่องมือเช่นSuperGenPassเพื่อสร้างรหัสผ่านที่ไม่ซ้ำสำหรับเว็บไซต์ใด ๆ ที่คุณมีการเข้าสู่ระบบ


+1 สำหรับการสร้างรหัสผ่านแทนที่จะมีกฎโง่ ๆ หนึ่งข้อสำหรับสร้าง
sleske

2

Hak5 เพียงได้อย่างตอนสาธิตการใช้เครื่องมือจากระยะไกล Exploitที่ใช้จำนวนของสตริงและสร้างพจนานุกรมของการรวมกันทั้งหมด, บน, ล่าง, เจ๋งสะกด ฯลฯ ดังนั้นคุณจะให้มันป้อนข้อมูลเช่นชื่อของเป้าหมายชื่อของเด็กวันเกิดหรือ ข้อมูลอื่น ๆ ที่คุณรู้เกี่ยวกับเป้าหมาย พจนานุกรมที่สร้างขึ้นสามารถใช้เป็นอินพุตเพื่อกำหนดรหัสผ่านที่อ่อนแอได้

คุณธรรม: หลีกเลี่ยงการใช้ข้อมูลส่วนบุคคลในรหัสผ่านของคุณ


1
ในอีกด้านหนึ่งฉันก็กลับไปทำงานในไซต์ที่หนึ่งในข้อกำหนดรหัสผ่านของลูกค้าคือ "ไม่สามารถเป็นรูปแบบของคำพจนานุกรม" (leet ฯลฯ ) ดังนั้นฉันจึงต้องสร้างตัวสร้างที่คล้ายกันซึ่งจะระบุ รูปแบบต่าง ๆ ทั้งหมดที่ถูกห้ามและเร็วพอที่จะทำงานภายในรอบหลังเมื่อพวกเขาเปลี่ยนรหัสผ่าน
GalacticCowboy

จุดดียิ่งคุณเลือกมากเท่าไรคุณก็ยิ่งเลือกได้ง่ายขึ้นเท่านั้น
spoulson

1
ฉันไม่แน่ใจว่า @spoulson มีความหมายเหมือนกันหรือไม่: แต่หากคุณห้ามไม่ให้มีคำใด ๆ ในพจนานุกรมคุณไม่ จำกัด จำนวนรหัสผ่านที่เป็นไปได้ใช่หรือไม่ ในทางทฤษฎีแล้วทำให้ง่ายต่อการค้นหารหัสผ่าน?
Arjan

แนวคิดคือการลบรูปแบบที่รู้จักในรหัสผ่านที่สามารถโจมตีได้ทั้งพจนานุกรมหรือจดจำโดยบุคคลที่สามได้อย่างง่ายดาย การลบความสามารถในการสร้างรหัสผ่านที่อ่อนแอไม่ได้ทำให้รูปแบบรหัสผ่านอ่อนแอลง
spoulson

@Ajran: ใช่แน่นอนว่าคุณไม่อนุญาตให้ใช้รหัสผ่าน "อ่อน" ได้อย่างมีประสิทธิภาพจะช่วยลดความยาวบิตของรหัสผ่าน (ตามความยาวสูงสุดที่กำหนด) อย่างไรก็ตามเรื่องนี้จะเกิดขึ้นหากคุณไม่อนุญาตให้ใช้พื้นที่ส่วนรหัสผ่านที่ไม่สามารถเพิกเฉยได้ซึ่งไม่ได้เกิดขึ้นจริง
sleske

2

หากคุณรู้จักคำหรือวลีในภาษาที่ไม่ใช่ภาษาอังกฤษคุณสามารถใช้คำเหล่านั้นเป็นส่วนหนึ่งของรหัสผ่านของคุณได้ ตัวอย่างเช่นฉันมักใช้คำภาษาญี่ปุ่นเป็นส่วนหนึ่งของรหัสผ่านของฉันซึ่งป้องกันการโจมตีจากพจนานุกรม แต่ฉันยังจำได้ (ต่างจากรหัสผ่านที่สร้างแบบสุ่ม)


2
อย่าคิดว่าคนที่โจมตีรหัสผ่านของคุณจะพูดภาษาอังกฤษได้เท่านั้น อย่าคิดว่าผู้โจมตีที่พูดภาษาอังกฤษเท่านั้นจะไม่เพิ่มพจนานุกรมภาษาอื่น ๆ ลงในแคร็กเกอร์รหัสผ่านของเขา
pgs

2

ฉันเริ่มใช้รหัสผ่านที่ปลอดภัยซึ่ง แต่เดิมได้รับการออกแบบโดย Bruce Schneier เพื่อจัดเก็บรหัสผ่านทางเว็บใด ๆ ฉันมีข้อความรหัสผ่านที่แข็งแกร่งมากเกี่ยวกับรหัสผ่านที่ปลอดภัยและรหัสผ่านอื่น ๆ ทั้งหมดนั้นสร้างขึ้นโดยอัตโนมัติและไม่เคยใช้งานเว็บไซต์ที่เคยใช้ซ้ำมาก่อน

ซอฟต์แวร์ยังมีคุณสมบัติเช่นรหัสผ่านที่หมดอายุและไม่ชอบ

ฉันคิดว่านี่ (ให้รหัสผ่านที่ปลอดภัยที่แข็งแกร่ง ) เพื่อการแลกเปลี่ยนที่ดีที่สุดและวิธีการที่ปลอดภัยที่สุดสำหรับรหัสผ่านเว็บไซต์


1

สำหรับครอบครัวและเพื่อน ๆ ฉันมักจะบอกว่ามันเจ๋งที่จะใช้สิ่งต่าง ๆ เช่นชื่อสัตว์เลี้ยงและชื่อนามสกุลของหญิงสาวตราบใดที่สิ่งสองสิ่งต่อไปนี้เกิดขึ้น:

  • ต่อกันอย่างน้อยสองชื่อ (เช่น: นามสกุลเดิมของแม่ + ชื่อสัตว์เลี้ยง)
  • รวมตัวพิมพ์ใหญ่และอักขระพิเศษ

ตกลงสำหรับแอปพลิเคชันที่มีความปลอดภัยต่ำฉันเดา แต่คุณไม่ต้องการทำเช่นสำหรับเว็บไซต์ธนาคารออนไลน์
David Z

ความคิดที่ไม่ดีหยุดเต็ม มันคาดเดาได้มากเกินไปและกระตุ้นให้รหัสผ่านที่อ่อนแอทุกที่ คำแนะนำแบบเดียวกันนี้ควรมอบให้กับครอบครัวและเพื่อน ๆ ตามที่ได้รับจากพนักงาน
Judioo

@ i-moan ฉันมักจะเห็นด้วย แต่ฉันใช้มันเป็นขั้นตอนในทิศทางที่ถูกต้อง ถ้าฉันจะได้รับพวกเขาที่จะใช้วิธีการนี้เมื่อเทียบกับเพียงแค่ใช้ชื่อสัตว์เลี้ยงหรือสิ่งที่ฉันคิดว่ามันเป็นขั้นตอนในทิศทางที่ถูกต้อง
คริสเตียน Hagelid

ความคิดเห็นที่ดี สิ่งที่ง่ายสำหรับคุณที่จะจำ แต่ผสมขึ้นเล็ก ๆ น้อย ๆ เพื่อให้เป็นไปไม่ได้สำหรับคนอื่น ๆ ที่จะคาดเดา
Techboy

1

เมื่อทำการกำหนดรหัสผ่านที่หมดอายุให้เลือกปัจจัย 7 แทนที่จะเป็นช่วงเวลาหนึ่งวัน (เช่น 30 หรือ 60 วัน)

ผลลัพธ์ของการหมดอายุ 30 วันอาจเป็นไปได้ว่าผู้ใช้จะต้องเปลี่ยนรหัสผ่านของพวกเขาในวันหยุดหรือวันหยุดสุดสัปดาห์และอาจแปลกใจเมื่อพวกเขาเข้ามาทำงานในวันถัดไป

หากคุณต้องกำหนดระดับการหมดอายุเป็นปัจจัยที่ 7 นี่จะทำให้แน่ใจได้ว่าวันที่เปลี่ยนรหัสผ่านจะอยู่ในวันเดียวกันของสัปดาห์กับการเปลี่ยนแปลงก่อนหน้านี้


ที่จริงแล้วระบบส่วนใหญ่ที่มีวันหมดอายุมีสองวันที่หมดอายุ: หลังจากวันแรกคุณจะต้องเปลี่ยน pw ของคุณในการเข้าสู่ระบบครั้งต่อไป หลังจากวินาทีที่ผ่านมามีการเปลี่ยนแปลง pw เท่านั้นการหมดอายุจะเกิดขึ้นจริง ดังนั้นสิ่งนี้ไม่ควรเป็นปัญหา
sleske

1

หากคุณมีหลายไซต์สำหรับฐานผู้ใช้เดียวกันฉันจะต้องแนะนำรูปแบบการลงชื่อเพียงครั้งเดียวบางอย่าง (เช่น Shibboleth) เมื่อผู้ใช้มีรหัสผ่านที่แตกต่างกันสำหรับไซต์ทวีคูณพวกเขามักจะมีปัญหาในการจดจำพวกเขาทั้งหมด รหัสผ่านหนึ่งหรือสองรหัสผ่านสามารถจดจำได้ง่ายโดยคนส่วนใหญ่ผู้ใช้สามคนอาจจดรหัสเหล่านี้ไว้ในที่ลับ หากมีผู้ใช้มากกว่าสี่คนผู้ใช้อาจเขียนบทความทั้งหมดลงในโพสต์โน้ตและนำไปใช้กับโต๊ะทำงานหรือจอภาพ

รหัสผ่านไม่จำเป็นต้องซับซ้อนเกินไปแม้ว่าจะต้องมีความซับซ้อนเพียงพอที่จะป้องกันความพยายามครั้งแรกหรือครั้งที่สอง ตราบใดที่ระบบ / ไซต์ของคุณมีมาตรการรักษาความปลอดภัยบางประเภทซึ่ง จำกัด จำนวนครั้งในการเข้าสู่ระบบดังนั้นรหัสผ่านไม่จำเป็นต้องซับซ้อนเกินไป

ตัวอย่างเช่นหากระบบของคุณมีการพยายามเข้าสู่ระบบ 3 ครั้งต่อชั่วโมงรหัสผ่านพื้นฐานเช่น "Cindy65" จะซับซ้อนกว่านั้นมากพอ ในขณะที่แฮ็กเกอร์อาจรู้ว่าชื่อจริงของผู้ใช้คือ Cindy เขาจะไม่มีทางรู้ว่าเธอเกิดในปี 1965 ความพยายามของเขาจะเป็น "cindy", " l astname", "Cindy", L astname "แม้ว่าจะเป็นเช่นนี้ เวลาที่เขาถูกบล็อก

ขณะนี้อาจเป็นกรณีที่ง่ายและรหัสผ่านที่ง่ายมันเป็นสิ่งที่จำเป็นจริงๆถ้าคุณผู้ดูแลระบบได้ตั้งค่าทุกอย่างด้านเซิร์ฟเวอร์ที่ถูกต้อง นอกจากนี้เรายังสามารถขอรหัสผ่านที่ซับซ้อนกว่านี้เล็กน้อยซึ่งง่ายต่อการจดจำเช่นการรวมคีย์แบบสุ่ม สัญลักษณ์และอักษรตัวใหญ่ยังช่วยอย่างมาก

เราต้องจำไว้ว่ายิ่งทำให้ผู้ใช้ยากขึ้นเท่าไหร่โอกาสที่จะเขียนลงในที่สาธารณะก็จะยิ่งมากขึ้นเท่านั้น

สิ่งหนึ่งที่ฉันอยากให้ผู้ใช้ของฉันทำเสมอคือเขียนชื่อของพวกเขาต่อกันด้วยชื่อของยาที่พวกเขาใช้อยู่อาหารที่ชื่นชอบชื่อเพื่อนที่ดีที่สุด ฯลฯ การรวมกันของคำในพจนานุกรมในขณะที่ง่าย ๆ แทบจะเป็นไปไม่ได้

ตัวอย่าง: CindyProzac, WilliamCodene, JoePetertherabbit

โชคดี.


0

อย่าเขียนมันลงไป และถ้าคุณทำไว้ให้เก็บไว้ในที่ปลอดภัย และอย่าเขียนคอมโบนั้นลงไป


2
เมื่อครั้งสุดท้ายที่มีคนบุกเข้าไปในบ้านและขโมยรหัสผ่าน? สำหรับผู้ใช้ตามบ้านการเขียนรหัสผ่านมักจะปลอดภัยที่สุดเพราะมันส่งเสริมรหัสผ่านที่แข็งแกร่งไม่ซ้ำใครและจำยาก
Portman

ฉันเห็นด้วยกับเบ็น - โดยเฉพาะอย่างยิ่งสำหรับสภาพแวดล้อมการทำงาน
Techboy

0

หากข้อกำหนดด้านความปลอดภัยแน่นจริง ๆ ฉันจะพยายามหลีกเลี่ยงการใช้รหัสผ่านทุกครั้งที่ทำได้ คิดว่าใช้การรับรองความถูกต้องโดยใช้คีย์ ssh ใบรับรองไคลเอ็นต์บนสมาร์ทการ์ด ฯลฯ ต้องใช้ทักษะและงบประมาณจำนวนมากเพื่อให้สามารถทำงานได้อย่างเหมาะสมแม้ว่าจะต้องมีการประเมินความเสี่ยงที่เหมาะสม

หากคุณตัดสินใจที่จะใช้รหัสผ่านฉันจะทำตามคำแนะนำของ capar และ lexu


0

ข้อ จำกัด ด้านความยาวของรหัสผ่านนั้นโง่ (การ จำกัด รหัสผ่านให้อยู่ระหว่าง 6-8 ตัวอักษรเป็นเรื่องปกติ แต่ไม่สมเหตุสมผลกับระบบที่ทันสมัย)

การขอให้เปลี่ยนรหัสผ่านบ่อยๆจะเป็นการกระตุ้นให้ผู้ใช้จดรหัสผ่านและเลือกรหัสผ่านที่ง่ายขึ้น นี่เป็นการแลกเปลี่ยนการคุกคามและคุณต้องพิจารณาว่าการคุกคามใดที่เกี่ยวข้องมากกว่า

การขอให้ผู้ใช้มี "อักขระพิเศษ" ในรหัสผ่าน 8 ตัวอักษรแทนการอนุญาตให้ใช้รหัสผ่าน 30 ตัวอักษรที่ประกอบด้วยตัวอักษรเท่านั้นไม่สมเหตุสมผล

อย่าให้รหัสผ่านที่ชัดเจนแก่ผู้ใช้และขอให้พวกเขาเปลี่ยนรหัสผ่าน พวกเขาจะไม่ ทั้งสองต้องการให้พวกเขาเปลี่ยนมันในการเข้าสู่ระบบครั้งแรกเลือกรหัสผ่านที่รัดกุมสำหรับพวกเขารู้ว่าพวกเขาจะเขียนมันลงหรือทำให้พวกเขาเลือกที่แข็งแกร่งในหน้าของคุณ


0

เราฝึกผู้ใช้ของเราให้เลือกข้อความรหัสผ่านและใช้ตัวอักษรตัวแรกของแต่ละคำ
WTOUTPPAUTFLOEW - เพิ่มศูนย์หรือ 3 (leetifying), แตกต่างกันไปแคปล็อคสองสามครั้งและคุณมีสิ่งที่พจนานุกรมไม่เคยจะเลือก แต่ยังจำได้ง่าย

อย่างไรก็ตาม - ตรวจสอบให้แน่ใจว่าคุณไม่เปลี่ยนรหัสผ่านเป็นข้อความรหัสผ่านตามสโลแกนของ บริษัท / คำสั่งการมองเห็น ฯลฯ


-1

เพื่อช่วยป้องกันสิ่งที่เกิดขึ้นกับผู้ดูแลเว็บไซต์นั้นและสมมติว่าคุณสามารถเข้าถึง Unix shell หรือ Cygwin คุณสามารถใช้

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

และตรวจสอบค่าที่กับฐานข้อมูล MD5 เช่นhttp://gdataonline.com/ ตรวจสอบให้แน่ใจว่าไม่ได้ปรากฏอยู่ที่นั่น

นอกจากนี้นี่เป็นตัวอย่างของพจนานุกรม MD5 ดิบที่ฉันได้รับเพียงแค่ googling สำหรับค่าแฮช (คำเตือน: ไฟล์ขนาดใหญ่): https://secure.sensepost.com/sp-hash/jebwy


1
ใช่แล้วนี่เป็นวิธีที่สมบูรณ์แบบในการส่งแฮชใหม่ไปยังคิวงานของพวกเขาดังนั้นในบางครั้งการค้นหา Google อย่างง่ายสำหรับแฮชจะเปิดเผยรหัสผ่าน ฉันขอแนะนำอย่างยิ่งให้ไม่ส่งแฮชไปยังเว็บไซต์ดังกล่าว
serverhorror

2
แฮชของคุณคือ "jeffa" btw ...
serverhorror
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.