Frage Best Practices für Kennwörter


Angesichts der jüngsten Ereignisse mit einem "Hacker" lernen und versuchen, Passwörter von Website-Administratoren erneut zu versuchenWas können wir allen empfehlen, wenn es um Passwörter geht?

  • Verwenden Sie eindeutige Passwörter zwischen Websites (d. h. verwenden Sie niemals ein Passwort erneut)
  • Wörter, die im Wörterbuch gefunden werden, sind zu vermeiden
  • erwäge, Wörter oder Sätze aus einer nicht-englischen Sprache zu verwenden
  • Verwenden Sie Passwörter und verwenden Sie den ersten Buchstaben jedes Wortes
  • Das Erkennen hilft nicht sehr

Bitte schlagen Sie mehr vor!


30
2018-05-07 03:11


Ursprung


Tipp drei widerspricht Tipp zwei. - Oddmund
@Oddmund: Nicht, wenn Sie Englisch und nicht Englisch verwenden. I.e. Eins auf Spanisch ist uno, also benutze OneUno. Oder Worttrennung: Die Hälfte des Wortes kommt aus dem Englischen, die andere Hälfte aus einer anderen Sprache. Fußball in Spanisch ist Fútbol, ​​also nutze Futball. Und dann rekrutieren Sie von dort. - Kevin M
@Oddmund: Nein. Die Verwendung von Wörtern aus einer (nicht-englischen) Sprache bedeutet nicht, dass sie in einem (nicht-englischen) Wörterbuch gefunden werden - user1092608


Antworten:


  • Verwenden Sie Passwörter, die sind nicht bestehend aus gemeinsamen Wörtern oder Namen. Wörterbuchangriffe verwenden Wörterbücher mit Millionen von Wörtern und sind sehr schnell.

  • Verwenden Sie lange Passwörter. Ich neige dazu, Pass zu verwendenSätze. Ich wähle eine Phrase, einen Satz oder einen Reim und finde einen Weg, eine große Anzahl nicht alphanumerischer Zeichen zu verwenden, so dass meine Wörter keine Wörterbuchwörter sind.

  • Verwenden Sie nicht dasselbe Passwort für mehrere Login-Dienste. Nehmen Sie sich etwas Zeit, um eine Formel für die Auswahl von Passphrasen zu finden. Auf diese Weise können Sie viele verschiedene Passwörter verwenden, die Sie möglicherweise vergessen können, wenn Sie sie vergessen haben.

  • Wenn Sie müssen, schreiben Sie auf alle Fälle ein gutes, langes, sicheres Passwort und verstecken Sie es irgendwo. Das ist zumindest besser als ein schwaches Passwort, das leichter zu merken ist.

  • Wenn sich die obigen Vorschläge als nicht handhabbar erweisen, verwenden Sie einen Kennwortmanager mit einem langen sicheren Kennwort und verwenden Sie dann für alle anderen Zeichen Kennwörter. Tragen Sie den Passwort-Manager auf einem verschlüsselten USB-Stick mit sich herum (selbstverständlich gesichert).


25
2018-05-07 04:26



Weiß jemand, warum meine Verwendung von Fettdruck in "Passphrasen" nicht zu funktionieren scheint? Es sieht gut aus in der Vorschau, wenn ich im Bearbeitungsmodus bin. - Arnold Spence
Benutzt du zwei Sterne oder einen? Probieren Sie nur eine ... - Mikeage
@Mikeage: ein Sternchen = kursiv; zwei = fett. Ich würde vorschlagen, <b> oder <strong> zu versuchen; Ich vermute, dass das Einbetten in ein Wort den Parser von SO verwirrt. - derobert
Ich würde versuchen, einen Platz direkt nach "pass" zu setzen, so dass Sie [ein Leerzeichen] [Sternchen] [Sternchen] Phrasen übergeben würden. Wenn das nicht funktioniert, versuchen Sie, ein Leerzeichen zwischen den zweiten Sternchen und den Punkt einzufügen. - pbz
+1 für "schreibe ein gutes, langes, sicheres Passwort ab und verstecke es". In den 1980er Jahren begann jemand, Benutzer davor zu warnen, ihre Passwörter NICHT niederzuschreiben, dieses Verhalten blieb hängen und wir sind alle schlechter dran. - Portman


Ich habe mehrere Probleme mit Passphrasen gefunden:

  • Viele Seiten haben eine Obergrenze für die Passwortlänge - wie 20 Zeichen - es ist albern, aber was können Sie tun.
  • Andere Sites erlauben keine Leerzeichen in Passwörtern.
  • Lange Texte blind zu schreiben ist fehleranfällig - vor allem, wenn Sie kein guter Tipper sind.
  • Das Eingeben einer 50-Zeichen-Passphrase dauert etwas länger als ein gutes 15-Zeichen-Passwort.

Meine Lösung für dieses Problem bestand darin, Passphrases als eine mnemonic zu dem tatsächlichen Kennwort zu verwenden. Zum Beispiel könnte ich ein paar Zeilen mit einem großen Gedicht von William Henry Davies (76 Zeichen) auswählen:

Keine Zeit zu sehen, wenn Wälder uns passieren,
  Wo Eichhörnchen ihre Nüsse im Gras verstecken.

Und ich würde die ersten Buchstaben jedes Wortes auswählen und das folgende ziemlich gute 16-Zeichen-Passwort erstellen:

Nttswwwp,Wshtnig

Die Verwendung von Poesie ist besonders gut, weil es leichter zu merken ist und wenn Sie aufgefordert werden, das Passwort zu ändern, können Sie einfach die nächsten Zeilen eines Gedichtes auswählen.


7
2018-05-08 08:57



Außerdem lernt man jedes Mal, wenn sich das Passwort ändert, ein neues Gedicht und gewinnt dadurch einige Kulturpunkte. :) - Jonathan
Ich habe mich mit diesem Lied in den Fuß geschossen, indem ich Songtexte verwendet habe. Erstens, meine Tendenz, das Lied zu summen. Zweitens, den Song für einen Monat in meinem Kopf festhalten zu lassen ... - Kara Marfia


Wenn Sie ein Passwort Regime zu anderen diktieren, nicht nur verlangen, dass sie eindeutig, länger als eine Schwelle, enthalten Groß- und Kleinbuchstaben, Sonderzeichen etc .. sondern auch den Benutzer über Passwort-Manager oder Schemata, um diese Passwörter zu konstruieren / erinnern. Wenn Sie das nicht tun, werden die Benutzer die Passwörter abschreiben oder andere, unsichere Wege finden, sich an sie zu erinnern.


4
2018-05-07 04:28



Das Unterrichten von Passwortmanagern ist ein schlechtes Beispiel für den durchschnittlichen nichttechnischen Benutzer. Sie handeln eine schlechte Praxis (Schreiben von Passwörtern) für eine etwas bessere, aber immer noch schlechte Praxis (elektronisch speichern). Eine Sicherheitslücke in einem Passwort-Manager (z. B. schwaches Master-Passwort, Remote-Exploit usw.) kann zu einer Katastrophe führen. - spoulson
Mit anderen Worten, ich würde keine hochwertigen Passwörter in einem Passwort-Manager speichern, wie Bank-Logins usw. - spoulson
Ich stimme dir in der Hinsicht nicht zu, dass selbst Bruce Schneier die Verwendung eines Passwortmanagers mit einer Empfehlung empfiehlt stark Passwort über die Verwendung von schwachen Passwörtern, die zwischen Sites wiederverwendet und / oder gemischt werden. - Martin C.
@spoulson: Blindes Vertrauen in die Technologie ist immer gefährlich .. Ich persönlich glaube, dass ein stark verschlüsseltes Passwort-Tresor (mit einem guten Pwd, wohlgemerkt) genauso sicher ist wie eine Login-Eingabeaufforderung. Wenn Sie dem Anbieter des Betriebssystems vertrauen, dass er die Anmeldung abbaut, können Sie dem Autor des Password Managers auch vertrauen. Paranoia Regeln ... vertraue niemandem ... etc ... aber am Ende ist es immer ein Vertrauensvorschuss ... - lexu
Schneier empfiehlt sogar, sie aufzuschreiben: schneier.com/blog/archives/2005/06/write_down_your.html - Will M


Verwenden Sie kein Passwort, da gehen Sie in erster Linie falsch. Verwenden Sie entweder eine zufällige Sammlung von Zeichen (mindestens 8) oder eine Passphrase. Sie können eine Formel zum Generieren einer anderen Passphrase für jede Site erstellen, z. B. ILikeStackOverflowOnions oder ILikeServerFaultOnions. dies schützt Sie vor Außenseitern, könnte jedoch immer noch Probleme verursachen, wenn die tatsächliche Website gehackt wird und die Passwörter nicht gesalzen sind oder wenn der Administrator an erster Stelle beschädigt wurde.


3
2018-05-07 07:13



1+ Aber warum keine Leerzeichen oder Interpunktion in der Passphrase? Das gibt ihnen mehr Stärke, wie "Ich mag Oliven und serverfault.com!" Das sollte ein ziemlich starkes Passwort sein, aber extrem schnell und einfach zu tippen und sich an ^^ zu erinnern (einige wirklich alte oder obskure Systeme runzeln über Leerzeichen in Passwörtern - sagen sie, dass sie zur Hölle fahren sollen;) - Oskar Duveborn
Nun ja, Leerzeichen sind natürlich ein Plus, genauso wie Interpunktion. Aber ich habe festgestellt, dass es einige sehr nervige unsichere Seiten gibt, die keine Passwörter mit Interpunktion aufnehmen, ich hatte einmal eine Bank, die das nicht getan hat :-( - Adam Gibbins
@Oskar Duveborn: Beachten Sie, dass Sie anstelle der Interpunktion im Passwort einfach länger machen können. Mathematisch ist das Ergebnis (Anzahl der möglichen Passwörter) gleich. Sie könnten sogar PWS mit nur Kleinbuchstaben verwenden, wenn Sie sie etwas länger machen. - sleske
Ja, ich bin nur in Satzzeichen, um mich an einen Satz für Leute zu erinnern. Die Vorteile eines längeren Passworts sind nur ein Bonus;) Ich hatte auch eine Bank, die vor drei Jahren keine Plätze einnahm. Heutzutage ist es in Ordnung. Und ältere Unix-Systeme haben maximal 8 Zeichen, aber da man nicht sieht, was man tippt, könnte man immer so tun, als würde man auch das ganze 30-stellige Passwort eingeben;) - Oskar Duveborn


Wenn Sie Schwierigkeiten haben, sich an Passwörter zu erinnern, verwenden Sie einen gut bekannten Text. Wähle einen Satz aus, benutze nth Brief von jedem Wort als Passwort, behalten Sie die Interpunktion. (z. B. das von 1st Buchstaben des ersten Satzes dieser Antwort könnten "Iyhtrp, uswkt." sein. Sie können es stärker machen, indem Sie einige in Großbuchstaben ändern und einige spezielle Zeichen hinzufügen.


3
2018-05-07 08:50



Das ist eine wirklich gute Methode! - Techboy


Ändern Sie Ihr Passwort regelmäßig. Wo ich arbeite, ist es ein 30-Tage-Zyklus. Es ist ein PITA, aber es mindert den Wert gehackter Passwörter auf ein begrenztes Zeitfenster. Das plus eine komplexe AD-Kennwortrichtlinie erfordert, dass es mindestens 8 Zeichen sein muss, enthalten Sie obere, untere, numerische und Symbole.

Ergänzend verwenden wir einen Self-Service-Passwort-Manager-Service. Es bietet eine benutzerdefinierte Windows GINA, die Funktionen bietet, damit der Benutzer sein Passwort zurücksetzen kann, wenn er es vergisst, oder es entsperrt, wenn es zu oft ausfällt. Die Passwort-Manager-App erfordert, dass der Benutzer sich für den Dienst anmeldet und eine Reihe von persönlichen Informationen bereitstellt, die nur dann als Fragen verwendet werden, wenn der Benutzer das Kennwort zurücksetzen oder sein Konto entsperren muss.


3
2018-05-07 13:09



Die Durchsetzung von zeitbasierten Passwortänderungen wird im Allgemeinen als eine sehr schlechte Praxis angesehen. Ich kann fast garantieren, dass die letzten Ziffern der Passwörter der meisten Leute den Monat oder das Jahr enthalten, in dem sie zuletzt eingestellt wurden. - Andrew


Alles andere als (Quelle dailywtf.com):

alt text http://img.thedailywtf.com/images/200907/s/IMG00004.jpg


3
2017-07-13 18:10





Ich glaube, dass Passwörter generiert werden sollten, anstatt vom Benutzer gedacht zu werden. Dies vermeidet all diese dummen Probleme mit einfach zu erratenden Passwörtern.

Ich mag es zu benutzen pwgen, die Passwortlisten wie erzeugt

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

aber wirklich irgendein PW-Erzeugungsprogramm wird tun. Ein Vorteil von pwgen ist, dass es versucht, die Passwörter (etwas) einprägsam zu machen, indem man einige Vokale einbaut.


3
2018-05-21 02:10



So mach ich es. Erzeugen Sie eine Reihe von Passwörtern und wählen Sie eine, die keine zweideutigen Zeichen hat, wie 1, 1, usw. - John Gardeniers


  1. Verwenden Sie starke Kennwörter.
  2. Kennwörter nicht erneut verwenden.
  3. In Anbetracht von # 2, verwenden Sie ein Werkzeug wie PwdHash angesichts überwältigender unterschiedlicher Konten.

2
2018-05-07 03:46





Bleib weg von diesen Die 500 schlimmsten Passwörter.

Lange, komplexe Passwörter bieten grundsätzlich gute Sicherheit starke Passwörter, verwenden Sie jedoch auf jeden Fall unterschiedliche Passwörter für alle Benutzerkonten.


2
2018-05-07 04:20



Interessanter Link ... - David Z