Şifre en iyi uygulamaları


30

Web sitelerinin yöneticilerinden 'hacker' öğrenen ve şifreleri yeniden deneyen son olaylar göz önüne alındığında, şifreler söz konusu olduğunda herkese en iyi uygulamalar hakkında ne önerebiliriz?

  • siteler arasında benzersiz şifreler kullanın (yani, hiçbir zaman bir şifreyi tekrar kullanmayın)
  • sözlükte bulunan kelimelerden kaçınılmalıdır
  • İngilizce olmayan bir dilden kelime veya kelime öbeği kullanmayı düşünün
  • pass cümleleri kullanın ve her kelimenin ilk harfini kullanın.
  • l33tifying çok yardımcı olmuyor

Lütfen daha fazlasını önerin!


4
İpucu üç çelişkili ucu iki.
Oddmund

@Oddmund: Hem İngilizce'yi hem de İngilizce'yi kullanmıyorsanız. Yani bir ispanyolca uno, yani OneUno kullanın. Veya kelime ayırma: kelimenin yarısı İngilizce'den, diğer yarısı başka bir dilden geliyor. İspanyolca futbol, ​​yani, futball kullanın. Ve sonra oradan tekrarla.
Kevin M,

@Oddmund: Hayır. (İngilizce olmayan) bir dilden kelimeler kullanmak, (İngilizce olmayan) bir sözlükte bulunacakları anlamına gelmez
user1092608

Yanıtlar:


25
  • Şifreleri kullanın değil ortak kelime veya isimlerden oluşan. Sözlük saldırıları milyonlarca kelimeyle sözlük kullanıyor ve çok hızlı.

  • Uzun şifreler kullanın. Şifre cümleleri kullanma eğilimindeyim . Bir cümle, cümle veya tekerleme seçerim ve kelimelerimin sözlük kelimeleri olmaması için adil sayıda alfa-sayısal olmayan karakter kullanmanın bir yolunu bulurum.

  • Birden fazla giriş servisi için aynı şifreyi kullanmayın. Parola seçimi için bir formül bulmak için biraz zaman ayırın. Bu, unutulursa, bir miktar deneme yanılma ile yeniden oluşturabileceğiniz birçok farklı şifre kullanmanızı sağlar.

  • Gerekirse, elbette, iyi, uzun, güvenli bir parola yazıp bir yere gizleyin. En azından hatırlanması kolay, zayıf bir şifre kullanmaktan daha iyidir.

  • Yukarıdaki öneriler yönetilemez durumdaysa, uzun ve güvenli bir şifreyle bir şifre yöneticisi kullanın ve ardından her şey için rasgele karakter şifreleri kullanın. Parola yöneticisini yanınızda şifrelenmiş bir USB flash sürücüde taşıyın (yedeklenmiş).


'Parola cümleleri'nde kalın kullanımımın neden işe yaramadığını bilen var mı? Düzenleme modundayken önizlemede iyi görünüyor .. garip.
Arnold Spence

iki yıldız mı kullanıyorsun yoksa bir tane mi? Sadece birini deneyin ...
Mikeage

1
@Mikeage: bir yıldız = italik; iki = kalın. <b> veya <strong> denemeyi öneririm; Bir kelimeye gömmekten şüpheleniyorum, SO’nun ayrıştırıcısını karıştırıyor.
derobert

1
"Geçiş" den hemen sonra bir boşluk bırakmaya çalışırdım, böylece [bir boşluk] [yıldız işareti] [yıldız işareti] ifadelerini geçmelisiniz. Bu işe yaramazsa, ikinci yıldız grubu ile dönem arasına bir boşluk koymaya çalışın.
pbz

3
+1 ila "iyi, uzun, güvenli bir parola yazıp saklayın". 1980'lerde, birileri kullanıcıları şifrelerini KAZANMAMALIDIR, bu davranış sıkışmış olarak uyarmaya başladı ve bu yüzden hepimiz daha kötü durumdayız.
Portman,

7

Parolalarla ilgili birkaç sorun buldum:

  • Birçok sitenin şifre uzunluğu üst sınırı vardır - 20 karakter gibi - aptalca, ancak ne yapabilirsiniz.
  • Diğer siteler şifrelerdeki boşluklara izin vermez.
  • Uzun metinleri kör bir şekilde yazmak, özellikle eğilimli bir dokunma yazmıcınız olmadığında hataya açıktır.
  • 50 karakterli parola yazmak, 15 karakterlik iyi paroladan biraz daha uzun sürer.

Bu sorun için benim çözümüm, parolaların gerçek parolayı hatırlatıcı olarak kullanmaktı. Örneğin, William Henry Davies'den (76 karakter) birkaç harika şiir seçebilirdim:

Görmeye vaktimiz yok, ormanları geçerken,
Sincapların çıldırdığı otları saklıyorlar.

Ve her kelimenin ilk harfini seçip şu güzel 16 karakterli şifreyi oluşturacağım:

Nttswwwp,Wshtnig

Şiir kullanmak özellikle iyidir, çünkü hatırlaması daha kolaydır ve şifreyi değiştirmeniz istendiğinde, şiirin sonraki birkaç satırını seçebilirsiniz.


3
Ayrıca, şifreniz her değiştiğinde yeni bir şiir öğrenir ve böylece bazı kültür puanları kazanırsınız. :)
Jonathan,

4
Şarkı sözlerini kullanarak kendimi bununla yattım. İlk olarak, şarkıyı mırıldanma eğilimim. İkincisi, şarkıyı bir ay boyunca
kafama soktum

4

Bir şifre rejimini başkalarına dikte ederken, yalnızca benzersiz bir eşikten daha uzun süre kullanmaları, karışık durumlar, özel karakterler vb. Kullanmaları gerekmez, aynı zamanda kullanıcıyı bu şifreleri oluşturmak / hatırlamak için şifre yöneticileri veya programları hakkında eğitin. Bunu yapmazsanız, kullanıcılar şifreleri bir yere yazacak veya onları "hatırlamanın" güvenli olmayan yollarını bulacaktır.


Parola yöneticilerine öğretmek, teknik olmayan ortalama bir kullanıcı için kötü bir örnektir. Biraz daha iyi, ancak yine de kötü bir uygulama (bunları elektronik olarak saklamak) için kötü bir uygulama (parola yazma) ile işlem yapıyorsunuz. Bir şifre yöneticisindeki güvenlik açığı (zayıf ana şifre, uzaktan kullanım, vs. gibi) felakete yol açabilir.
spoulson

Diğer bir deyişle, ben, banka girişlerinde gibi bir şifre yöneticisi vb değeri yüksek şifreleri saklamak olmaz
spoulson

Bruce Schneier'in bile, siteler arasında yeniden kullanılan ve / veya karıştırılan zayıf şifrelerin kullanımı üzerine güçlü bir şifreyle bir şifre yöneticisi kullanılmasını önerdiği konusunda size katılmıyorum .
Martin C.

@spoulson: teknolojiye kör güven her zaman tehlikelidir .. Ben şahsen yüksek oranda şifreli bir şifre kasasının (iyi bir pwd ile, aklınıza geldiğinde) bir giriş istemi kadar güvenli olduğuna inanıyorum. Giriş yapmayı sertleştirmek için işletim sistemi sağlayıcısına güveniyorsanız, Parola Yöneticileri yazarına da güvenebilirsiniz. Paranoya kuralları .. kimseye güvenme .. vb ... ama sonunda her zaman bir inanç sıçraması anlamına gelir ...
lexu

2
Schneier gider bugüne kadar aşağı onları yazmaya tavsiye: schneier.com/blog/archives/2005/06/write_down_your.html
Will M

4

Şifreleri hatırlamakta sorun yaşıyorsanız, iyi bilinen bir metin kullanın. Bir cümle, kullanım n al inci , şifre olarak her kelimeden noktalama tutun. (1 oluşturulan örneğin şifre st bu cevabın ilk cümlenin harfleri "Iyhtrp, uswkt." olabilir). Bazılarını büyük harfe dönüştürerek ve bazı özel karakterler ekleyerek daha güçlü hale getirebilirsiniz.


Bu gerçekten iyi bir yöntem!
Techboy

3

Bir şifre kullanmayın, ilk etapta yanlış gideceğiniz yer orasıdır. Rastgele bir karakter koleksiyonu (minimum 8) veya bir şifre kullanın. ILikeStackOverflowOnions veya ILikeServerFaultOnions; örneğin, her site için farklı bir parola oluşturmak için bir formül bulabilirsiniz. Bu, sizi yabancılara karşı güvende tutar, ancak gerçek site saldırıya uğradığında ve şifreler tuzlanmadığında veya yönetici ilk başta bozulmuşsa yine de sorunlara neden olabilir.


1+ Fakat neden parolada boşluk veya noktalama işareti yok? Bu onlara "Zeytin ve serverfault.com'u seviyorum!" bu oldukça güçlü bir parola olmalı ancak son derece hızlı ve
yazması

Evet, boşluklar noktalama işareti gibi elbette bir artı. Ancak noktalama işaretleriyle şifreleri almayacak çok sinir bozucu bazı güvensiz siteler olduğunu gördüm, bir zamanlar yapmadığım bir
bankam

1
@Oskar Duveborn: Paroladaki noktalama işaretlerini kullanmak yerine, daha uzun süre kullanabileceğinizi unutmayın; matematiksel olarak, sonuç (olası şifre sayısı) aynıdır. Biraz daha uzun yaparsanız, PW'leri yalnızca küçük harflerle kullanabilirsiniz.
sleske

Evet, insanlar için bir cümleyi hatırlamayı kolaylaştırmak için sadece noktalama işaretleri kullanıyorum. Daha uzun bir şifrenin faydaları sadece bir bonus;) Ayrıca üç yıl önce yer almayan bir bankam vardı. Bugünlerde her şey yolunda. Ve eski unix sistemlerinde maksimum 8 karakter bulunur, ancak ne yazdığınızı göremediğiniz için her zaman 30 karakter şifresini de
yazmış gibi yaparsınız

3

Şifrenizi düzenli aralıklarla değiştirin. Çalıştığım yerde, 30 günlük bir döngü. Bu bir PITA, ancak saldırıya uğramış şifrelerin değerini sınırlı bir zaman diliminde azaltır. Bunun yanı sıra, karmaşık bir AD şifre politikası, en az 8 karakter olması gerektiğini, üst, alt, sayısal ve semboller içermesi gerektiğini belirtir.

Ek olarak, bir self-servis şifre yöneticisi servisi kullanıyoruz. Kullanıcının unutursa şifresini sıfırlamasına ya da çok defa kullanmazsa kilidini açmasına izin veren işlevsellik sağlayan özel bir Windows GINA sunar. Şifre yöneticisi uygulaması kullanıcının servise kaydolmasını gerektirir, yalnızca kullanıcının şifreyi sıfırlaması / hesabının kilidini açması gerektiğinde daha sonra sorular olarak kullanılacağını bildiği bir sürü kişisel bilgi sağlar.


3
Zamana dayalı parola değişikliklerini zorlamak, genellikle çok kötü bir uygulama olarak görülür. Neredeyse çoğu insanın şifresinin son birkaç rakamının en son ayarlandığı ayı veya yılı içereceğini garanti edebilirim.
Andrew

3

Kullanıcı tarafından düşünülmek yerine şifrelerin oluşturulması gerektiğine inanıyorum. Bu, tüm bu saçma sorunları tahmin etmek kolay şifreler ile önler.

Gibi şifre listeleri üreten pwgen kullanmayı seviyorum

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

ama gerçekten herhangi bir pw nesil program yapacak. Pwgen'in bir avantajı, bazı ünlüleri de dahil ederek şifreleri (bir şekilde) akılda kalıcı hale getirmeye çalışmasıdır.


Ben böyle yapıyorum. Bir sürü şifre oluşturun ve belirsiz karakterleri olmayan bir tane, ben, vb.
İçeren birini seçin


2
  1. Güçlü şifreler kullanın.
  2. Şifreleri tekrar kullanmayın.
  3. # 2 göz önüne alındığında, ezici farklı hesapları karşısında PwdHash gibi bir araç kullanın .


2

Giriş yaptığınız tüm web siteleri için benzersiz şifreler oluşturmak için SuperGenPass gibi bir araç kullanın .


Aptalları oluşturmak için milyonlarca aptalca kurallara sahip olmak yerine sadece parola oluşturmak için +1.
sleske

2

Hak5 , Remote Exploit’tan bir dizi dizi alan ve tüm kombinasyonların, üst, alt, küçük harflerin yazımını vb. İçeren bir sözlük gösteren bir bölüm hazırladı . Böylece hedefin adı, çocuk adları, doğum günleri veya Hedef hakkında bildiğiniz diğer bilgiler. Ürettiği sözlük, zayıf parola zorlamak için girdi olarak kullanılabilir.

Ahlaki: Şifrenizde kişisel bilgileri kullanmaktan kaçının


1
İşlerin diğer tarafında, bir süre önce müşterinin parola gereksinimlerinden birinin "bir sözlük kelimesi olamayacağı" olduğu bir sitede çalıştım (leet, vb.). yasaklanan ve parolalarını değiştirdiklerinde geri gönderme döngüsünde çalıştırmak için yeterince hızlı olan çeşitli varyasyonların tümü.
GalacticCowboy

İyi bir nokta, ne kadar çok seçenek kısıtlarsanız o kadar çok seçenek de o kadar net olabilir.
spoulson

1
@Spoulson'un da aynısını ima ettiğinden emin değilim, ancak: sözlükten herhangi bir kelimeyi aktif olarak yasaklıyorsanız, temelde olası şifrelerin sayısını sınırlamıyor musunuz? Dolayısıyla teoride şifreyi bulmayı kolaylaştırmak mı?
Arjan

Fikir, tanınan kalıpları, sözlüğe üçüncü şahıslar tarafından saldırıya uğrayan ya da kolaylıkla hatırlayabilen bir şifrede kaldırmaktır. Zayıf şifreler oluşturma yeteneğinin kaldırılması, şifre şemasını daha zayıf kılmaz.
spoulson

@Ajran: Evet, elbette haklısınız, "zayıf" şifrelere izin vermemek, şifrelerin bit uzunluğunu etkili bir şekilde azaltır (verilen azami uzunluktaki). Ancak, bu yalnızca, parola alanının ihmal edilemez bir kısmına gerçekten izin vermemeniz durumunda geçerlidir, ki umarım durum böyle değildir.
sleske

2

İngilizce olmayan bir dilde kelime veya kelime öbekleri biliyorsanız , bunları şifrenizin bir parçası olarak kullanabilirsiniz. Örneğin, genellikle Japonca kelimeleri, sözlük saldırılarını engelleyen ancak bunları hatırlamama izin veren (rastgele oluşturulmuş şifrelerin aksine) şifrelerimin bir parçası olarak kullanırım.


2
Parolalarınıza saldıran kişilerin yalnızca İngilizce konuşacağını varsaymayın. Yalnızca İngilizce konuşan bir saldırganın, şifre kırıcısına başka dil sözlükleri ekleyemeyeceğini varsaymayın.
pgs,

2

Herhangi bir web şifresini saklamak için aslen Bruce Schneier tarafından tasarlanan Password Safe'i kullanmaya başladım . Parola kasasında çok güçlü bir parola var ve diğer tüm parolalar otomatik olarak oluşturuldu ve web sitelerinde bir daha asla kullanılmadı.

Yazılımın ayrıca süresi dolan şifreler ve benzeri özellikleri de vardır.

Bunu ( güçlü güvenli parola verildiğinde ) web sitesi parolalarına en uygun ve en güvenli yaklaşım olarak görüyorum .


1

Ailem ve arkadaşlarım için, evcil hayvan isimleri ve anne kızlık soyadı gibi şeyleri kullanmanın ve aşağıdaki iki şey gerçekleştiği sürece kullanmanın soğuk olduğunu söylerim:

  • en az iki isim birleştirin (ör: anne kızlık soyadı + evcil hayvan adı)
  • büyük ve özel karakterleri içerir.

Düşük güvenlikli uygulamalar için tamam, sanırım. Ancak bunu örneğin bir çevrimiçi bankacılık sitesi için yapmak istemezsiniz.
David Z

Kötü bir fikir tam dur. Çok tahmin edilebilir ve her yerde zayıf şifreleri teşvik ediyor. Aynı tavsiye ailelere ve arkadaşlara çalışanlara verilen şekilde verilmelidir.
Judioo

@ i-moan Katılıyorum ama bunu doğru yönde bir adım olarak kullanıyorum. Evcil hayvan adını veya başka bir şeyi kullanarak SADECE yerine bu yaklaşımı kullanmalarını sağlayabilirsem, doğru yönde bir adım olduğunu düşünüyorum
Christian Hagelid

İyi yorumlar. Sizin için hatırlaması kolay olan, ancak diğerlerinin tahmin etmesi imkansız olan şeyler
Techboy

1

Zorunlu şifre sona erme süresi belirlenirken, bir gün bloğu yerine 7 faktörü seçin (örn. 30 veya 60 gün).

30 günlük sürenin sona ermesinin sonucu, kullanıcının bir tatil veya hafta sonu şifresini değiştirmesi gerekebilir ve ertesi gün işe geldiğinde bir sürpriz yapabilir.

Son kullanma tarihini 7 faktörüne ayarlayacaksanız, bu şifre değiştirme tarihinin önceki değişiklikle aynı haftanın gününe düşmesini sağlayacaktır.


Aslında, son kullanma tarihi olan çoğu sistemin iki son kullanma tarihi vardır: İlkinden sonra, bir sonraki oturum açışınızda pw'nizi değiştirmeniz gerekir. Sadece ikincisi sadece bir pw değişikliğinden geçtikten sonra, son kullanma gerçekte gerçekleşir. Yani bu normalde bir sorun olmamalıdır.
sleske,

1

Aynı kullanıcı tabanı için birden fazla siteniz varsa, o zaman bir tür oturum açma (Shibboleth gibi) önermeliyim. Kullanıcılar çoklu siteler için farklı şifrelere sahip olduklarında, hepsini hatırlamakta sorun yaşarlar. Bir veya iki şifre çoğu kişi tarafından kolayca hatırlanır, üç kullanıcı bunları gizli bir yere yazabilir. Eğer dörtten fazla kullanıcı çok iyi olursa, hepsini bir not üzerine yazabilir ve masaya ya da monitöre uygulayabilir.

Parolaların aşırı karmaşık olması gerekmez, ancak ilk veya ikinci girişimi önleyecek kadar karmaşık olmaları gerekir. Sisteminiz / siteleriniz girişimlerde giriş sayısını sınırlayan bir çeşit güvenlik önlemi aldıkça şifrelerin karmaşık olması gerekmez.

Örnek olarak, sistemlerinizin saatte 3 oturum açma girişimi sınırı varsa, "Cindy65" gibi bir temel şifre yeterince karmaşıktır. Hacker kullanıcıların gerçek ismi Cindy olduğunu biliyoruz da, o gerçekten o doğal olarak "Cindy", "olurdu 1965 His girişimleri doğdu asla bilemez l astname", "Cindy", L bundan olsa astname" engellendiği zaman.

Bu basit bir durum ve basit bir parola olsa da, yönetici her şeyi doğru sunucu tarafında ayarladıysanız, gerçekten gerekli olan tek şey budur. Ayrıca, rastgele bir tuş kombinasyonu gibi, hatırlanması kolay, biraz daha karmaşık şifreler de isteyebiliriz. Semboller ve büyük harfler de çok yardımcı olur.

Sadece hatırlamamız gerekir, kullanıcı üzerinde ne kadar zorlaşırsak, kamuoyuna yazmaları o kadar muhtemeldir.

Kullanıcılarımdan her zaman istemelerini istediğim bir şey, isimlerini, üzerinde bulundukları bir ilacın adı, en sevdiği yemek, en iyi arkadaşların adı vb. İle birleştirilmiş isimlerle yazmak.

Örnekler: CindyProzac, WilliamCodene, JoePetertherabbit

İyi şanslar.


0

Yazma. Ve yaparsan, güvenli bir yere koy. Ve bu açılanı da yazmayın .


2
En son ne zaman biri eve girip şifre çaldı? Ev kullanıcıları için bir parola yazmak çoğu zaman en güvenli olanıdır, çünkü güçlü, benzersiz, hatırlaması zor parolaları teşvik eder.
Portman,

Ben ile aynı fikirdeyim - özellikle çalışma ortamı için
Techboy

0

Güvenlik gereksinimleri gerçekten sıkı ise, mümkün olan her yerde parola kullanmaktan kaçının. Akıllı anahtarlarda ssh anahtar tabanlı kimlik doğrulama, müşteri sertifikaları vb. Kullanıldığını düşünün. Bu işi düzgün yapabilmek için çok fazla beceri ve bütçe gerekir, bu yüzden uygun bir risk değerlendirmesi yapılmalıdır.

Şifrelere sadık kalmaya karar verirseniz, capar ve lexu'nun tavsiyelerine uyurum.


0

Parola uzunluğu üzerindeki kısıtlamalar aptalca. (Parolaları 6-8 karakter arasında sınırlamak yaygındır, ancak modern sistemlerde bir anlamı yoktur).

Sık sık şifre değişikliği yapılması, kullanıcıların şifrelerini yazmalarını ve daha basitlerini seçmelerini teşvik eder. Bu bir tehdit tehdididir ve hangi tehdidin daha alakalı olduğunu düşünmelisiniz.

Kullanıcının, yalnızca harflerden oluşan 30 karakterlik bir şifreye izin vermek yerine, tam olarak 8 karakterlik bir şifrede "özel karakter" içermesini istemek bir anlam ifade etmiyor.

Kullanıcılara açık bir şifre vermeyin ve şifreyi değiştirmelerini isteyin. Yapmazlar. Ya ilk girişte değiştirmeleri gerekir, yazacaklarını bilerek onlar için güçlü bir şifre seçmeleri veya önünüzde güçlü bir şifre seçmeleri gerekir.


0

Kullanıcılarımızı şifre seçmek ve her kelimenin ilk harfini kullanmak için eğitiyoruz.
WTOUTPPAUTFLOEW - bir sıfır veya 3 ekleyiniz (hassaslaştırma), kapak kilidini birkaç kez değiştiriniz ve hiçbir sözlüğün seçemeyeceği, fakat hatırlaması kolay bir şeyiniz var.

Ancak, sadece şirket sloganına / vizyonuna vb. dayanarak şifrelerini parola olarak değiştirmediğinizden emin olun.


-1

Bu web sitesi yöneticisine ne olduğunu önlemeye yardımcı olmak ve bir Unix kabuğuna veya Cygwin’e erişiminiz olduğunu varsayarak,

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

ve bu değeri http://gdataonline.com/ gibi bir MD5 veritabanına karşı kontrol edin. . Orada görünmediğinden emin ol.

Ayrıca, işte bu, ham değer için sadece googling ile elde ettiğim daha ham bir MD5 sözlüğüne bir örnek (uyarı: büyük dosya): https://secure.sensepost.com/sp-hash/jebwy


1
Evet, bu, çalışma sıralarına yeni özetler göndermenin mükemmel bir yoludur, bu nedenle bir zamanlar karma için basit bir google araması parolayı ortaya çıkaracaktır. Bu tür sitelere karma göndermeme şiddetle tavsiye ediyorum.
serverhorror

2
Senin karma "jeffa" btw ...
serverhorror
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.