鉴于最近发生的“黑客”从网站管理员那里学习和重试密码的事件,关于密码的最佳实践,我们可以向大家建议什么?
- 在站点之间使用唯一密码(即永远不要重复使用密码)
- 字典中的单词要避免
- 考虑使用非英语的单词或短语
- 使用密码短语并使用每个单词的第一个字母
- l33tifying 没有多大帮助
请多多推荐!
AskOverflow.Dev
使用不是由常用词或名称组成的密码。字典攻击使用包含数百万个单词的字典,而且速度非常快。
使用长密码。我倾向于使用密码短语。我选择一个短语、句子或押韵,并找到一些方法来使用相当数量的非字母数字字符,这样我的单词就不是字典单词。
不要对多个登录服务使用相同的密码。花一些时间想出一个选择密码短语的公式。这使您可以使用许多不同的密码,如果忘记了这些密码,您可以通过反复试验重新创建。
如果必须,请务必写下一个好的、长的、安全的密码并将其隐藏在某个地方。这至少比使用更容易记住的弱密码要好。
如果上述建议无法管理,请使用具有长安全密码的密码管理器,然后对其他所有内容使用随机字符密码。在加密的 USB 闪存驱动器上随身携带密码管理器(当然要备份)。
我发现密码短语有几个问题:
我对这个问题的解决方案是使用密码短语作为实际密码的助记符。例如,我可以从威廉·亨利·戴维斯(William Henry Davies)(76 个字符)中挑选几行好诗:
我会选择每个单词的第一个字母,创建以下非常好的 16 字符密码:
使用诗歌特别好,因为它更容易记住,并且当您被要求更改密码时,您只需选择一首诗的下几行即可。
在向他人规定密码制度时,不仅要求他们使用唯一的、超过阈值的长度、包含大小写混合、特殊字符等,而且还要向用户介绍密码管理器或构造/记住这些密码的方案。 . 如果你不这样做,用户会写下密码或找到其他不安全的方式来“记住”它们。
如果您无法记住密码,请使用一些众所周知的文本。选择一个句子,使用每个单词中的第 n个字母作为密码,保留标点符号。(例如,从这个答案的第一句话的第一个字母生成的密码可能是“Iyhtrp,uswkt。”)。您可以通过将一些更改为大写并添加一些特殊字符来使其更强大。
我认为应该生成密码,而不是由用户自己想出来。这避免了所有容易猜测密码的愚蠢问题。
我喜欢使用pwgen,它会生成密码列表,例如
但实际上任何 pw 生成程序都可以。pwgen 的一个优点是它试图通过包含一些元音来使密码(有点)令人难忘。
任何不同于(来源dailywtf.com):
不要使用密码,那是你首先出错的地方。使用随机字符集合(最少 8 个)或密码。您可以想出一个公式来为每个站点生成不同的密码,例如 ILikeStackOverflowOnions 或 ILikeServerFaultOnions;这可以使您免受外来者的侵害,但是如果实际站点被黑客入侵并且密码未加盐,或者管理员首先被破坏,则仍然可能导致问题。
定期更改密码。在我工作的地方,这是一个 30 天的周期。这是一个 PITA,但它将被黑密码的价值降低到有限的时间窗口。再加上复杂的 AD 密码策略,它至少需要 8 个字符,包含大写、小写、数字和符号。
作为补充,我们使用自助密码管理器服务。它提供了一个自定义的 Windows GINA,该功能可以让用户在忘记密码时重置密码,或者在密码错误次数过多时解锁密码。密码管理器应用程序要求用户注册该服务,提供一堆只有他们知道的个人信息,这些信息后来在用户需要重置密码/解锁他们的帐户时用作问题。
Hak5 刚刚做了一集,演示了Remote Exploit中的一个工具,它接受一些字符串并生成所有组合的字典,包括大写、小写、leet 拼写等。所以你给它输入目标的名字、孩子的名字、生日或您了解的有关目标的其他信息。它生成的字典可用作暴力破解弱密码的输入。
道德:避免在密码中使用个人信息
我开始使用最初由 Bruce Schneier 设计的Password Safe来存储任何网络密码。我在密码保险箱上有一个非常强大的密码,所有其他密码都是自动生成的,并且从未在网站上重复使用。
该软件还具有过期密码等功能。
我认为这(考虑到强安全密码)是网站密码的最佳权衡和最安全的方法。