แนวทางในการสร้างรหัสผ่านที่ปลอดภัยคืออะไร


6

แนวทางปฏิบัติที่ดีที่สุดในการสร้างรหัสผ่านที่ปลอดภัยคืออะไร ฉันต้องการทำให้พวกเขาแข็งแกร่งขึ้นด้วยเครื่องมือที่ดุร้าย

ส่วนที่สอง

มีเครื่องมือใดที่สามารถสร้างรหัสผ่านเหล่านี้ได้ดังนั้นฉันไม่ต้องคิดเอง


9
นี่คือรหัสผ่านที่คาดเดายาก: hD7 [lm3A8jGR หากคุณต้องการอะไรเพิ่มเติม
John Fouhy

เช่นเคย wikipedia เสนอคำแนะนำที่ดี: en.wikipedia.org/wiki/Password
akf

3
ไม่แข็งแรงเท่าที่สาธารณะตอนนี้ D
John T

2
ตอนนี้ฉันต้องค้นหา "Axxmasterr" ของ Google และลอง hD7 [lm3A8jGR ในทุกบัญชีที่พบ
Travis

คำตอบ:


8

บนระบบ Unix PAM หรือPluggable Authentication Moduleเป็นเครื่องมือการจัดการที่ดีที่มาพร้อมกับ crack library ที่คุณสามารถทดสอบรหัสผ่าน

หลังจากทำงานด้านความปลอดภัยล่าสุดฉันรู้ว่ามาตรฐานของรัฐบาลมักจะมีแนวทางเหล่านี้เมื่อใช้รหัสผ่าน:

  • ความยาวต่ำสุด 14 ตัวอักษร
  • อักขระพิเศษอย่างน้อย 2 ตัว
  • อักขระตัวพิมพ์เล็กอย่างน้อย 2 ตัว
  • อักขระตัวพิมพ์ใหญ่อย่างน้อย 2 ตัว
  • อย่างน้อย 2 หลัก
  • จะต้องเปลี่ยนทุก ๆ 60 วัน
  • ไม่มีคำในพจนานุกรมหรือชื่อผู้ใช้

สามัญสำนึกแนะนำว่าคุณไม่ควรใส่ตัวเลข 2 ตัวและอักขระพิเศษที่จุดเริ่มต้นหรือจุดสิ้นสุด แต่สลับกัน ในขณะที่ทำงานกับแนวทางเหล่านี้มันทำให้เกิดคำถามว่ามีรหัสผ่านที่ซับซ้อนเช่นนั้นคุ้มหรือไม่ ด้วยรหัสผ่านที่ซับซ้อนมากดูเหมือนว่าพวกเขามีโอกาสสูงที่จะถูกจัดเก็บเป็นข้อความธรรมดาโดยผู้ใช้หรือเขียนลงที่ไหนสักแห่ง

ในการใช้งานส่วนตัวฉันมักจะเข้มงวดน้อยกว่าหลักเกณฑ์เหล่านั้น แต่แน่นอนไม่มีคำในพจนานุกรมหรือ L33t พูด


6

Bruce Schneier มีบทความที่ดีเกี่ยวกับเรื่องนี้ซึ่งขึ้นอยู่กับสิ่งที่ บริษัท จะต้องมีการปฏิบัติร่วมกันในการเลือกรหัสผ่านของผู้คน

แก้ไข: โอ้เพื่อสร้างรหัสผ่าน คุณสามารถใช้เครื่องมือเช่นKeePassหรือรหัสผ่านที่ปลอดภัยเพื่อสร้างและจัดเก็บรหัสผ่านที่ดีที่แตกต่างกันสำหรับการเข้าสู่ระบบของคุณโดยอัตโนมัติ ดูคำถามนี้สำหรับข้อมูลเพิ่มเติม


5

grc.comมีหน้าดีที่คุณสามารถรับรหัสผ่านที่คาดเดายาก


1
Steve Gibson เป็นพ่อ
ชาร์ลส์โรเพอร์

ฉันได้ใช้เป็นครั้งคราว PWD = curl https://www.grc.com/passwords.htm | openssl sha1ในสคริปต์ที่ผมจำเป็นต้องมีรหัสผ่านอย่างรวดเร็ว (มีการตรวจสอบข้อผิดพลาดของการตอบสนองขด)
devstopfix

5

โดยส่วนตัวสิ่งที่ฉันพยายามทำเพื่อรหัสผ่านนั้นให้นึกถึงวลีที่ค่อนข้างยาวที่น่าจดจำและทำการเปลี่ยนแปลงต่อไปนี้:

  • รวมเครื่องหมายวรรคตอนที่ชัดเจนทั้งหมดและตัวอักษรตัวแรกของแต่ละคำ
  • ดำเนินการตัวพิมพ์ใหญ่ในภาษาเยอรมัน (คำแรกและคำนาม / ชื่อทั้งหมดเป็นตัวพิมพ์ใหญ่) หรือผกผัน ...
  • เปลี่ยนคำบางคำหรือตัวอักษรด้วยตัวเลข, O-> 0, for/ fore/ four-> 4, one, an-> 1อื่น ๆ

ในกรณีส่วนใหญ่ผลลัพธ์นี้มีรหัสผ่านที่ค่อนข้างปลอดภัยและไม่สามารถคาดเดาได้ซึ่งฉันสามารถสร้างตัวเองใหม่ได้อย่างง่ายดายตามกฎเหล่านี้และจดจำวลี

ตัวอย่างเช่น:

What are the guidelines for creation of a secure passwords?

กลายเป็น:

WatG4co1sP?

โปรดทราบว่าชุดรูปแบบนี้สามารถใช้ในการสร้างรหัสผ่านที่เหมาะสมกับกฎใด ๆ ที่ บริษัท อาจมีเกี่ยวกับความยาวขั้นต่ำสัญลักษณ์ที่จำเป็นรวมอยู่ ฯลฯ นอกจากนี้ยังมีประโยชน์เพิ่มเติมที่ตราบใดที่คุณเลือกรูปแบบการเข้ารหัสที่คุณสามารถใช้อย่างสม่ำเสมอ เพราะมันสมเหตุสมผลสำหรับคุณ (สำหรับตัวพิมพ์ใหญ่และตัวอักษรและตัวเลขพิเศษ) ดังนั้นคุณไม่จำเป็นต้องเขียนอะไรลงบนกระดาษหลีกเลี่ยงปัญหาที่แฮ็กเกอร์อาจจะสามารถค้นหารหัสผ่านของคุณได้โดยดูที่เวิร์กสเปซของคุณ


1
+1 เพราะฉันยังใช้เทคนิคนี้สำหรับรหัสผ่านที่สำคัญ ฉันอาจก้าวไปข้างหน้าและแทนที่ตัวอักษร 'ด้วย' $ 'และสิ่งต่างๆเช่นนั้น
Sasha Chedygov

3

เมื่อความปลอดภัยเป็นปัจจัยสำคัญฉันมักจะใส่อักขระ ASCII ที่สูงเสมอ

ตัวอย่างเช่น 154 คือÜ ตัวละครเหล่านี้ไม่เพียงเพิ่มระยะเวลาที่ต้องใช้ในการโจมตีแบบเดรัจฉานเท่านั้น แต่การโจมตีส่วนใหญ่ไม่ได้สแกนช่วงตัวอักษรนั้นและบางครั้งก็ไม่สามารถทำได้

นอกจากนี้ชัดเจน:

  • อีกต่อไปมีความปลอดภัยมากขึ้น
  • ผสมตัวพิมพ์เล็กตัวเลขและสัญลักษณ์
  • อย่ายึดตามคำในพจนานุกรมคำนามที่ถูกต้องหรือความหมายที่รู้จักกันดี (เช่นตัวย่อ)

+1 เคล็ดลับดี อาจมีปัญหากับระบบเก่า ๆ
ต้มตุ๋น Quixote

2

การอภิปรายที่Dicewareเป็นการอ่านที่น่าสนใจ

สำหรับการสร้างรหัสผ่านและวลีรหัสผ่านที่มีมูลค่าสูงเทคนิคของพจนานุกรมเช่น diceware และตัวสุ่มที่ดีเช่นลูกเต๋าจำนวนหนึ่งเป็นทางเลือกที่ดีทีเดียว

ส่วนตัวฉันใช้ PasswordSafe ถูกล็อคโดยข้อความรหัสผ่านที่รัดกุมที่สร้างขึ้นโดยเทคนิค diceware ฉันปล่อยให้ PasswordSafe สร้างรหัสผ่านอื่น ๆ ที่ฉันต้องการและโดยทั่วไปก็ไม่รู้ว่ามันจะเป็นอย่างไรหลังจากผ่านไปไม่กี่นาที ฉันมีสำเนาของไฟล์ที่ปลอดภัยในหลายระบบดังนั้นฉันจึงไม่กังวลเกี่ยวกับไข่ทั้งหมดที่อยู่ในตะกร้าใบเดียว ข้อได้เปรียบที่สำคัญคือฉันไม่เคยใช้รหัสผ่านเดียวกันเพื่อวัตถุประสงค์สองอย่างโดยเจตนา

สำหรับการใช้งานส่วนตัวผมไม่แนะนำให้เก็บชัดเจนสำเนาข้อความรหัสผ่านความปลอดภัยในสถานที่ปลอดภัยที่มันอาจจะพบได้โดยทายาทของคุณ ...


1

ไซต์นี้สรุปแนวทางไว้อย่างดีและจะช่วยให้คุณทดสอบความปลอดภัย ฉันคิดว่าการมากับตัวคุณเองจะเป็นที่น่าจดจำมากขึ้น


ที่น่าสนใจถึงแม้ว่าการทดสอบคือฉันไม่สามารถพูดได้ว่าฉันเห็นด้วยกับอัลกอริทึมของมัน เป็นการทดสอบแบบสุ่มฉันเริ่มพิมพ์ด้วยตัวอักษรตัวพิมพ์ใหญ่และตัวเลขต่ำ ณ จุดหนึ่งฉันมี 86% จากนั้นการเพิ่มตัวอักษรเพิ่มคะแนนของฉันลดลงเหลือ 46% ฮะ?
KTC

KTC จะลดคะแนนของคุณหากคุณมีตัวละครซ้ำตัวพิมพ์ใหญ่ / ตัวพิมพ์เล็ก / หมายเลขต่อเนื่องตัวอักษร / ตัวเลขเป็นต้น แต่ฉันเห็นด้วยกับคุณว่าแม้การเพิ่มรหัสผ่านที่ไม่ปลอดภัยที่สุดในตอนท้ายของรหัสผ่านที่ปลอดภัยแล้ว ' ลดคุณภาพ
Travis

1

SecurityStatsเว็บไซต์มีหน้าที่คุณสามารถลอง Fu รหัสผ่านของคุณ
มันทำให้คุณมีคำแนะนำเกี่ยวกับรหัสผ่านที่ดีขึ้นมากเกินไป


อ่านที่ดีในบล็อกของ Google Enterpriseเกี่ยวกับการติดตามการรักษาความปลอดภัยรหัสผ่านคุณสามารถรักษาบัญชีด้วยตัวคุณเองที่คุณตรวจสอบจุดแข็งของรหัสผ่านของคุณ

เนื่องจากระบบการตรวจสอบบัญชี Google เห็นการเปลี่ยนแปลงรหัสผ่านใหม่จากทั่วโลกอย่างต่อเนื่องเราสามารถประเมินความแข็งแกร่งของรหัสผ่านแบบเรียลไทม์และช่วยให้ผู้ดูแลระบบมองเห็นรหัสผ่านที่ค่อนข้างปลอดภัยในอดีตที่มีความเสี่ยงต่อรูปแบบการโจมตีล่าสุด


1

xkcd: ความแข็งแกร่งของรหัสผ่าน

เท่าที่ความแข็งแกร่งต่อการแตกกำลังเดรัจฉานกำลังดีที่สุดสิ่งที่ต้องทำคือเพิ่มความยาวและจำนวนชุดค่าผสมที่เป็นไปได้จะเพิ่มขึ้นแบบทวีคูณ (ตามตัวอักษร) แน่นอนว่ามันเป็นความคิดที่ดีที่จะแนะนำตัวละครและสัญลักษณ์แบบสุ่มเพื่อให้การโจมตีพจนานุกรมยากขึ้น หรืออาจใช้คำสองสามคำจากภาษาต่าง ๆ - คะแนนโบนัสสำหรับตัวละครที่ไม่ใช่ ASCII!

มีการวิเคราะห์ที่ละเอียดมากขึ้นที่นี่

และในขณะที่เรากำลังมองหาที่คำแนะนำรหัสผ่าน xkcd, ไม่เคยนำมาใช้รหัสผ่าน


+1 ฉันชอบสิ่งนี้เกี่ยวกับรหัสผ่านด้วย: xkcd.com/792
Kevin Fegan

0

ดูเพิ่มเติมรหัสผ่านชง สิ่งนี้ใช้ข้อมูลที่คุณให้รวมถึงเมล็ดเพื่อให้คุณสามารถสร้างรหัสผ่านที่ไม่ซ้ำกัน จากนั้นสิ่งที่คุณต้องทำคือจดจำเมล็ดและคำนวณค่าข้อมูลเดียวกันและผู้สร้างรหัสผ่านจะสร้างรหัสผ่านเดียวกันให้คุณในภายหลัง

ปัญหาของฉันเกี่ยวกับรหัสผ่านเช่นนั้นยากที่จะพิมพ์และจดจำได้ยาก โดยส่วนตัวฉันมีโปรแกรมที่เรียกว่าgpwซึ่งสร้างรหัสผ่านจากกลุ่มพยางค์ทำให้เกิดรหัสผ่านซึ่งมักจะออกเสียง "เกือบ" หากคุณเพิ่มมันแล้วเพิ่มตัวพิมพ์ใหญ่และเครื่องหมายวรรคตอนคุณจะพบกับสิ่งที่ง่ายกว่าเล็กน้อยที่จะจำได้มากกว่าเสียงรบกวนเส้น

ตัวอย่างเช่นฉันจะทำสิ่งนี้:

$ gpw
ompartiz
tocycedt
psyllicu
doggiedu

ฉันจะเลือกอันที่ฉันชอบจากนั้นเปลี่ยนเป็นอะไรที่เหมือนกันไหม D0ggid00

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.