Kullanıcı kaydı için makul ve güvenli bir şifre gereksinimi nedir?

Bu, UPS'den yeni aldığım şifre politikasıdır (sadece paket durum kontrolü için):

Şifreniz 8 ila 26 karakter uzunluğunda olmalıdır. Aşağıdaki karakter türlerinden en az üçünü içermelidir: küçük harfler, büyük harfler, sayılar, özel karakterler veya boşluklar. Parola, Kullanıcı Kimliğinizi, adınızı veya e-posta adresinizi içeremez. (SSO_1007)

Aslında beynimi bu şifreyi oluşturmak için biraz sarmalıyım, ama sadece bu değil, en önemlisi, 3 gün sonra bu şifrenin ne olduğunu unutacağımdan eminim. Kullanıcılar çok mutlu olmayacak. Şifre sıfırlama sık olabilir. Kullanıcıların siteyi kullanmak zorunda olmadıkça siteyi kullanmaktan kaçınmaya çalışacağını düşünüyorum.

Bir web sitesi oluştururken makul ve güvenli bir şifre politikası nedir? Bazı şirketlerin bazı bilgisayar korsanlarının milyonlarca veya daha fazla şifre denemesinden korkabileceğini düşünüyorum, bu nedenle "özel karakterler, küçük harf, büyük harf" için tüm bu gereksinimleri ekliyorlar, ancak hesabı kapatmak veya yalnızca devre dışı bırakmak mantıklı olmayacak. şifre ve bir kullanıcı 30 kez veya 100 kez denediyse bir şifre sıfırlama gerektirir? Veya kullanıcı 30 kez denedikten sonra her defasında 5 saniyelik bir gecikme eklensin mi? Eğer öyleyse, bu özel karakterlere o kadar ihtiyaç duyulmaz.

Dürüst olmak gerekirse, bir şifre değil, bir sıkıntı olmak için sıkı şifre gereksinimleri buluyorum. Kural olarak en makul sadece bir uzunluk, belki özel karakterler + alfasayısal belirtmek olduğunu söyleyebilirim. Başka her şey, insanların güvenli parolalara sahip olma amacını yenen parolalarını yazmalarını istemektedir. Ayrıca, her x günde bir şifrenizi her zamanki gülünç kurallarla değiştirmek zorunda kalmaktan nefret ediyorum. hangi noktada parola istemeyeceğinizi de unutmayın.

Bence parolaların yalnızca bir uzunluk şartı olması gerekiyor. Birinin şifresini "a" olarak girmesini istemezsiniz. Ve xkcd cevabının gösterdiği gibi, hatırlanması son derece zor bir şifre her zaman bu kadar güvenli değildir. İnsanların parolalarını değiştirmelerine her zaman izin ver. Ve "önceki şifrenizde bulunan karakterlerden hiçbirini kullanamazsınız" saçmalığını unutun.

Müstehcen bir şifre politikası oluşturmak, yarardan çok zarar verecektir. Kolejde şifre politikasına gittim UPS politikasına benziyordum ve bunu her 2 haftada bir değiştirmek zorunda kaldınız VE kullandığınız önceki 50 şifreyi kullanamazsınız. Bu yüzden, öğretmenlerimin bize hesap oluştururken önerdikleri kurallara uygun olan normal şifremizi kullanmak ve sonuna bir sayaç eklemek ve sayaç numaranızın ne olduğunu ipucu olarak eklemektir.

Ayrıca, düz metin veritabanınız bir SQL enjeksiyon hatasıyla saldırıya uğradığında katı bir şifre politikası hiçbir şey yapmaz ... veya kullanıcılarınıza şifreleri e-postayla gönderir ve ele geçirilir.

Temel olarak, şifre sisteminizi kullanıcılarınız için bir güçlük haline getirmeyin, aksi takdirde onların etrafında çalışabilmeleri için güvensiz şeyler yapmalarını teşvik eder. Örneğin, şirketim bir veri merkezinden özel bir sunucu alırken, bize 20 karakter uzunluğunda şifreler ayarladılar. Onlar bize e-posta için çok güvenli ve faks gerekiyordu. Şifreleri değiştiremedik, yalnızca 20 karakterlik yeni bir şifre oluşturulmasını istedik. Ve bu her kullanıcı için böyleydi ... bu yüzden yaptığımız şey masaüstü bilgisayarlarımızda şifre ile bir metin belgesi yapmak. Ayrıca, artık kullanmıyoruz çünkü sahip oldukları tüm "güvenlik" için gerçekten güvensizdiler.

Boşluk bıraktığınızdan emin olun. Tanıdığım herkes kısa sözcük öbeklerinde her kelimenin ilk harfini yazabileceklerinden daha hızlı yazabilir. Örneğin yazmayı deneyin Bird in a Treeve sonra BiaT. Bunun avantajı, yapışkan bir not gibi pick Up milkya da Meetings all dayyapışkan bir not üzerinde belirsiz bir şekilde uygun bir ifade yazmanızın açık bir şekilde bir şifre olmamasıdır.

"Rakamlar ve semboller olmalı" kurallarının büyük bir hayranı değilim, ancak bunları tutarlı bir şekilde uygularsanız (örneğin her zaman 1, a her zaman @), o zaman yine de yapışkan olan İngilizce ifadeyi yazabilirsiniz, uygulayın leet-to-leet-speak kurallarına uyun B1rd in @ treeve şifre iletişim kutusuna girin . Güvenlik açısından, sayılar ve semboller fazla bir şey katmaz, ancak sizi bir kullanıcı olarak çıldırmaya gerek yoktur.

Maksimum şifre uzunluğuna sahip siteler, güzel ifadem "çok uzun" kabul edilirse beni rahatsız ediyor. 26 makul görünüyor. Birinin sütunun genişliğini tasarlaması gerektiğini anlıyorum, ancak 12 sadece aptalca kısa.

Güvenli ve Kullanışlı

Parolanın güvenlik politikası, güvenliğin aşılması için uygun olmalıdır. Web siteniz finansal hesabımı önlüyorsa, katı şifre koruması istiyorum. Autobots hakkında bir niş fan sitesi ise, çok fazla korumaya ihtiyacınız yok.

UPS kuralları aşağıdakiler hariç olmak üzere uygundur:

• Maksimum uzunluk çok küçük. Hatırlaması daha kolay ve daha güvenli olabilecek parolaların kullanımını kolaylaştırmalısınız.

Alıntılanan kurallarda X deneme sayısından sonra sıfırlama görmedim, bu çoğu durumda aptalca olduğunu düşünüyorum. Ben sıfırlama zorlamak yerine, bir süre için birini kilitlemek daha iyi olduğunu düşünüyorum. Bu belirli bir güvenlik seviyesi anlamına gelir. Bu gerekli değilse, o zaman değildir ve kilitleme / sıfırlama tartışmalı bir noktadır.

En az marjinal güvenlik avantajlarına sahip birçok şifre politikası kuralı vardır. Bununla birlikte, şifrenizin güvenliği için gerçek, somut faydaları olan kurallar da vardır.

Kurallar (ve nedenleri):

• Minimum uzunluk

Çok kısa bir şifreyi hızlı bir şekilde kıracak kombinatoryal deneme ve hata saldırılarını önler.

• tek bir İngilizce kelime (veya başka bir dil) kullanmaya karşı yasak

Bu, sözlük saldırılarını önler.

• farklı kategorilerin zorunlu olarak dahil edilmesi (örn. karışık durum, sayılar, noktalama işaretleri)

Bu, ortalama saldırı alanını artırır.

Tüm bu nedenler, kullanıcının şifre seçimindeki önyargısını en aza indirgemek için izlenebilir. Çoğu kullanıcı, daha kısa ve hatırlaması kolay şifreler oluşturmaya eğilimlidir. Ne yazık ki bu genellikle parolanın saldırılmasını kolaylaştırır. Çoğu kullanıcının ihtiyaç duyduğu, güvenli ve unutulmaz parolaların veya daha uzun bir parolanın nasıl oluşturulacağına ilişkin talimatlardır.

Unutulmaz Şifreleri Koru

Uzunluk sınırı olan bir şifre oluşturmam gerektiğinde her zaman bir cümle ile başlarım, böylece yerleşik bir anımsatıcıya sahibim. İfadeyi alıyorum ve her kelimeden aynı konum karakterini alıyorum. Şimdi sadece bir dizi karakterim var. Daha sonra, büyük / küçük harfleri, bazıları cümlenin içindeki doğru isimlere veya kalıba göre (ilk ve son, diğer her harf vb.) Seçiyorum. Daha sonra, bazı keyfi kurallara veya kalıplara dayanarak noktalama işaretleri ve sayılar ekliyorum. (yani, tüm 'j'ler 7'dir, ifadede' ve 'olduğunda' & 'kullanılır, vb.).

Anne, sadece bir adamı öldürdüm. Kafasına bir silah koy. Tetiğimi çektim, şimdi öldü.

Cümle tarafından sağlanan ifade

1. mjkampagahhpmtnhd - her kelimenin ilk harfi
2. MjkamPagahhPmtnhd - casing ifadesi muhafaza ile eşleşiyor
3. Mjk0mP0g0hhPmtnhd - 'a' değerini 0 olarak değiştirdi
4. Mjk0mP0g0 () Pmtnhd - 'başını' olarak değiştirdi ()

İfadeyi düşünürken birkaç kez yazdıktan sonra asla hatırlamakta sorun yaşamam.

Şifreniz 8 ila 26 karakter uzunluğunda olmalıdır

En az 8 karakter uzunluğunda olan parola Lan Manager'ın bir mirasıdır. Lan Manager, şifreleri 2 7 karakterli dizeye bölerek, sonra da özetledi. Minimum 8 karakter gerektirerek, 2. kelimenin boş bir parola ile aynı olmadığını garanti ettiler (tuz yoktu, bu nedenle 7 boşluğun her örneği aynı sonuca hash edildi).

Eminim 3 gün sonra bu şifrenin ne olduğunu unutacağım.

Vazgeçtim, kurallar o kadar saçma ve saçma ki şimdi onları yazıyorum. Web siteleri için kullandığım birkaç kişi hariç. Mevcut işverenim, geri dönüştürülemeyecek şekilde kullanılan son 24 şifreyi de izler ve şifre 3+ karakterli İngilizce kelime (ileri veya geri) içeremez. Ayrıca, önceki bir kelimeyi kullanmadığınızdan ve bir kısmını bir parçası olarak artırdığınızdan emin olmanızı sağlar (bu nedenle P4ssw0rd1kullanıldıysa, kullanamazsınız P4ssw0rd2veya kullanamazsınız P4ssw0rd0).

Bir şifreyi değiştirmek zorunda kaldığımda dersimi ofiste zor yoldan öğrendim, sistemin bir yenisini kabul etmesi 45 dakika sürdü, sonra hemen ne bulduğumu unuttum ve sıfırlamak zorunda kaldım ve başka bir harcamıştım 45 dakikalar, gereksinimleri karşılayacak kadar karmaşık olduğunu hatırlayabildiğim bir şey almaya çalışırken (bazı gereksinimler yukarıda listelenmiştir, bazıları değildir ve bazıları bilmiyorum). Bilmenize izin verilmeyen kurallara uyan bir şey bulmaya çalışmak çok eğlenceli değil. En azından Beyni gibi oyunlarda size ne kadar yaklaştığınıza dair ipuçları verilir. Ofiste, bazı insanlar akıllı kart kullanıyor , ben onlardan biri değilim.

Parolayı saklarken bcrypt kullanmak iyi bir ilk başlangıçtır, çünkü kaba kuvvet hack girişimlerini olanaksız kılar.

Makul ve Güvenli birbirini dışlar. Bunlar bir çubuğun iki ucu. Ortada bir denge kurmak en iyisi olacaktır. Güvenli ve insanlara şifreleri yazmak veya tamamen güvenli olmayan şifre kilidini açma özelliğini kullanmak için.

Yukarıdaki örnek, makul olandan daha güvenli olmaya yönelmiş görünmektedir. Daha kötü gördüm.

Makul olana yönelmeyi tercih ederim. Anahtar, arka uçtaki kasaya yaslanmaktır. Tuzları vs. mümkün olduğunca az saklayın. Parolaları veritabanınıza kodlamak ve bunları tek yönlü kodlamak için önerilen tüm en son yöntemler. Ardından veritabanınızı ve kodunuzu güvende tutun. Ayrıca, sisteminizde yönetici hakları olan herkesi benzersiz bir güvenli şifre kullanmaları için eğitin. Son zamanlarda, birden fazla sözlük kelimesini bir araya getirmenin özel karakterler ve büyük harflerle sürüklemekten daha güvenli olduğu gösterilmiştir. Bilgisayar korsanları için gerçekten akıllıca zaman kazandıran bileşik sözlük eşleşmeleri gerektiriyordu, ancak bunlar kullanıcılar için hala unutulmazdı.

Sözlük kelimesi veya önemsiz bir varyasyonu değil. Bu kadar. İki sözlük kelimesinden oluşan bir demet neredeyse kırılmaz. Açık bir ikame olmayan bir karakter için de tek harfli bir ikame (0-O, 1-I, 5-S).

Ayrıca, yanıt süresini sınırlarsanız - 1 sn sonra şifre kabul edilir / reddedilir ve aynı giriş için iki paralel girişime izin verilmez - bir başkasını denemeden önce bitirilmesi gerekir (Tamam veya hata), sözlük dışı 6 harfli küçük harfli hayır -özel karakterler şifresinin kırılması 9 yıl sürecektir.

Şifre gereksiniminin karmaşıklığı, sitelerinizin içeriğiyle dengelenmelidir. Bir banka oldukça karmaşık bir parola gerektirmelidir (büyük harf, küçük harf, sayı ve özel karakterler). Bununla birlikte, içerik, kaydedilmiş aramalar ve takip numaraları gibi önemsizse, şifre gereksinimi gevşetilmelidir. Minimum 6 karakterlik uzunluk yeterli olmalıdır. Aksi takdirde, kitlenizi rahatsız eder ve giriş yapmalarını engeller.