Şifre en iyi uygulamaları

Web sitelerinin yöneticilerinden 'hacker' öğrenen ve şifreleri yeniden deneyen son olaylar göz önüne alındığında, şifreler söz konusu olduğunda herkese en iyi uygulamalar hakkında ne önerebiliriz?

• siteler arasında benzersiz şifreler kullanın (yani, hiçbir zaman bir şifreyi tekrar kullanmayın)
• sözlükte bulunan kelimelerden kaçınılmalıdır
• İngilizce olmayan bir dilden kelime veya kelime öbeği kullanmayı düşünün
• pass cümleleri kullanın ve her kelimenin ilk harfini kullanın.
• l33tifying çok yardımcı olmuyor

Lütfen daha fazlasını önerin!

• Şifreleri kullanın değil ortak kelime veya isimlerden oluşan. Sözlük saldırıları milyonlarca kelimeyle sözlük kullanıyor ve çok hızlı.

• Uzun şifreler kullanın. Şifre cümleleri kullanma eğilimindeyim . Bir cümle, cümle veya tekerleme seçerim ve kelimelerimin sözlük kelimeleri olmaması için adil sayıda alfa-sayısal olmayan karakter kullanmanın bir yolunu bulurum.

• Birden fazla giriş servisi için aynı şifreyi kullanmayın. Parola seçimi için bir formül bulmak için biraz zaman ayırın. Bu, unutulursa, bir miktar deneme yanılma ile yeniden oluşturabileceğiniz birçok farklı şifre kullanmanızı sağlar.

• Gerekirse, elbette, iyi, uzun, güvenli bir parola yazıp bir yere gizleyin. En azından hatırlanması kolay, zayıf bir şifre kullanmaktan daha iyidir.

• Yukarıdaki öneriler yönetilemez durumdaysa, uzun ve güvenli bir şifreyle bir şifre yöneticisi kullanın ve ardından her şey için rasgele karakter şifreleri kullanın. Parola yöneticisini yanınızda şifrelenmiş bir USB flash sürücüde taşıyın (yedeklenmiş).

Parolalarla ilgili birkaç sorun buldum:

• Birçok sitenin şifre uzunluğu üst sınırı vardır - 20 karakter gibi - aptalca, ancak ne yapabilirsiniz.
• Diğer siteler şifrelerdeki boşluklara izin vermez.
• Uzun metinleri kör bir şekilde yazmak, özellikle eğilimli bir dokunma yazmıcınız olmadığında hataya açıktır.
• 50 karakterli parola yazmak, 15 karakterlik iyi paroladan biraz daha uzun sürer.

Bu sorun için benim çözümüm, parolaların gerçek parolayı hatırlatıcı olarak kullanmaktı. Örneğin, William Henry Davies'den (76 karakter) birkaç harika şiir seçebilirdim:

Görmeye vaktimiz yok, ormanları geçerken,
Sincapların çıldırdığı otları saklıyorlar.

Ve her kelimenin ilk harfini seçip şu güzel 16 karakterli şifreyi oluşturacağım:

Nttswwwp,Wshtnig

Şiir kullanmak özellikle iyidir, çünkü hatırlaması daha kolaydır ve şifreyi değiştirmeniz istendiğinde, şiirin sonraki birkaç satırını seçebilirsiniz.

Bir şifre rejimini başkalarına dikte ederken, yalnızca benzersiz bir eşikten daha uzun süre kullanmaları, karışık durumlar, özel karakterler vb. Kullanmaları gerekmez, aynı zamanda kullanıcıyı bu şifreleri oluşturmak / hatırlamak için şifre yöneticileri veya programları hakkında eğitin. Bunu yapmazsanız, kullanıcılar şifreleri bir yere yazacak veya onları "hatırlamanın" güvenli olmayan yollarını bulacaktır.

Şifreleri hatırlamakta sorun yaşıyorsanız, iyi bilinen bir metin kullanın. Bir cümle, kullanım n al ^inci , şifre olarak her kelimeden noktalama tutun. (1 oluşturulan örneğin şifre ^st bu cevabın ilk cümlenin harfleri "Iyhtrp, uswkt." olabilir). Bazılarını büyük harfe dönüştürerek ve bazı özel karakterler ekleyerek daha güçlü hale getirebilirsiniz.

Bir şifre kullanmayın, ilk etapta yanlış gideceğiniz yer orasıdır. Rastgele bir karakter koleksiyonu (minimum 8) veya bir şifre kullanın. ILikeStackOverflowOnions veya ILikeServerFaultOnions; örneğin, her site için farklı bir parola oluşturmak için bir formül bulabilirsiniz. Bu, sizi yabancılara karşı güvende tutar, ancak gerçek site saldırıya uğradığında ve şifreler tuzlanmadığında veya yönetici ilk başta bozulmuşsa yine de sorunlara neden olabilir.

Şifrenizi düzenli aralıklarla değiştirin. Çalıştığım yerde, 30 günlük bir döngü. Bu bir PITA, ancak saldırıya uğramış şifrelerin değerini sınırlı bir zaman diliminde azaltır. Bunun yanı sıra, karmaşık bir AD şifre politikası, en az 8 karakter olması gerektiğini, üst, alt, sayısal ve semboller içermesi gerektiğini belirtir.

Ek olarak, bir self-servis şifre yöneticisi servisi kullanıyoruz. Kullanıcının unutursa şifresini sıfırlamasına ya da çok defa kullanmazsa kilidini açmasına izin veren işlevsellik sağlayan özel bir Windows GINA sunar. Şifre yöneticisi uygulaması kullanıcının servise kaydolmasını gerektirir, yalnızca kullanıcının şifreyi sıfırlaması / hesabının kilidini açması gerektiğinde daha sonra sorular olarak kullanılacağını bildiği bir sürü kişisel bilgi sağlar.

Kullanıcı tarafından düşünülmek yerine şifrelerin oluşturulması gerektiğine inanıyorum. Bu, tüm bu saçma sorunları tahmin etmek kolay şifreler ile önler.

Gibi şifre listeleri üreten pwgen kullanmayı seviyorum

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

ama gerçekten herhangi bir pw nesil program yapacak. Pwgen'in bir avantajı, bazı ünlüleri de dahil ederek şifreleri (bir şekilde) akılda kalıcı hale getirmeye çalışmasıdır.

Şundan farklı bir şey (source dailywtf.com):

1. Güçlü şifreler kullanın.
2. Şifreleri tekrar kullanmayın.
3. # 2 göz önüne alındığında, ezici farklı hesapları karşısında PwdHash gibi bir araç kullanın .

Bu 500 en kötü şifrelerden uzak durun .

Uzun, karmaşık şifreler iyi güvenlik, temel olarak güçlü şifreler sunar , ancak kesinlikle tüm kullanıcı hesapları için farklı şifreler kullanır.

Giriş yaptığınız tüm web siteleri için benzersiz şifreler oluşturmak için SuperGenPass gibi bir araç kullanın .

Hak5 , Remote Exploit’tan bir dizi dizi alan ve tüm kombinasyonların, üst, alt, küçük harflerin yazımını vb. İçeren bir sözlük gösteren bir bölüm hazırladı . Böylece hedefin adı, çocuk adları, doğum günleri veya Hedef hakkında bildiğiniz diğer bilgiler. Ürettiği sözlük, zayıf parola zorlamak için girdi olarak kullanılabilir.

Ahlaki: Şifrenizde kişisel bilgileri kullanmaktan kaçının

İngilizce olmayan bir dilde kelime veya kelime öbekleri biliyorsanız , bunları şifrenizin bir parçası olarak kullanabilirsiniz. Örneğin, genellikle Japonca kelimeleri, sözlük saldırılarını engelleyen ancak bunları hatırlamama izin veren (rastgele oluşturulmuş şifrelerin aksine) şifrelerimin bir parçası olarak kullanırım.

Herhangi bir web şifresini saklamak için aslen Bruce Schneier tarafından tasarlanan Password Safe'i kullanmaya başladım . Parola kasasında çok güçlü bir parola var ve diğer tüm parolalar otomatik olarak oluşturuldu ve web sitelerinde bir daha asla kullanılmadı.

Yazılımın ayrıca süresi dolan şifreler ve benzeri özellikleri de vardır.

Bunu ( güçlü güvenli parola verildiğinde ) web sitesi parolalarına en uygun ve en güvenli yaklaşım olarak görüyorum .

Ailem ve arkadaşlarım için, evcil hayvan isimleri ve anne kızlık soyadı gibi şeyleri kullanmanın ve aşağıdaki iki şey gerçekleştiği sürece kullanmanın soğuk olduğunu söylerim:

• en az iki isim birleştirin (ör: anne kızlık soyadı + evcil hayvan adı)
• büyük ve özel karakterleri içerir.

Zorunlu şifre sona erme süresi belirlenirken, bir gün bloğu yerine 7 faktörü seçin (örn. 30 veya 60 gün).

30 günlük sürenin sona ermesinin sonucu, kullanıcının bir tatil veya hafta sonu şifresini değiştirmesi gerekebilir ve ertesi gün işe geldiğinde bir sürpriz yapabilir.

Son kullanma tarihini 7 faktörüne ayarlayacaksanız, bu şifre değiştirme tarihinin önceki değişiklikle aynı haftanın gününe düşmesini sağlayacaktır.

Aynı kullanıcı tabanı için birden fazla siteniz varsa, o zaman bir tür oturum açma (Shibboleth gibi) önermeliyim. Kullanıcılar çoklu siteler için farklı şifrelere sahip olduklarında, hepsini hatırlamakta sorun yaşarlar. Bir veya iki şifre çoğu kişi tarafından kolayca hatırlanır, üç kullanıcı bunları gizli bir yere yazabilir. Eğer dörtten fazla kullanıcı çok iyi olursa, hepsini bir not üzerine yazabilir ve masaya ya da monitöre uygulayabilir.

Parolaların aşırı karmaşık olması gerekmez, ancak ilk veya ikinci girişimi önleyecek kadar karmaşık olmaları gerekir. Sisteminiz / siteleriniz girişimlerde giriş sayısını sınırlayan bir çeşit güvenlik önlemi aldıkça şifrelerin karmaşık olması gerekmez.

Örnek olarak, sistemlerinizin saatte 3 oturum açma girişimi sınırı varsa, "Cindy65" gibi bir temel şifre yeterince karmaşıktır. Hacker kullanıcıların gerçek ismi Cindy olduğunu biliyoruz da, o gerçekten o doğal olarak "Cindy", "olurdu 1965 His girişimleri doğdu asla bilemez l astname", "Cindy", L bundan olsa astname" engellendiği zaman.

Bu basit bir durum ve basit bir parola olsa da, yönetici her şeyi doğru sunucu tarafında ayarladıysanız, gerçekten gerekli olan tek şey budur. Ayrıca, rastgele bir tuş kombinasyonu gibi, hatırlanması kolay, biraz daha karmaşık şifreler de isteyebiliriz. Semboller ve büyük harfler de çok yardımcı olur.

Sadece hatırlamamız gerekir, kullanıcı üzerinde ne kadar zorlaşırsak, kamuoyuna yazmaları o kadar muhtemeldir.

Kullanıcılarımdan her zaman istemelerini istediğim bir şey, isimlerini, üzerinde bulundukları bir ilacın adı, en sevdiği yemek, en iyi arkadaşların adı vb. İle birleştirilmiş isimlerle yazmak.

Örnekler: CindyProzac, WilliamCodene, JoePetertherabbit

İyi şanslar.

Yazma. Ve yaparsan, güvenli bir yere koy. Ve bu açılanı da yazmayın .

Güvenlik gereksinimleri gerçekten sıkı ise, mümkün olan her yerde parola kullanmaktan kaçının. Akıllı anahtarlarda ssh anahtar tabanlı kimlik doğrulama, müşteri sertifikaları vb. Kullanıldığını düşünün. Bu işi düzgün yapabilmek için çok fazla beceri ve bütçe gerekir, bu yüzden uygun bir risk değerlendirmesi yapılmalıdır.

Şifrelere sadık kalmaya karar verirseniz, capar ve lexu'nun tavsiyelerine uyurum.

Parola uzunluğu üzerindeki kısıtlamalar aptalca. (Parolaları 6-8 karakter arasında sınırlamak yaygındır, ancak modern sistemlerde bir anlamı yoktur).

Sık sık şifre değişikliği yapılması, kullanıcıların şifrelerini yazmalarını ve daha basitlerini seçmelerini teşvik eder. Bu bir tehdit tehdididir ve hangi tehdidin daha alakalı olduğunu düşünmelisiniz.

Kullanıcının, yalnızca harflerden oluşan 30 karakterlik bir şifreye izin vermek yerine, tam olarak 8 karakterlik bir şifrede "özel karakter" içermesini istemek bir anlam ifade etmiyor.

Kullanıcılara açık bir şifre vermeyin ve şifreyi değiştirmelerini isteyin. Yapmazlar. Ya ilk girişte değiştirmeleri gerekir, yazacaklarını bilerek onlar için güçlü bir şifre seçmeleri veya önünüzde güçlü bir şifre seçmeleri gerekir.

Kullanıcılarımızı şifre seçmek ve her kelimenin ilk harfini kullanmak için eğitiyoruz.
WTOUTPPAUTFLOEW - bir sıfır veya 3 ekleyiniz (hassaslaştırma), kapak kilidini birkaç kez değiştiriniz ve hiçbir sözlüğün seçemeyeceği, fakat hatırlaması kolay bir şeyiniz var.

Ancak, sadece şirket sloganına / vizyonuna vb. dayanarak şifrelerini parola olarak değiştirmediğinizden emin olun.

Bu web sitesi yöneticisine ne olduğunu önlemeye yardımcı olmak ve bir Unix kabuğuna veya Cygwin’e erişiminiz olduğunu varsayarak,

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

ve bu değeri http://gdataonline.com/ gibi bir MD5 veritabanına karşı kontrol edin. . Orada görünmediğinden emin ol.

Ayrıca, işte bu, ham değer için sadece googling ile elde ettiğim daha ham bir MD5 sözlüğüne bir örnek (uyarı: büyük dosya): https://secure.sensepost.com/sp-hash/jebwy