4

Недавно я прибег к безопасности, используя менеджер паролей, чтобы убедиться, что у меня есть разные сложные пароли для каждой службы, которую я использую. Однако в этой системе есть одно отверстие: логин домена. Я не могу запустить менеджер паролей без предварительного входа в операционную систему. Поскольку мой пароль домена хранится в памяти, он значительно менее сложен, чем любой другой пароль, который у меня есть.

Я не хочу полагаться на сканер отпечатков пальцев из-за дерматита.

Какие параметры могут поддерживать Windows 7 и 8 для безопасного входа в учетную запись домена?

5 ответов5

5

Сканирование отпечатков пальцев НИКОГДА не должно рассматриваться как замена пароля. Он может использоваться как дополнительный фактор, но никогда не должен использоваться сам по себе, поскольку его невозможно изменить.

Лучший, но самый простой способ - создать шаблон, который вы можете запомнить. Тот, который позволяет меняться со временем, но все еще остается запоминающимся для вас.

По правде говоря, это не так сложно запомнить шаблон букв, цифр и символов, и есть много шаблонов, которые вы можете использовать. Это сам образец делает его запоминающимся. Это верно и в отношении слов, но мы, конечно, обязаны распознавать значимые слова.

Таким образом, шаблон, такой как:

mhall~ouat<14?05

"У Мэри был маленький ягненок ~ Однажды <2014?Май "- понял?

Вы можете просто играть с некоторыми символами или просто числами. Возможно, вы не захотите использовать что-то столь же очевидное, как основание, хотя, если вы действительно параноик, потому что действительно хороший радужный стол мог бы поднять это.

Этот пример состоит из 15 символов с буквенными, цифровыми и символами. Его можно немного улучшить с помощью заглавной или двух букв, хотя на самом деле возможность использования верхнего / нижнего / числового / символа более важна, чем их фактическое использование в каждом пароле.

Такой пароль будет очень надежным даже против текущих угроз. Самая большая остающаяся угроза - серфинг на плечах или одна из самых эзотерических тем, таких как анализ звука (вашего набора текста).

Вы можете пойти дальше, если хотите использовать дополнительные факторы, такие как YubiKey или смарт-карту, но на самом деле вы должны использовать их как ДОПОЛНИТЕЛЬНЫЕ факторы, а не как прямую замену. Если вы хотите поддерживать максимальную безопасность, то есть.

Лично я также использую инструменты для запоминания большинства паролей и предпочитаю действительно случайный, сгенерированный пароль Windows. Тем не менее, это всего лишь один пароль и, следовательно, его не так сложно запомнить после нескольких тренировок.

Однако следует также отметить, что если вы используете только пароль для входа в Windows, вы все равно будете раскрывать ВСЕ данные, если кто-то завладеет вашим компьютером. Для истинной безопасности вам понадобится UEFI BIOS, чип TPM, защищенные настройки BIOS и полное шифрование диска. Только благодаря этому вы сможете разумно ожидать, что злоумышленники не смогут получить вашу информацию, если они овладеют компьютером.

Далее вы также должны добавить дополнительную защиту для Windows. Microsoft EMET, по крайней мере, предпочтительно инструмент для внесения в белый список приложений (например, встроенный в AVAST AV). Белый список приложений позволяет запускать только определенные приложения и почти наверняка является наилучшей защитой от атак нулевого дня. Благодаря EMET для защиты Windows и хорошему инструменту AV/ защиты от вредоносного ПО, такому как AVAST, наряду с другими изложенными мерами, удалением всего ненужного программного обеспечения и обновлением оставшихся исправлений, вы будете в полной безопасности. можно быть прямо сейчас

ОБНОВЛЕНИЕ: Я понял, что не полностью ответил на заданный вопрос о том, какие варианты доступны для входа в Домены.

Для этого существует множество инструментов, и Windows поддерживает сменную возможность входа в систему, которая раньше называлась GINA, но не уверен, что это так. Вход с использованием смарт-карт поддерживается изначально, и существует множество сторонних инструментов, которые дополняют (или заменяют) стандартные логины с идентификаторами и паролями в домене, например генераторы одноразовых паролей (например, токены RSA) и тому подобное. Вы также можете изменить требования к паролям для доменов Windows, чтобы обеспечить более надежные пароли. В этом случае я рекомендую дать простое руководство. Кажется, я помню несколько инфографиок, объясняющих тип выбора пароля, который я упоминал выше.

3

Один запомненный пароль может быть таким же надежным, как и любой случайный пароль, сохраненный в менеджере паролей. Вам нужен простой алгоритм, который преобразует легко запоминаемое слово или фразу (которая имеет для вас личное значение) в сложный пароль. Вы можете смело записать более чем достаточно, чтобы вспомнить фразу и алгоритм, не опасаясь, что кто-то выберет ваш карман и решит его.

Допустим, вам нравится Дисней. Ваша фраза может быть дядя Уолт. Модифицируйте фразу новыми способами, например, поменяв местами первую и последнюю букву каждого слова, обернув каждую цифрами и знаками препинания, в то же время заглавные буквы на шаблоне (скажем, вторые от конца).

Дядя (5 букв) и Уолт (4 буквы) могут стать 4encLu $ taLw5.

Если бы вы действительно были параноиком или беспокоились о том, чтобы забыть свой собственный алгоритм, вы могли бы придумать небольшую заметку, чтобы написать где-нибудь, например, «45 долларов за анимационную ячейку Диснея?", как будто вы размышляли над покупкой.

Когда пришло время сменить пароль, вы можете сохранить личный алгоритм и придумать другую фразу и одинаково "случайную" заметку.

1

Получите ноутбук или клавиатуру с устройством для чтения смарт-карт и потребуйте аутентификацию смарт-карты для входа в домен.

Благодаря выпуску ряда больших файлов паролей в виде простого текста, теперь стало возможно получить очень хорошее представление о том, что люди считают сложными паролями, которые легко запомнить. В результате сложный пароль генерируется с использованием простых алгоритмов, таких как

a password that you can remember and then add lots of characters

a simple algorithm that transforms an easy to remember word or phrase

create a pattern that you can remember

- больше не сложно генерировать. Существуют алгоритмы взлома, которые генерируют эти пароли, и все остальное, что вы считаете умным, извлечено из миллионов доступных примеров паролей.

0

Мы можем сузить этот вопрос до - как создать надежный пароль, который легко запомнить.

Я разработаю этот комикс xkcd.

Ваш пароль может включать в себя все виды символов (буквы, символы, заглавные буквы) и может использовать замену общих символов и т.д. И быть очень сложным. Но это будет трудно запомнить.

Или оно может состоять из 4 - 5 общих случайных слов и быть очень простым для запоминания. В то же время это обеспечит вам большую безопасность, так как будет сложнее взломать более длинный пароль.

Если база данных перебирается на приличной скорости, то не будет существенной разницы между паролями GordanFreeman и g0rDAn&fr33mNa с точки зрения ее взлома, если будет решено пройти весь путь до ее взлома.

Но будет разница между паролями g0rDAn&fr33mNa и GordanFreemanIsFightingWallaceBreenInCity17! - Я могу легко запомнить этот пароль, и в то же время он будет намного безопаснее, чем первый пароль. В этом пароле даже есть заглавные буквы, цифры и символы - чтобы полностью соответствовать политике паролей домена, если она есть.

Также вот еще один совет - из Стэнфордского университета. Они выпустили новую политику надежности пароля:

Правила пароля

Правила паролей Стэнфорда, основанные на длине пароля:

8-11: mixed case letters, numbers, & symbols
12-15: mixed case letters & numbers
16-19: mixed case letters
20+: no restrictions

Оно не должно совпадать с вашим текущим паролем, предыдущими паролями, идентификатором SUNet или ответом на сброс пароля.

Это не должно быть одно слово, которое появляется в словаре (английский или не английский)

Он должен состоять только из символов латинского алфавита, цифр или символов на клавиатуре США. Примеры включают такие символы, как # $%! @.

Выберите вариант, который вам нравится, и вы должны быть в безопасности.

0

Для безопасного пароля домена длина пароля является основным фактором взлома пароля.

Стив Гибсон говорит о стогах сена с паролем как о способе создания длинных паролей. Вы можете прочитать его на странице https://www.grc.com/haystack.htm для получения подробной информации. Основная идея состоит в том, чтобы выбрать пароль, который вы можете запомнить, а затем добавить множество легко запоминающихся символов. Например, выберите свою любимую собаку, Снупи, а затем выберите последние две цифры (14) начала Первой мировой войны (Снупи сражался с Красным Бароном в Первой мировой войне). Тогда у вас может быть следующий пароль (измените o на нули, чтобы получить числа):

Sn00py>>>>>>>>>>>>>>

На что, согласно калькулятору Brute force на сайте Стива, для взлома потребуется 11,52 тысячи триллионов веков, при условии, что массивный массив Cracking может выполнять 100 триллионов угадываний в секунду (для этого потребуется 1000 взломщиков паролей с поддержкой GPU). Тогда вы можете просто и легко запомнить пароль, который также трудно взломать.

Историческая справка: пароли доменов Windows длиной более 14 символов хранятся более безопасным образом, что не позволяет декодировать пароль по частям, поэтому весь пароль должен быть декодирован в одном фрагменте.

ОБНОВЛЕНИЕ: пользователь хотел "безопасный" пароль, который не был сложным. Если вам нужен надежный пароль, который будет противостоять хардкорным взломщикам паролей, то вам потребуется длинный и сложный пароль. Учитывая несложное ограничение, длина пароля будет единственной вещью, которая обеспечивает какую-либо безопасность (но все же она должна быть более сложной, чем просто повторный символ). Использование >> - это расширение пароля до такой степени, что предположение о грубой силе неэффективно. Вот что указывают цифры со страницы Стива. Подвох в том, что если вы выберете схему, которая также используется взломщиком паролей, то сила будет намного меньше. Вот почему, когда вы делаете это по-настоящему, вам нужно выбрать базу и расширители, которые можно запомнить, но вряд ли они будут в базе данных взломщика. Если пользователь хочет пароль с "реальной силой", то "несложное" ограничение должно быть отброшено.

Ваше право, Стив говорит, что это не измеритель надежности пароля. Что он говорит, так это то, что добавление длины к паролю делает грубую силу намного сложнее (шаблоны бега - это не грубая сила). Приведенный выше пароль был примером, конечный пользователь должен изменить его до уровня сложности, который требуется, сохраняя длинный (15+ символов пароля).

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .