Kullanıcı kaydı için makul ve güvenli bir şifre gereksinimi nedir?


10

Bu, UPS'den yeni aldığım şifre politikasıdır (sadece paket durum kontrolü için):

Şifreniz 8 ila 26 karakter uzunluğunda olmalıdır. Aşağıdaki karakter türlerinden en az üçünü içermelidir: küçük harfler, büyük harfler, sayılar, özel karakterler veya boşluklar. Parola, Kullanıcı Kimliğinizi, adınızı veya e-posta adresinizi içeremez. (SSO_1007)

Aslında beynimi bu şifreyi oluşturmak için biraz sarmalıyım, ama sadece bu değil, en önemlisi, 3 gün sonra bu şifrenin ne olduğunu unutacağımdan eminim. Kullanıcılar çok mutlu olmayacak. Şifre sıfırlama sık olabilir. Kullanıcıların siteyi kullanmak zorunda olmadıkça siteyi kullanmaktan kaçınmaya çalışacağını düşünüyorum.

Bir web sitesi oluştururken makul ve güvenli bir şifre politikası nedir? Bazı şirketlerin bazı bilgisayar korsanlarının milyonlarca veya daha fazla şifre denemesinden korkabileceğini düşünüyorum, bu nedenle "özel karakterler, küçük harf, büyük harf" için tüm bu gereksinimleri ekliyorlar, ancak hesabı kapatmak veya yalnızca devre dışı bırakmak mantıklı olmayacak. şifre ve bir kullanıcı 30 kez veya 100 kez denediyse bir şifre sıfırlama gerektirir? Veya kullanıcı 30 kez denedikten sonra her defasında 5 saniyelik bir gecikme eklensin mi? Eğer öyleyse, bu özel karakterlere o kadar ihtiyaç duyulmaz.


1
30 trys sonra şifreyi sıfırlarsanız, her şeyi daha da kötüleştirecek kötü insanları (bilgisayar korsanları / script-kiddys) rahatsız etmek için sadece diğer kullanıcıları rahatsız etmek için harika bir fırsat verirsiniz.
oezi

@oezi demek, bilgisayar korsanları sadece sahte şifreleri ile 30 kez giriş yaparak iyi insanları rahatsız edebilir? Yeni eklediğim 30 kez denemeden sonra 5 saniyelik gecikmeye ne dersiniz?
kutupsuzluk

14
"Doğru at pil zımba" izin vermediğinde bir şifre maksimum uzunluğu ciddiye alamıyorum bahsetmiyorum bile.
David Thornley

6
Bu Xkcd çizgi romanında aşağıdaki ikinci yönteme ne dersiniz ?
Robert Harvey

6
Merhaba this, bu muhtemelen bir kardeş site, BT Güvenliği için daha iyi bir soru , ancak orada birkaç farklı formda soruldu ve cevaplandı. Bunun gibi sorulara göz atın veya Robert Harvey'nin yorumunun etrafındaki bağlam hakkında daha fazla bilgi için bu soruya bir göz atın .

Yanıtlar:


15

Dürüst olmak gerekirse, bir şifre değil, bir sıkıntı olmak için sıkı şifre gereksinimleri buluyorum. Kural olarak en makul sadece bir uzunluk, belki özel karakterler + alfasayısal belirtmek olduğunu söyleyebilirim. Başka her şey, insanların güvenli parolalara sahip olma amacını yenen parolalarını yazmalarını istemektedir. Ayrıca, her x günde bir şifrenizi her zamanki gülünç kurallarla değiştirmek zorunda kalmaktan nefret ediyorum. hangi noktada parola istemeyeceğinizi de unutmayın.


4
Parolaları yazmak amacı bozmaz. Monitörümde sıkışmış bir post-it üzerinde gerçekten karmaşık bir şifrem varsa , o zaman birinin hesabıma erişebilmesinin tek yolu evime girmiş ve çalışmamda masamda oturmuş olmalarıdır. Bu durumda , UPS teslimatlarımı takip edebilen birinden çok daha büyük bir sorunum var.
Qwerky

2
Bu bir şirket politikası ve iş arkadaşı birinin şifresini bulursa ne olur? Hasar yine de neden olabilir ve sözde güvenli şifre politikası, o kadar karmaşıksa, çoğu insanın monitörüne post-post yapması için çok az şey yapar, böylece geçen herkes şirket verileri için şifresini bulabilir.
Wayne Molina

2
+1, Wayne ile tamamen katılıyorum. Büyük bir güvenlik tehditleri olmasa da büyük bir kısmı 'içeriden' gelir. Kullanıcıları şifreleri yazmaya zorlayan politikalar bu amacı tamamen ortadan kaldırır.
GrandmasterB

1
Kurallara uymak için aşırı karmaşık bir şifre düşünmeleri gerekiyorsa, halkı kullanıcılardan rahatsız edebilirsiniz gerçeğinden bahsetmiyorum.
Mavrik

1
@mouviciel Cüzdanım ve telefonum gibi şeyleri oraya koymam için yeterince güveniyorum, ki bu da neredeyse her çevrimiçi hesabımdan daha fazla değer veriyorum.
Qwerky

13

Bence parolaların yalnızca bir uzunluk şartı olması gerekiyor. Birinin şifresini "a" olarak girmesini istemezsiniz. Ve xkcd cevabının gösterdiği gibi, hatırlanması son derece zor bir şifre her zaman bu kadar güvenli değildir. İnsanların parolalarını değiştirmelerine her zaman izin ver. Ve "önceki şifrenizde bulunan karakterlerden hiçbirini kullanamazsınız" saçmalığını unutun.

Müstehcen bir şifre politikası oluşturmak, yarardan çok zarar verecektir. Kolejde şifre politikasına gittim UPS politikasına benziyordum ve bunu her 2 haftada bir değiştirmek zorunda kaldınız VE kullandığınız önceki 50 şifreyi kullanamazsınız. Bu yüzden, öğretmenlerimin bize hesap oluştururken önerdikleri kurallara uygun olan normal şifremizi kullanmak ve sonuna bir sayaç eklemek ve sayaç numaranızın ne olduğunu ipucu olarak eklemektir.

Ayrıca, düz metin veritabanınız bir SQL enjeksiyon hatasıyla saldırıya uğradığında katı bir şifre politikası hiçbir şey yapmaz ... veya kullanıcılarınıza şifreleri e-postayla gönderir ve ele geçirilir.

Temel olarak, şifre sisteminizi kullanıcılarınız için bir güçlük haline getirmeyin, aksi takdirde onların etrafında çalışabilmeleri için güvensiz şeyler yapmalarını teşvik eder. Örneğin, şirketim bir veri merkezinden özel bir sunucu alırken, bize 20 karakter uzunluğunda şifreler ayarladılar. Onlar bize e-posta için çok güvenli ve faks gerekiyordu. Şifreleri değiştiremedik, yalnızca 20 karakterlik yeni bir şifre oluşturulmasını istedik. Ve bu her kullanıcı için böyleydi ... bu yüzden yaptığımız şey masaüstü bilgisayarlarımızda şifre ile bir metin belgesi yapmak. Ayrıca, artık kullanmıyoruz çünkü sahip oldukları tüm "güvenlik" için gerçekten güvensizdiler.


Bir şifreyi hatırlamak için yeterince zorlaştırırsanız, kullanıcılarınızın masalarındaki yapışkan not defterine döndüklerini belirtmiyoruz. Herkesi acımasızca sosyal mühendisliğe açık bırakan "güvenli" bir şifre güvenli değildir.
Fomite

4

Boşluk bıraktığınızdan emin olun. Tanıdığım herkes kısa sözcük öbeklerinde her kelimenin ilk harfini yazabileceklerinden daha hızlı yazabilir. Örneğin yazmayı deneyin Bird in a Treeve sonra BiaT. Bunun avantajı, yapışkan bir not gibi pick Up milkya da Meetings all dayyapışkan bir not üzerinde belirsiz bir şekilde uygun bir ifade yazmanızın açık bir şekilde bir şifre olmamasıdır.

"Rakamlar ve semboller olmalı" kurallarının büyük bir hayranı değilim, ancak bunları tutarlı bir şekilde uygularsanız (örneğin her zaman 1, a her zaman @), o zaman yine de yapışkan olan İngilizce ifadeyi yazabilirsiniz, uygulayın leet-to-leet-speak kurallarına uyun B1rd in @ treeve şifre iletişim kutusuna girin . Güvenlik açısından, sayılar ve semboller fazla bir şey katmaz, ancak sizi bir kullanıcı olarak çıldırmaya gerek yoktur.

Maksimum şifre uzunluğuna sahip siteler, güzel ifadem "çok uzun" kabul edilirse beni rahatsız ediyor. 26 makul görünüyor. Birinin sütunun genişliğini tasarlaması gerektiğini anlıyorum, ancak 12 sadece aptalca kısa.


1
Bu çok zekice. Her gün boşluklu bir ifade kullanın ... Zeki. Giriş yaptığım hizmete bağlı olarak eklenen sayı ve harf ile ortak güçlü bir şifre sistemime bağlı kalacağım. Sadece bunları nasıl oluşturacağımı biliyorum ve her zaman aynı ama sonuçta ortaya çıkan şifre çok farklı (muhtemelen değil) her zaman farklı olsa da, bu nadir kopyaları pek umursamıyorum).
Robert Koritnik

1
Hangi sütunun genişliği? Metin kutuları genellikle dahili kaydırmaya sahiptir ve düz metin parolayı DB'de saklıyorsanız Yanlış Yapıyorsunuz demektir.
Peter Taylor

Dbs şimdi ucuz. 50 karakter uzunluğundaki parolalara izin verirseniz iyi bir şifreleme ile, db cinsinden genişlik 110 maks olacaktır (102 kesin olacaktır). Ama 150 varchar yapardım ... iyi db tasarım hiçbir tablonun 20'den fazla sütun olmadığı anlamına gelmelidir, bu yüzden bu büyük bir sorun olmayacaktır.
tgkprog

2

Güvenli ve Kullanışlı

Parolanın güvenlik politikası, güvenliğin aşılması için uygun olmalıdır. Web siteniz finansal hesabımı önlüyorsa, katı şifre koruması istiyorum. Autobots hakkında bir niş fan sitesi ise, çok fazla korumaya ihtiyacınız yok.

UPS kuralları aşağıdakiler hariç olmak üzere uygundur:

  • Maksimum uzunluk çok küçük. Hatırlaması daha kolay ve daha güvenli olabilecek parolaların kullanımını kolaylaştırmalısınız.

Alıntılanan kurallarda X deneme sayısından sonra sıfırlama görmedim, bu çoğu durumda aptalca olduğunu düşünüyorum. Ben sıfırlama zorlamak yerine, bir süre için birini kilitlemek daha iyi olduğunu düşünüyorum. Bu belirli bir güvenlik seviyesi anlamına gelir. Bu gerekli değilse, o zaman değildir ve kilitleme / sıfırlama tartışmalı bir noktadır.

En az marjinal güvenlik avantajlarına sahip birçok şifre politikası kuralı vardır. Bununla birlikte, şifrenizin güvenliği için gerçek, somut faydaları olan kurallar da vardır.

Kurallar (ve nedenleri):

  • Minimum uzunluk

Çok kısa bir şifreyi hızlı bir şekilde kıracak kombinatoryal deneme ve hata saldırılarını önler.

  • tek bir İngilizce kelime (veya başka bir dil) kullanmaya karşı yasak

Bu, sözlük saldırılarını önler.

  • farklı kategorilerin zorunlu olarak dahil edilmesi (örn. karışık durum, sayılar, noktalama işaretleri)

Bu, ortalama saldırı alanını artırır.

Tüm bu nedenler, kullanıcının şifre seçimindeki önyargısını en aza indirgemek için izlenebilir. Çoğu kullanıcı, daha kısa ve hatırlaması kolay şifreler oluşturmaya eğilimlidir. Ne yazık ki bu genellikle parolanın saldırılmasını kolaylaştırır. Çoğu kullanıcının ihtiyaç duyduğu, güvenli ve unutulmaz parolaların veya daha uzun bir parolanın nasıl oluşturulacağına ilişkin talimatlardır.

Unutulmaz Şifreleri Koru

Uzunluk sınırı olan bir şifre oluşturmam gerektiğinde her zaman bir cümle ile başlarım, böylece yerleşik bir anımsatıcıya sahibim. İfadeyi alıyorum ve her kelimeden aynı konum karakterini alıyorum. Şimdi sadece bir dizi karakterim var. Daha sonra, büyük / küçük harfleri, bazıları cümlenin içindeki doğru isimlere veya kalıba göre (ilk ve son, diğer her harf vb.) Seçiyorum. Daha sonra, bazı keyfi kurallara veya kalıplara dayanarak noktalama işaretleri ve sayılar ekliyorum. (yani, tüm 'j'ler 7'dir, ifadede' ve 'olduğunda' & 'kullanılır, vb.).

Anne, sadece bir adamı öldürdüm. Kafasına bir silah koy. Tetiğimi çektim, şimdi öldü.

Cümle tarafından sağlanan ifade

  1. mjkampagahhpmtnhd - her kelimenin ilk harfi
  2. MjkamPagahhPmtnhd - casing ifadesi muhafaza ile eşleşiyor
  3. Mjk0mP0g0hhPmtnhd - 'a' değerini 0 olarak değiştirdi
  4. Mjk0mP0g0 () Pmtnhd - 'başını' olarak değiştirdi ()

İfadeyi düşünürken birkaç kez yazdıktan sonra asla hatırlamakta sorun yaşamam.


1
Asıl sorun, UPS hesabının şirketteki bir düzine kişi tarafından kullanılmasıdır. Onları dışarı kilitleme çünkü Fred nakliye yanlış yazmış, 1, kaos 2, insanlar Fedex geçmek
Martin Beckett

2
Sorun, iğrenç şifre politikalarının realgüvenliği arttırmaması (sadece güvenlik algısını arttırması) ve aslında güvenliğe zarar verebileceğidir.
Martin York

@Martin Beckett: 1) Kilitleme politikası kullanan ortamlar için parolanızın kilidini hemen açmanın alternatif yolları bulunmalı ve genellikle alternatif yollar olmalıdır 2) Her kişinin kendi hesabı olmalıdır 3) B2B güvenliği genellikle PKCS gibi genel anahtar sistemleri ile daha iyi gerçekleştirilir şifre kullanmak zorunda değilsiniz.
dietbuddha

@Loki Astari: Evet, bu iğrenç bir politika için doğrudur, soru, bağlamı göz önüne alındığında hangi kuralların politikayı iğrenç hale getirdiği sorusudur. Örneğin, ikimizin de minimum uzunluk gereksinimi konusunda hemfikir olabileceğimizi düşünüyorum. Şifrelerinizin geçmişini tutmayı içeren herhangi bir gereksinimin güvenliği artırmayacağı için iğrenç olduğunu kesinlikle kabul ediyorum.
dietbuddha

3
Yukarıdaki fikirleriniz mantıklı görünüyor ancak gerçekte kendinizi xkcd.com/936 yeniyorsunuz . Temel olarak 4 noktanızın üçüne katılmıyorum ve bunların hepsinin şifreleri daha kolay kırabileceğini öne sürüyorum. (Uzunluk tek pozitiftir). En iyi şifre d olurdu:Mama, just killed a man.
Martin York

1

Şifreniz 8 ila 26 karakter uzunluğunda olmalıdır

En az 8 karakter uzunluğunda olan parola Lan Manager'ın bir mirasıdır. Lan Manager, şifreleri 2 7 karakterli dizeye bölerek, sonra da özetledi. Minimum 8 karakter gerektirerek, 2. kelimenin boş bir parola ile aynı olmadığını garanti ettiler (tuz yoktu, bu nedenle 7 boşluğun her örneği aynı sonuca hash edildi).

Eminim 3 gün sonra bu şifrenin ne olduğunu unutacağım.

Vazgeçtim, kurallar o kadar saçma ve saçma ki şimdi onları yazıyorum. Web siteleri için kullandığım birkaç kişi hariç. Mevcut işverenim, geri dönüştürülemeyecek şekilde kullanılan son 24 şifreyi de izler ve şifre 3+ karakterli İngilizce kelime (ileri veya geri) içeremez. Ayrıca, önceki bir kelimeyi kullanmadığınızdan ve bir kısmını bir parçası olarak artırdığınızdan emin olmanızı sağlar (bu nedenle P4ssw0rd1kullanıldıysa, kullanamazsınız P4ssw0rd2veya kullanamazsınız P4ssw0rd0).

Bir şifreyi değiştirmek zorunda kaldığımda dersimi ofiste zor yoldan öğrendim, sistemin bir yenisini kabul etmesi 45 dakika sürdü, sonra hemen ne bulduğumu unuttum ve sıfırlamak zorunda kaldım ve başka bir harcamıştım 45 dakikalar, gereksinimleri karşılayacak kadar karmaşık olduğunu hatırlayabildiğim bir şey almaya çalışırken (bazı gereksinimler yukarıda listelenmiştir, bazıları değildir ve bazıları bilmiyorum). Bilmenize izin verilmeyen kurallara uyan bir şey bulmaya çalışmak çok eğlenceli değil. En azından Beyni gibi oyunlarda size ne kadar yaklaştığınıza dair ipuçları verilir. Ofiste, bazı insanlar akıllı kart kullanıyor , ben onlardan biri değilim.



0

Makul ve Güvenli birbirini dışlar. Bunlar bir çubuğun iki ucu. Ortada bir denge kurmak en iyisi olacaktır. Güvenli ve insanlara şifreleri yazmak veya tamamen güvenli olmayan şifre kilidini açma özelliğini kullanmak için.

Yukarıdaki örnek, makul olandan daha güvenli olmaya yönelmiş görünmektedir. Daha kötü gördüm.

Makul olana yönelmeyi tercih ederim. Anahtar, arka uçtaki kasaya yaslanmaktır. Tuzları vs. mümkün olduğunca az saklayın. Parolaları veritabanınıza kodlamak ve bunları tek yönlü kodlamak için önerilen tüm en son yöntemler. Ardından veritabanınızı ve kodunuzu güvende tutun. Ayrıca, sisteminizde yönetici hakları olan herkesi benzersiz bir güvenli şifre kullanmaları için eğitin. Son zamanlarda, birden fazla sözlük kelimesini bir araya getirmenin özel karakterler ve büyük harflerle sürüklemekten daha güvenli olduğu gösterilmiştir. Bilgisayar korsanları için gerçekten akıllıca zaman kazandıran bileşik sözlük eşleşmeleri gerektiriyordu, ancak bunlar kullanıcılar için hala unutulmazdı.


1
Akıl ve güvenlik kavramlara karşı değildir. Çatışabilirler, ancak genellikle makul derecede güvenli ve makul derecede kullanılabilir bir şey bulmak mümkündür. Biraz yaratıcı düşünme gerektirebilir ve bir kontrol listesinde yeterince ölçülemez, bu yüzden birçok yerde bu şekilde görünmez.
David Thornley

Makul ve güvenliğin zıt uçlarda olduğu birçok tarih vardır. Kullanıcıların makul parolalara sahip olmasına izin verebilirsiniz (denetim yok, herhangi bir şey olur) ve bu muhtemelen en az güvenlidir veya belki daha az güvenli bir parola yoktur. Microsoft bunu zor yoldan öğrendi. İnsanlar daha iyi e-posta istediler, bu yüzden heyecanın kelimeye izin vermesine izin verdiler, sonra e-posta virüsleri geldi. O zamandan beri bir savaş oldu. Kendinizi güvenlik risklerine açmadan web özellikli e-postanız (makul) olamaz
Bill Leeper

Elbette, iyi seçimler yapmazsanız, kullanım kolaylığı ve güvenliğin taban tabana zıt olması kolaydır. Belki Microsoft ve belki de 2005 ve daha önce seçimler bir sürü göz güvenli olmadan görünüşte yapıldı.
David Thornley

Lütfen, kullanım kolaylığı ve güvenliğinizin olduğu bir örnek verin. Birçok yerde çalıştım ve birçok güvenli sistem uyguladım ve henüz görmedim. Ve bu, uzak bir sisteme erişmek için bir .ssh anahtarı kullanmak gibi bir şey değil, normal bir web uygulaması olurdu. Büyükannemin Windows Vista sisteminde bunu yapabilmesi gerekiyor :-)
Bill Leeper

Yeni xkcd gibi parolaları düşünün. Çoğu şifreden daha güvenli, genellikle iyi şifrelerden daha kolay hatırlanır ve genellikle sitenin izin verdiği 26 karakterden fazladır.
David Thornley

0

Sözlük kelimesi veya önemsiz bir varyasyonu değil. Bu kadar. İki sözlük kelimesinden oluşan bir demet neredeyse kırılmaz. Açık bir ikame olmayan bir karakter için de tek harfli bir ikame (0-O, 1-I, 5-S).

Ayrıca, yanıt süresini sınırlarsanız - 1 sn sonra şifre kabul edilir / reddedilir ve aynı giriş için iki paralel girişime izin verilmez - bir başkasını denemeden önce bitirilmesi gerekir (Tamam veya hata), sözlük dışı 6 harfli küçük harfli hayır -özel karakterler şifresinin kırılması 9 yıl sürecektir.


0

Şifre gereksiniminin karmaşıklığı, sitelerinizin içeriğiyle dengelenmelidir. Bir banka oldukça karmaşık bir parola gerektirmelidir (büyük harf, küçük harf, sayı ve özel karakterler). Bununla birlikte, içerik, kaydedilmiş aramalar ve takip numaraları gibi önemsizse, şifre gereksinimi gevşetilmelidir. Minimum 6 karakterlik uzunluk yeterli olmalıdır. Aksi takdirde, kitlenizi rahatsız eder ve giriş yapmalarını engeller.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.