Каковы лучшие практики для создания безопасных паролей? Я хотел бы сделать их жестче, чтобы взломать с помощью инструментов грубой силы.
Часть II
Существуют ли какие-либо инструменты, которые могут генерировать эти пароли, чтобы мне не приходилось их придумывать?
В Unix-системах PAM, или Pluggable Authentication Module, является хорошим административным инструментом, который поставляется с библиотекой крэка, с которой вы можете проверять пароли.
После некоторой недавней работы по обеспечению безопасности я знаю, что государственные стандарты обычно имеют следующие рекомендации, когда речь идет о пароле:
Здравый смысл подсказывает, что вы не должны помещать 2 цифры и специальные символы в начале или конце, а должны быть с вкраплениями. Работая над этими рекомендациями, он поднял вопрос, стоило ли иметь такие сложные пароли. С такими сложными паролями кажется, что они имеют большую вероятность быть сохраненными где-то в виде простого текста пользователем или где-то записаны.
В личном пользовании я обычно придерживаюсь менее строгих правил, чем эти рекомендации, но определенно не говорю ни слова из словаря или L33t.
У Брюса Шнайера есть хорошая статья об этом, основанная на том, что у компании должна быть обычная практика в выборе паролей людей.
РЕДАКТИРОВАТЬ: О, чтобы сгенерировать пароль. Вы можете использовать такие инструменты, как KeePass или Password Safe, чтобы автоматически генерировать и хранить разные надежные пароли для ваших логинов. Смотрите этот вопрос для получения дополнительной информации.
На grc.com есть хорошая страница, где вы можете получить надежные пароли.
Лично я пытаюсь сделать для паролей относительно длинную запоминающуюся фразу и выполнить следующую трансформацию:
O -> 0 , for / fore / four -> 4 , one , an -> 1 и т.д.В большинстве случаев это приводит к получению довольно безопасного и не угадываемого пароля, который я могу легко восстановить самостоятельно, основываясь на этих правилах и запомнив фразу.
Например:
What are the guidelines for creation of a secure passwords?
становится:
WatG4co1sP?
Обратите внимание, что эта схема может использоваться для создания паролей, которые в значительной степени соответствуют любым правилам, которые может иметь компания в отношении минимальной длины, требуемых включенных символов и т.д. Она также имеет дополнительное преимущество, если вы выбираете схему кодирования, которую можно применять последовательно поскольку это имеет смысл для вас (для заглавных букв, специальных символов и цифр), вам не нужно записывать что-либо на бумаге, чтобы избежать проблемы, когда хакер может найти ваши пароли, просто осмотрев ваше рабочее пространство.
Когда безопасность является основным фактором, я всегда включаю некоторые символы высокого ASCII.
Например, 154 - это Ü. Мало того, что эти персонажи значительно увеличивают время, необходимое для атаки грубой силой, но большинство атак даже не сканируют этот диапазон символов и иногда даже не способны на это.
Также очевидно:
Обсуждение в Diceware - интересное чтение.
Для создания дорогостоящих паролей и парольных фраз метод словаря, подобного diceware, и хорошего рандомизатора, такого как кучка игральных костей, является довольно хорошим выбором.
Лично я использую PasswordSafe, заблокированный сильной парольной фразой, сгенерированной техникой diceware. Я позволяю PasswordSafe генерировать все остальные пароли, которые мне нужны, и, как правило, не знаю, какими они могут быть через несколько минут. У меня есть копии безопасного файла в нескольких системах, поэтому я не слишком беспокоюсь о том, что все яйца находятся в одной корзине. Большим преимуществом является то, что я никогда не использую один и тот же пароль для двух целей.
Для личного пользования я рекомендую хранить разборчивую копию парольной фразы сейфа в безопасном месте, где его могут найти ваши наследники ...
Что касается прочности против грубого растрескивания, то лучше всего увеличить длину, а количество возможных комбинаций увеличится в геометрической прогрессии (буквально). Конечно, все еще хорошая идея ввести некоторые случайные символы и символы, чтобы сделать атаки по словарю более сложными. Или, может быть, использовать пару слов из разных языков - бонусные баллы для не-ASCII символов!
Более подробный анализ доступен здесь.
И хотя мы рассматриваем рекомендации по паролям xkcd, никогда не используйте пароли повторно.
Этот сайт хорошо описывает рекомендации и позволит вам проверить его безопасность. Я думаю, что придумать свой собственный будет более запоминающимся, чем сгенерированный.
На сайте SecurityStats есть страница, где вы можете попробовать свой пароль
Это дает вам рекомендации по улучшению паролей тоже.
Внимательно прочитайте в блоге Google Enterprise по отслеживанию безопасности паролей,
Вы можете сохранить учетную запись для себя, где вы проверяете надежность своих паролей.
Поскольку система аутентификации аккаунта Google постоянно видит новые варианты парольных атак со всего мира, мы можем оценить надежность пароля в режиме реального времени и помочь администраторам определить пароли, которые в прошлом были относительно безопасными и более уязвимыми к последним моделям атак.
Смотрите также Password Maker. При этом используется информация, которую вы предоставляете, включая начальное число, чтобы вы могли создать уникальный пароль. Тогда все, что вам нужно сделать, это запомнить начальное число и определить те же значения данных, и Password Maker сгенерирует тот же пароль для вас позже.
Мои проблемы с паролями в том, что их трудно набирать и труднее запомнить. Лично у меня есть программа gpw, которая генерирует пароли из слогов, в результате чего пароль обычно "почти" произносимый. Если вы его добавите, а затем добавите немного заглавных букв и знаков пунктуации, вы получите нечто, что немного легче запомнить, чем шум линии, но достаточно надежно защищено от грубых атак.
Так, например, я бы сделал это:
$ gpw
ompartiz
tocycedt
psyllicu
doggiedu
Я бы выбрал тот, который мне нравится, а затем превратил бы его в нечто подобное?D0ggid00