Frage:
Wie kann ein Gleichgewicht zwischen Sicherheitspolitik und praktischen Herausforderungen bei der Umsetzung hergestellt werden?
Sayan
2018-07-01 14:19:28 UTC
view on stackexchange narkive permalink

In unserer Organisation sind wir auf einige häufige Vorfälle gestoßen, z. B.:

    Erfolgreiche Angriffe zum Erraten von Passwörtern gemeldet

  1. Häufiges Passwort Beschwerden zurücksetzen

    2. ol>

    Wir haben eine Untersuchung eingeleitet, um die Ursachen und Mängel in unserer Praxis zu ermitteln. Die Kennwortrichtlinie lautet wie folgt:

    Kennwörter müssen mindestens 8 Zeichen mit einer Mischung aus alphanumerischen Zeichen und Sonderzeichen und einem Ablauf von 60 Tagen enthalten. Keine Wiederholung von Passwörtern für 3 aufeinanderfolgende Änderungen.

    Die meisten Benutzerfeedbacks zu unserer Passwortrichtlinie waren negativ und die Beschwerde lautete, dass sie Schwierigkeiten haben, sich das Passwort zu merken, und häufig ein einfaches verwenden die Richtlinien einhalten.

    Wir haben eine interne (persönliche) Umfrage durchgeführt, um festzustellen, wie stark die verwendeten Passwörter sind. Das Ergebnis zeigt an, dass mehrere gemeinsame Wörter in verschiedenen Kombinationen verwendet wurden, da Benutzer ihre Passwörter alle 60 Tage ändern müssen.

    Zum Beispiel Passwörter, die wiederholte Wörter wie name , enthalten home , office usw. Ich glaube, die meisten Organisationen haben diese Richtlinien eingeführt und die meisten Standards empfehlen diese (PCI-DSS usw.), aber keiner von ihnen schafft wirklich das Gleichgewicht zwischen den Kontrollen und praktische Anwendbarkeit.

    Daher erreicht das tatsächliche Ergebnis solcher Richtlinien / Kontrollen nicht das gewünschte Ergebnis.

    Das Hauptanliegen ist, wie wir das Gleichgewicht zwischen diesen Richtlinien herstellen können (in diesem Fall Passwortrichtlinie) und praktische Implementierungsprobleme?

Mögliches Duplikat von [Ist es nützlich, Benutzer zum Ändern von Kennwörtern zu zwingen?] (Https://security.stackexchange.com/questions/7168/) und [Wie erhöht das Ändern Ihres Kennworts alle 90 Tage die Sicherheit?] (Https: // Sicherheit.stackexchange.com/questions/4704/) und [Ablauf und Konformität des Kennworts (ISO, NIST, PCI usw.)] (https://security.stackexchange.com/questions/161381) und [möglicherweise mehr] (https: //www.google.com/search?q=site%3Asecurity.stackexchange.com+password+expiration+security).
Die Frage wurde umformuliert, um das genaue Problem widerzuspiegeln ... Danke.
Wie viele Passwörter müssen sich Ihre Benutzer merken?
Ich würde empfehlen, [Passwortdienst von haveibeenpwned] (https://haveibeenpwned.com/Passwords) zu Ihrer Passwortüberprüfung hinzuzufügen und andere nicht aussagekräftige Dinge wie 60 Tage Ablauf und Zeichenklassenanforderungen zu entfernen, die jetzt nicht mehr von NIST empfohlen werden.
@paj28, Wir haben ungefähr 5 verschiedene Systeme, einschließlich Domain (o365), ERP usw.
@Bakuriu, Können Sie bitte erläutern, wie dies die Verwendung von Wörterbuchwörtern lösen wird?Ich habe nur ein paar Wörterbuchkombinationen ausprobiert und die haveibeenpwned.com hat diese akzeptiert ...
Neben nur einem Satz von Anmeldeinformationen für den Großteil der Infrastruktur haben wir ein Kennwortprüfsystem implementiert, das im Grunde versucht, die Hashes Tag und Nacht mit allen verfügbaren Kennwortlisten und verfügbaren Enumartionsalgorithmen zu knacken.Falls wir einen knacken können, läuft das Benutzerpasswort ab.
@Sayan - Ich denke, dass die Reduzierung der Anzahl der Passwörter einen guten Effekt hat.Sie können einen genehmigten Kennwortmanager angeben oder je nach Risiko / Vertrauen verschiedener Systeme die Benutzer anweisen, dasselbe Kennwort zu verwenden.Ein Passwort, das jährlich geändert wird, ist sinnvoll, um Leute zu fragen.Fünf Passwörter, die monatlich geändert werden, werden nur dazu führen, dass Leute das System betrügen.
[Jeder sollte inzwischen damit vertraut sein] (https://xkcd.com/936/)
Ich habe den Sinn von Regeln wie "Keine dreimal wiederholten Passwörter wiederholen" nie verstanden.Als Student war ich irritiert, weil ich mein Passwort ändern musste. Ich änderte es einfach zweimal hintereinander, um zu meinem Original zurückzukehren."Keine Wiederholung von Passwörtern für X Tage" ist zumindest durchsetzbar.
@Sayan Habe ich etwas darüber erwähnt?Wenn der Benutzer eine Passphrase wünscht, sollte er mehr als 4 Wörter auswählen, und selbst wenn es sich um gebräuchliche Wörter aus dem Wörterbuch handelt, ist dies sicher.Außerdem: Ich sehe nicht, wie eine dieser Regeln dabei hilft.99% der Benutzer beginnen das Passwort mit einem Großbuchstaben und beenden es mit "!", Daher sind sie in dieser Hinsicht nutzlos.Durch die Verwendung von ihavebeenpwned werden zumindest die am häufigsten verwendeten X-Millionen-Passwörter und Verstöße gegen Passwörter vermieden, was viel besser ist, als wenn diese Regeln erstellt werden.
Wenn Sie möchten, dass Benutzer ein 100% sicheres Passwort haben, gibt es eine einfache Lösung: Lassen Sie sie das Passwort nicht auswählen.Sie sollten das Passwort für den Benutzer generieren.Zeitraum.Sicher, Sie werden mehr Passwörter zurücksetzen, weil die Leute vergessen haben, und Sie müssen ihre Monitore auf Passwörter überprüfen, die auf Papier geschrieben sind ...
Moderne NIST-Standards für Passwörter konzentrieren sich hauptsächlich auf "lange Passwörter" und "nicht dasselbe Zeichen für das gesamte Passwort" und "kein Wörterbuchwort verwenden". Das Erzwingen von Änderungen ist tatsächlich weniger sicher, da Benutzer Kennwörter aufschreiben, anstatt sie sich zu merken. Versuchen Sie diese Richtlinie: - Das Passwort muss aus mindestens 16 Zeichen und höchstens 255 Zeichen bestehen - Das Passwort darf nicht den Benutzernamen enthalten - Das Passwort darf nicht alle das gleiche Zeichen haben Das ist es!(Google "richtige Pferdebatterie Heftklammer" für weitere Informationen)
** Betrachten Sie Ihr Bedrohungsmodell: ** Wenn die schnellste realistische Bedrohung für ein internes System "Jemand, der unbemerkt an einer Workstation sitzt und zufällige Passwörter von Hand versucht" ist - Selbst "password777" ist sicher genug, um in 3 Versuchen nicht erraten zu werden.
Zehn antworten:
martinstoeckli
2018-07-01 14:39:40 UTC
view on stackexchange narkive permalink

Da es sich bei dieser Frage nicht um eine technische Frage handelt, sondern eher um menschliches Verhalten, erhalten Sie nicht die Antwort . Was Sie beschreiben, ist jedoch sehr typisch und ich habe die gleiche Erfahrung gemacht.

Komplexe Passwortregeln führen normalerweise nicht zu sichereren Passwörtern. Wirklich wichtig ist nur eine Mindestlänge und eine Überprüfung anhand einer Liste der meisten verwendete Passwörter. Menschen können sich nicht an unzählige sichere Passwörter erinnern, und solche Regeln können sogar gute Passwortschemata beeinträchtigen. Menschen können sehr erfinderisch werden, um solche Regeln zu umgehen, z. durch die Verwendung schwacher Passwörter wie "Password-2018", das die meisten Regeln erfüllt. Oft haben Sie schwächere Passwörter anstelle von stärkeren.

Gleiches gilt für die Regel zur Änderung des Passworts. Es ist sehr üblich, dem Passwort eine zunehmende Anzahl oder den aktuellen Monat hinzuzufügen.

Kürzlich hat NIST ein offizielles Papier veröffentlicht (siehe Kapitel 10.2.1), in dem von solchen Regeln und ihren früheren Empfehlungen abgeraten wird.

Ein Versuch, die bearbeitete Frage zu beantworten:

  1. Wir können versuchen, die Authentifizierung zu delegieren, entweder mit Single Sign-On oder mit OAuth2. Auf diese Weise können wir die Kennwörter eines Benutzers reduzieren Ich muss mich erinnern (dasselbe Passwort für mehrere Dienste).
  2. Man könnte einen Passwort-Manager empfehlen. Ein Link auf der Anmeldeseite zu einem guten Tool schadet nicht.
  3. Wir könnten Passwortphrasen verwenden. Warum nicht ein lustiges Beispiel auf die Anmeldeseite setzen: "Ich schlafe gerne, bis es zu spät ist, um aufzustehen", dies sensibilisiert und zeigt dem Benutzer, wie viel einfacher (und mobilfreundlicher) Passphrasen sein können. Stellen Sie einfach sicher, dass Sie genau dieses Beispiel ablehnen.
    4. ol>
* schwache Passwörter wie "Password-2018", das die meisten Regeln erfüllt * - dies ist eine ** falsche Aussage **.Dieses Passwort enthält zwei Wörter aus dem typischen Wörterbuch, "Passwort" und Jahr "2018".Jeder einfache Prüfer lehnt ein solches Passwort ab.
Trotzdem erfüllen solche schwachen Passwörter die meisten traditionellen naiven Regeln - genau das ist der @martinstoeckli's-Punkt.
@mentallurg - Gibt es einen bestimmten Validator, den Sie empfehlen würden?
@mentallurg Eine Wörterbuchprüfung ist nur eine Regel, daher sehe ich nicht, wie dies dazu führt, dass "die meisten ** Regeln" "falsch" erfüllt - "die meisten" sind nicht "alle" (und "die meisten" Passwortprüfer wahrscheinlich nichtsogar Wörterbuchvalidierung durchführen).
Genau, die meisten Dienste prüfen nicht mehr als die Mindestlänge, haben einen Großbuchstaben, ein Sonderzeichen und eine Ziffer.
@RoyceWilliams: Es scheint, dass wir verschiedene Traditionen kennen.Die traditionellste Prüfung ist die Prüfung anhand des Wörterbuchs.Erst danach erschienen andere Prüfungen - für minimale Länge, für größeren Zeichensatz.
@immibis: Ich weiß nicht, was * die meisten Dienste * Sie meinen.Meinen Sie die * Dienste, die Sie implementiert haben *?;-);
Ich meine fast jeden einzelnen Dienst, den ich * verwendet * habe und für den eine Kennwortauthentifizierung erforderlich war.
@mentallurg Wenn Ihr Validator Wörterbuchwörter im Passwort nicht zulässt, ist dies ein schlechter Validator.Ich verwende routinemäßig Wörterbuchwörter in den Passwörtern, an die ich mich erinnern muss, und es ist oft einfacher, mit Wörterbuchwörtern ein leicht zu merkendes Passwort mit hoher Entropie zu erhalten, als mit Kauderwelsch oder Ersetzungen.Siehe relevante [xkcd] (https://xkcd.com/936/?).
@mentallurg Und bitte schimpfen Sie nicht über Passwort-Manager, wie Sie es in der anderen Antwort getan haben, weil niemand sagt, dass Sie keinen verwenden sollen.Ich sage ** offensichtlich ** für die Passwörter, an die Sie sich erinnern müssen, dass das Nichtzulassen von Wörterbuchwörtern eine dumme, dumme Praxis ist, die praktisch garantiert dazu führt, dass Benutzer alberne Muster mit geringer Entropie verwenden und sie dennoch ständig vergessen.
@mentallurg könnten Sie einige Beispiele für Validatoren machen, die Wörterbuchprüfungen durchführen?Ich bin mir ziemlich sicher, dass die meisten Dienste dies nicht tun, oder suchen Sie einfach nach dem Benutzernamen! = Passwort.
@mentallurg Ich kenne keinen einzigen Dienst oder ein System, mit dem ich arbeite und das Wörterbuchwörter in seinen Passwörtern verbietet.Warum denkst du, ist dies üblich oder "traditionell"?Wenn es üblich ist, sollte es kein Problem sein, einige Beispiele zu nennen.
@martinstoeckli In Ihrem dritten Punkt sagen Sie, Passwörter sind mobilfreundlich - könnten Sie das für mich erweitern?Nach meiner Erfahrung fällt es mir tendenziell schwerer, eine Passphrase in ein mobiles Gerät einzugeben, da ich beim Tippen versehentlich den falschen Buchstaben tippe und nur Sternchen sehe.Wollen Sie damit sagen, dass sie mobilfreundlich sind, weil Sie keinen Passwort-Manager benötigen oder dass etwas über Passphrasen die Eingabe erleichtert?
@GregSchmit, Ich stimme zwar voll und ganz zu, dass Sie Wörterbuchwörter nicht zulassen, aber ich dachte, es ist erwähnenswert, dass NIST empfiehlt, Passwörter auf frühere Verstöße zu überprüfen.[Troy Hunt] (https://haveibeenpwned.com/Passwords) hat eine Zusammenstellung der Passwörter veröffentlicht, die er aufgrund von Verstößen (offensichtlich gehasht) hat, was diese Überprüfung ziemlich einfach macht.
@tehDorf - Vielleicht bin ich es nur, aber ich bin viel schneller, wenn ich nicht zwischen Tastaturen mit normalen und Sonderzeichen hin und her wechseln muss.
Royce Williams
2018-07-01 18:41:01 UTC
view on stackexchange narkive permalink

Die beste Lösung besteht darin, Ihre Benutzerbasis für die Verwendung von Passphrasen zu schulen.

Passphrasen sind leichter zu merken, leichter zu tippen - und schwerer zu knacken. Und die von @martinstoeckli erwähnten NIST-Regeln sind passphrasenfreundlich gestaltet.

Fünf zufällige Wörter, die aus einem Wörterbuch mit mindestens 20.000 Wörtern stammen, wären ein guter Mittelweg.

Training wird der Schlüssel sein, wenn Materialien wie Stanfords verwendet werden.

Sie können sogar eine Möglichkeit erstellen, Passphrasen zu generieren und ihnen vorzuschlagen. Es wäre relativ einfach, eine vereinfachte, private Instanz von ae7.st/g oder rempe.us/diceware zu erstellen, die Ihre Benutzerbasis als Ausgangspunkt verwenden kann. Diese werden vollständig auf der Clientseite ausgeführt, sodass die Kennwörter nicht remote erfasst werden können.

[Bearbeiten: Ja, ich bin auch ein großer Fan von Kennwortmanagern. Die ursprüngliche Frage konzentriert sich jedoch auf Helpdesk-Anrufe zum Zurücksetzen von Passwörtern im Unternehmen, was mit ziemlicher Sicherheit AD-Passwörter bedeutet - eines dieser "Front-End" -Kennwörter, die normalerweise gespeichert werden müssen.]

Passphrasen sind nur dann gut A) wenn Sie sie längere Zeit nicht ändern;B) wenn Sie sich nur an einige erinnern müssen.Nachdem Sie Ihre 5 Passwörter mehrmals im Jahr geändert haben (siehe Anforderung, sie alle 2 Monate zu ändern), haben Sie * möglicherweise * große Schwierigkeiten, sich daran zu erinnern, was genau dieser lustige oder seltsame Ausdruck für dieses bestimmte System war.Passphrasen waren gut, vielleicht in den 1970er Jahren, als man meistens ein einziges Passwort brauchte.Nicht jetzt Tage.Es gibt eine Ausnahme: Passphrasen können für den Passwort-Manager immer noch gut sein.Geben Sie alle Passwörter in den Passwort-Manager ein.
Generell stimme ich zu.In diesem Fall impliziert der Kontext der Frage ein "Einstiegspunkt" -Kennwort - in diesem Fall ein AD-Kennwort oder andere Kennwörter wie das Kennwort für den Kennwortmanager selbst -, das gespeichert bleiben muss.
Obligatorisch [xkcd-Link] (https://xkcd.com/936/?)
Tatsächlich!:) Obwohl die Wortanzahl und die Anzahl der Wörter in dieser XKCD später als unzureichend erwiesen wurden (vorausgesetzt, der Kennwortspeicher verwendet möglicherweise einen naiven (schnellen) Hash.
Lustige Sache ... Ich habe [das gemacht] (http://nonnymoose.gitlab.io/passgen/)!
Es ist wirklich ** erstaunlich **, wie viele Menschen im Jahr 2018 noch blind auf diese Idee hinweisen, die XKCD illustriert.Diese Idee war 1970 vernünftig, als sich ein Benutzer ein einziges Passwort merken musste.Es macht keinen Sinn mehr, da ca.2000, als viele öffentliche Dienste auftauchten - viele Anbieter von kostenlosen E-Mails und anderen Diensten.Kennen Sie jemanden, der es im wirklichen Leben anwenden kann?Viele Leute haben 20-30, viele sogar rund 100 Konten.Sie müssen die Passwörter für einige dieser Konten alle 60 oder 90 Tage ändern.Und Sie zeigen auf XKCD.Komm schon Leute :) Ohne Passwort-Manager geht es nicht.
Hier auf ** Sicherheit ** Teil von SO würde man ernstere Meinungen erwarten, anstatt nur auf Ideen zu verweisen, die vor 40 Jahren in Ordnung waren und vor 20 Jahren ** veraltet ** wurden.
Niemand schlägt vor, keinen Passwort-Manager zu verwenden.Aber das war nicht die Absicht der ursprünglichen Frage.
@mentallurg Was für ein dummer Scherz.Niemand sagte, keinen Passwort-Manager zu verwenden.Es gibt jedoch noch ein oder zwei Kennwörter, an die sich ein Benutzer erinnern möchte (für mich das pw für meinen Kennwortmanager und mein Kennwort für die Universität, damit ich es in die Kioske eingeben kann, um es an den Universitätsdruckern zu drucken).Für diese ist die Verwendung von Passphrasen eine großartige Idee.
@GregSchmit: Genau das habe ich im allerersten Kommentar zum Beitrag gesagt.Stimmen Sie ab :)
Neue am häufigsten verwendete Passphrase: * CallmeIshmael *
@mentallurg Das ist ein wirklich guter Punkt - ich habe auf Ihre letzten paar Kommentare geantwortet und tatsächlich nicht bemerkt, dass Sie den ersten verfasst haben.Es wird abgestimmt.:) :)
@mentallurg Ihre Beschwerde ist falsch und Ihre Fakten sind falsch.In diesem XKCD-Comic gibt es nichts, was besagt, dass ** kein Passwort-Manager verwendet wird **.Betriebssysteme aus den 1970er Jahren hatten im Allgemeinen begrenzte Kennwortlängen, die Phrasen unmöglich machten.Passphrasen waren vor 20 Jahren nicht veraltet.Fast niemand wusste, was sie waren.Ich war da.Vor 40 Jahren waren sie noch nicht einmal möglich, weil die Passwortfelder nicht lang genug waren, um sie zuzulassen.Ihr Einwand, keinen Passwort-Manager zu verwenden, hat nichts mit Passphrasen zu tun.Du schreist den Hund wegen dem an, was die Katze getan hat.
Jeffrey Goldberg
2018-07-02 07:07:29 UTC
view on stackexchange narkive permalink

Helfen Sie allen in Ihrer Organisation, einen guten Passwort-Manager zu verwenden. (Ich sollte offenlegen, dass ich für die Hersteller eines sehr guten Passwort-Managers arbeite.)

Im Ernst, Sie haben ein Passwort-Verwaltungsproblem, und die Verwendung eines Passwort-Managers in Ihrer Organisation ist der beste Weg, um dieses Problem zu beheben. Dies ist, wofür Passwort-Manager entwickelt wurden.

Adressieren von Kommentaren

Es gab eine Reihe hervorragender Kommentare, die ich eher spontan beantwortet habe. Es sieht also so aus, als müsste ich mich hier wirklich anstrengen.

Es gibt zwei Fragen zu besprechen.

Passwort des Passwort-Managers vergessen

Ein Passwort-Manager beseitigt nicht die Notwendigkeit, sich alle Passwörter zu merken, hilft aber auf jeden Fall. Mir war nicht ganz klar, ob sich die ursprüngliche Frage speziell auf das Workstation- / AD / LDAP-Benutzerkennwort für die Organisation oder andere Kennwörter konzentrierte.

Eine Sache bei der Verwendung des Kennwortmanagers ist, dass Sie dies normalerweise tun müssen ihr Passwort mehrmals am Tag eingeben. Nach kurzer Zeit lernen die Leute es also gut.

Und wenn wir speziell von 1Password sprechen, haben wir Dinge so eingerichtet, dass es für uns unmöglich ist, die Geheimnisse eines Menschen zu lernen, aber für bestimmte Personen innerhalb eines Organisation, die befugt sein soll, eine Wiederherstellung durchzuführen. In unserer Dokumentation finden Sie Informationen dazu, wie dies für einen Administrator aussieht, oder in unserem Sicherheitsweißbuch finden Sie wichtige Informationen dazu, wie dies alles hinter den Kulissen funktioniert.

Anmeldung an der Workstation

Natürlich können Sie dies Führen Sie Ihren Passwort-Manager nicht auf einem System aus, bei dem Sie sich nicht anmelden können. Abhängig von den Richtlinien Ihres Unternehmens kann der Kennwortmanager jedoch auch auf dem Telefon eines Benutzers ausgeführt werden.

Ich verstehe, dass es einige Einwände dagegen geben wird, bin jedoch der Ansicht, dass es im Interesse der Organisationen liegt, dass das Anmeldekennwort von Personen nicht nur für HTTP verwendet wird. MyKittyPictures.org Dies basiert auf einer Version von Wordpress, die seit einem Jahrzehnt nicht mehr aktualisiert wurde. Sie möchten also, dass Ihre Mitarbeiter sowohl zu Hause als auch bei der Arbeit einen Passwort-Manager verwenden.

Auch hier ermöglicht 1Password (und einige unserer Mitbewerber) die Verwaltung separater Konten, sodass Sie keinen Arbeitsplatz finden Geheimnisse, die an Orte gelangen, die Sie nicht wollen. Ich wollte dies nicht wirklich in ein Verkaufsgespräch verwandeln, aber es gibt Möglichkeiten, Dinge einzurichten, die für die Sicherheitsanforderungen verschiedener Organisationen geeignet sind.

Mit eindeutigen Kennwörtern verringert sich der Bedarf an erzwungener Rotation

(Dies ist relevant, da erzwungene Kennwortrotation dazu führt, dass Benutzer Kennwörter vergessen oder beschissene verwenden.)

Erzwungene Kennwortrotationen schaden im Allgemeinen mehr als sie nützen. Einige der "guten" Dinge, die sie tun, sind, dass Benutzer dazu neigen, dasselbe Kennwort für mehrere Dienste wiederzuverwenden. Sobald einer kompromittiert wird, ist alles, was dasselbe Kennwort verwendet, anfällig.

Benutzer dazu bringen, ein Kennwort zu verwenden Der Manager hilft dabei, Personen von der Wiederverwendung von Passwörtern abzuhalten.

Bei generierten Passwörtern werden Komplexitätsregeln nicht benötigt.

Komplexitätsregeln für Passwörter können ebenfalls mehr schaden als nützen und führen mit Sicherheit dazu Passwörter, die schwer zu merken sind. 1Password bringt die Leute zu sehr starken, aber verwendbaren Master-Passwörtern.

Auch hier versuche ich nicht, daraus ein Verkaufsgespräch zu machen. Schauen Sie sich an, was wir anbieten (sprechen Sie mit uns über die Bedürfnisse Ihrer spezifischen Organisation), aber schauen Sie sich auch andere an. Meiner nicht so bescheidenen Meinung nach sind wir die Besten, aber insgesamt ist mein Punkt, dass viele Ihrer Passwortprobleme mithilfe eines Passwortmanagers behoben werden können. Und es wird Ihre Leute dazu bringen, sich auf sicherere Gewohnheiten einzulassen. Ein Passwort-Manager genießt den glücklichen Punkt, sowohl die Sicherheit zu erhöhen als auch den Benutzern das Leben zu erleichtern.

Der Benutzer würde weiterhin ein Kennwort für den Kennwortmanager benötigen, und das Problem des wiederholten Vergessens von Kennwörtern oder von Kennwörtern, die erfolgreich angegriffen werden können, ist weiterhin ein Problem. Daher ist die Verwendung eines Kennwortmanagers keine Antwort auf diese Frage.
@GregSchmit Die Verwendung eines Passwort-Managers ist eine ausgezeichnete Wahl für die Frage des OP, wahrscheinlich die einzig vernünftige. Der Hauptgrund für einen Passwort-Manager ist meiner Meinung nach, dass nur noch EIN Passwort zum Speichern übrig ist, was dann komplexer sein kann.
@nulldev Wie öffne ich meinen Passwort-Manager auf einem Computer, ohne die Sitzung zuerst zu öffnen?
@nulldev Aber der springende Punkt der Frage ist das Problem schwacher erratener Passwörter und deren Vergessen - Sie können sagen "Passwort-Manager verwenden und x, y und z ausführen", aber "Passwort-Manager verwenden" ist ** nicht **eine Lösung, da es immer noch ** mindestens ** ein Passwort gibt, das gespeichert werden muss.
Entschuldigen Sie den DV, aber Sie müssen Tensibais Kommentar ansprechen, sonst ist Ihre Antwort nutzlos, um Ihren Firmencomputer zu entsperren, auf dem sich vermutlich der pw-Manager befindet.
@Tensibai In der Praxis habe ich 3 Passwörter in meinem Leben, an die ich mich erinnere, 2 Login-Passwörter für die Workstations (eines bei der Arbeit und eines zu Hause) sowie das Hauptkennwort des Passwort-Managers Ihrer Wahl.Diese Passwörter ändern sich selten.Ich kann es mir leisten, mich an 3 Passwörter zu erinnern, mit dem Ergebnis, dass ich überall "kostenlos" eindeutige, nicht erratene Passwörter habe.
Dies liest sich wie ein Verkaufsgespräch.Wir haben es verstanden, Passwort-Manager sind großartig.Niemand bestreitet das.Sie haben jedoch in Ihrem Anhang nicht erklärt, wie Sie sichere, einprägsame Kennwörter erstellen können. Sie haben lediglich erläutert, warum Kennwortmanager großartig sind und alles tun.Eine Antwort, die es wert ist, positiv bewertet zu werden, würde klar sagen, dass die Verwendung einer Passphrase anstelle eines Passworts ** dazu führt, dass Menschen sichere und einprägsame Passwörter erhalten können (die sich mit der Frage befassen, wie Probleme mit wiederholt vergessenen und unsicheren Passwörtern vermieden werden könnenPasswörter).
"1Password bringt die Leute zu sehr starken, aber verwendbaren Master-Passwörtern."** Auf welche Weise machen Sie das? ** Ermutigen Sie sie, sich Zeichenfolgen mit 16 kryptografisch zufälligen Zeichen zu merken?
@GregSchmit, Wenn Sie sich zum ersten Mal für 1Password anmelden, wird angeboten, ein Hauptkennwort für Sie zu generieren, und es wird (standardmäßig) eine Passphrase mit vier Wörtern mit Wörtern generiert, die einheitlich aus einer Liste von etwa 18300 Wörtern ausgewählt werden.Diese sind wie Diceware, verwenden jedoch eine viel längere Wortliste.Sie müssen es auch üben.
@JeffreyGoldberg Das ist ein solides Verfahren!
mentallurg
2018-07-01 20:05:27 UTC
view on stackexchange narkive permalink

... das tatsächliche Ergebnis solcher Richtlinien / Kontrollen erreicht nicht das gewünschte Ergebnis.

Genau. Sie haben das gut identifiziert.

1. Überprüfen Sie Ihre Kennwortrichtlinie. Überlegen Sie, was genau Sie schützen und welche Konsequenzen dies hätte, wenn ein Angreifer ein Kennwort herausfindet. Wenn das Passwort nur einen Zugang zu Ihrem Parkplatz bietet, ist es nicht so schädlich, ein ziemlich einfaches Passwort ist ausreichend. Abhängig von den Konsequenzen kann die Richtlinie schwerwiegender sein, in einigen Fällen reicht das Kennwort möglicherweise nicht aus und Sie benötigen möglicherweise Hardwarelösungen wie Smartcards oder USB-Kennwortmanager.

2. Verwenden Sie den Passwort-Manager. Benutzer müssen sich dann nur ein einziges Passwort merken. Für die Systemanmeldung (Windows, Linux, ...) können Sie auf diesem System natürlich keinen Kennwortmanager verwenden, aber Sie können den PW-Manager auf Ihrem Smartphone verwenden (von Ihrem Unternehmen bereitgestellt und konfiguriert und Ihren Sicherheitsrichtlinien entsprechend).

3. Verwenden Sie die 2-Faktor-Authentifizierung. Zum Beispiel Passwort plus SMS. Pro: Passwörter können einfacher sein. Gegen: Benutzer können sich beschweren, weil sie gezwungen sind, dauerhaft Code aus SMS in den Anmeldedialog einzugeben. Sie können es dennoch einfach machen, wenn Sie die 1-Faktor-Authentifizierung in Ihrem Intranet oder in Ihrem Büro und die 2-Faktor-Authentifizierung nur für den Remotezugriff verwenden oder wenn sich der Benutzer nicht von seinem PC aus anmeldet.

4. Automatisches Zurücksetzen von Passwörtern. Geben Sie Ihren Benutzern die Möglichkeit, ihre Passwörter automatisch zurückzusetzen, z. per E-Mail oder SMS.

Ich bin mir ziemlich sicher, dass # 2 in diesem Fall wahrscheinlich nicht zutrifft, da Sie erst auf Ihren pw-Manager zugreifen können, nachdem Sie Ihren Computer mit dem sich ändernden pw entsperrt haben.
@TTT: Welche Maschine?Warum geht es Ihrer Meinung nach nur um die Systemanmeldung?
Jeder Ort, an dem ich jemals gearbeitet habe (über 15 Unternehmen), hat Windows-Maschinen in einer Domain.Sie müssen Ihre Workstation mit Ihrem Domain-Passwort entsperren, bevor Sie es verwenden können.Ich muss mir also zwei Passwörter merken: mein Domain-Passwort, das sich normalerweise alle 90 Tage ändert, und mein pw-Manager-Passwort.Es besteht eine sehr hohe Wahrscheinlichkeit, dass es sich bei dieser Frage um das Unternehmenskennwort handelt, mit dem Sie sich bei der Workstation anmelden.
@TTT: Warum sprechen Sie über die Windows-Anmeldung?Das OP fragt nicht nach der Anmeldung bei einem System.Hier geht es um ** beliebige ** Anmeldungen.Benutzer benötigen Anmeldungen für eine große Anzahl von Anwendungen.Aber auch für die Systemanmeldung kann ein Passwort-Manager verwendet werden, wenn Sie ** Smartphone ** verwenden (bereitgestellt und konfiguriert von Ihrem Unternehmen und gemäß Ihren Sicherheitsrichtlinien).
OP hat es nicht erwähnt, aber es ist impliziert, weil die Frage einen Helpdesk zum Zurücksetzen Ihres pw erwähnte.Dies ist nicht möglich, wenn es sich nicht um die pw auf Unternehmensebene handelt, mit der auch Ihre Workstation entsperrt wird.Ja, Sie können eine mobile PW-Manager-App verwenden (ich speichere damit meine kurzlebige Domain-PW, falls ich sie vergesse), aber die PW muss immer noch leicht zu merken sein, da ich sie 10 Mal am Tag eingebe, also ichWählen Sie, dass Sie nicht das typische zufällige 20-Zeichen oder mehr pw verwenden möchten.Ich denke, Ihre Smartphone-Aussage würde eine gute Bearbeitung von Punkt 2 bewirken, speziell für diesen wahrscheinlichen Fall.
Sie sollten bewährte Methoden für Kennwörter einschließen, an die Sie sich erinnern müssen, z. B. Systemanmeldung, Kennwortmanagerkennwort oder andere Anmeldungen, die der Benutzer möglicherweise in ein fremdes System eingeben muss (in meinem Fall meine Universitätsanmeldung, damit ich bei drucken kann)Kioske in der Universitätsbibliothek).Ich spreche nicht so subtil von Pass ** Phrasen ** anstatt von Pass ** Wörtern ** an, die meiner Meinung nach zu jeder Antwort gehören, die es wert ist, bewertet zu werden.:) :)
@TTT: * impliziert, weil ... Helpdesk * - OK, verstehen.Ja, "Helpdesk" kann das implizieren.Aber ich kenne mehrere Unternehmen, in denen Benutzer gezwungen sind, ihr Passwort über den Helpdesk zurückzusetzen, selbst für so einfache Anwendungen wie Confluence.Natürlich haben diese Unternehmen noch strengere Richtlinien für Systemanmeldungen, Datenbanken und kritische Anwendungen, bei denen Kennwörter wiederum nur über den Helpdesk zurückgesetzt werden können.Ich habe jedoch keine Statistiken zu Richtlinien zum Zurücksetzen von Passwörtern in solchen Unternehmen und kann nicht beweisen, dass dies ein häufiger Fall ist :)
countermode
2018-07-02 18:46:13 UTC
view on stackexchange narkive permalink

Die wichtigsten Punkte wurden in anderen Beiträgen gemacht. Ich möchte nur hervorheben, dass

  1. es in den meisten Situationen besser ist, Benutzer ein gutes Passwort auswählen und behalten zu lassen, als sie zu zwingen, ihr Passwort regelmäßig zu ändern.

  2. Eine einfache Berechnung zeigt, dass aufwändige Komplexitätsanforderungen gegen ein oder zwei weitere Zeichen eingetauscht werden können, dh anstatt die "üblichen" Buchstaben / Ziffern / Sonderzeichen und die Mindestlänge 8 zu erfordern Fragen Sie einfach nach 10 Zeichen.

  3. Anforderungen wie Sonderzeichen schwächen Passwörter tatsächlich, da so gut wie kein Benutzer ein zufälliges solches Zeichen an einer zufälligen Position auswählt - Schauen Sie sich einfach die Rockyou-Passwortliste an und sehen Sie sich die Anzahl der Passwörter an, die auf "!" oder ".". Das ist also ziemlich vorhersehbar. Tatsächlich basiert die Argumentation, dass Komplexität die Sicherheit verbessert (genauer: Entropie), auf der Annahme, dass Benutzer Kennwörter wie 1D>u&b8H oder 6mp {: 2tL anstelle von Kennwörtern wie g0tch4 !! oder #1Hottie .

  4. Wenn Sie Komplexität wünschen, machen Sie es richtig: fragen Sie nach n out von m verschiedenen Zeichen (z. B. mindestens 8 von 12 oder mehr) und lehnen Muster wie 123456 oder qwerty usw. ab. Dies ist nicht perfekt Aber es wird die schlimmste Art von Müll sofort ausmerzen.

  5. Noch besser, ermutigen Sie Ihre Benutzer, Passphrasen zu verwenden.

  6. Ich habe auch Passwortvorschläge gesehen, die auf Randall Munroes Idee basieren, vier (oder mehr) zufällige Wörter auszuwählen.

    7. ol>

    Wenn Sicherheit wirklich ein solches Problem ist, dann Passwörter sind möglicherweise nicht die richtige Wahl für die Authentifizierung. 2FA- oder Public-Key-basierte Authentifizierung könnte die (zugegebenermaßen teurere) adäquate Lösung sein. Wenn das Management jedoch auf der aktuellen Richtlinie besteht, muss es einfach mit den Ergebnissen leben.

nulldev
2018-07-02 02:52:07 UTC
view on stackexchange narkive permalink

In meiner Firma gibt es hauptsächlich zwei Regeln, unternehmensweit:

  • Der Speicher befindet sich entweder "im Speicher" oder in einem bestimmten Passwort-Manager mit einem persönlichen Master Passwort. (KeePass in diesem Fall)
  • Die Kennwortkomplexität muss mindestens eine Mindestlänge haben und 3 davon erfüllen:
    • Zahlenzeichen
    • "Sonderzeichen"
    • Kleinbuchstaben
    • Großbuchstaben

Neue Mitarbeiter sind mit diesen Regeln vertraut und nach Bedarf geschult.

Der Schlüssel hier ist die Durchsetzung und Unterstützung des Passwort-Managers. In der Praxis führt dies zu zufälligen, langen und sicher gespeicherten Passwörtern.

Die einzige Ausnahme kann sein, wenn ein Kunde ausdrücklich eine andere Behandlung von Passwörtern für IHRE Systeme verlangt, die vom Projektmanager genehmigt werden muss.

Können Sie bitte erläutern, welche „Standardkriterien“ Sie verwenden, wenn diese öffentlich zugänglich sind?
@Sayan Siehe meine Bearbeitung.Nichts Besonderes.Der wichtige Teil ist der Passwort-Manager.Da KeePass das Verknüpfen von Containern ermöglicht, haben wir "gemeinsame" Kennwortcontainer für gängige Systeme, die von Benutzergruppen verwendet werden, und persönliche Container für jeden Benutzer.Scheint mir sehr effektiv zu sein.
Tom
2018-07-03 02:04:52 UTC
view on stackexchange narkive permalink

Ich habe ein paar Vorträge zu diesem Thema gehalten, daher gibt es viele Informationen in meinem Kopf und ich hoffe, ich kann es auf ein paar wichtige Punkte reduzieren:

  1. Was sind Ihre tatsächlichen Bedrohungen? Die meisten Regeln für die Komplexität von Passwörtern sind uralt, fehlgeleitet und gehen von Brute-Forcing als Hauptbedrohung aus. Wenn Sie ein wenig über das Thema nachdenken, werden Sie mit ziemlicher Sicherheit zu dem Schluss kommen, dass dies nicht der Fall ist. Wenn in 90% der Einstellungen Brute-Forcing überhaupt möglich ist, ist Ihre Software defekt .

  2. Benutzer interpretieren Ihre Kennwortrichtlinie immer in der Weg, der es ihnen am einfachsten macht. Dies hat die unbeabsichtigte Folge, dass ein Angreifer, der Ihre Kennwortrichtlinie kennt, tatsächlich einen dramatisch reduzierten Suchraum hat. Wenn Sie beispielsweise Zahlen benötigen, setzt die überwiegende Mehrheit der Benutzer diese am Ende, eine Minderheit am Anfang, und fast niemand mischt sie innerhalb des Wortes so, wie es Ihre trivialen Komplexitätsschätzungen angenommen haben.

  3. Lassen Sie die Regeln "Sonderzeichen und Zahlen sowie Groß- und Kleinschreibung" fallen. Sie sind völliger Unsinn. Diese Regeln machen eine Reihe von Angriffen einfacher .

  4. Erzwingen Sie lange Passwörter. 8 Zeichen absolutes Minimum, besser 12. Wenn das Passwort ausreichend lang ist, kann es einprägsam sein, es kann ein Wort oder eine Variation oder eine Verwechslung von Wörtern sein. In den meisten Sprachen ist es einfach, unsinnige Wörter zu erstellen. Zum Beispiel "nicht die meisten Worte" aus diesem letzten Satz. Diese sind relativ leicht zu merken und relativ schnell richtig zu tippen. (Das Mischen von Teilen von ungefähr 4 Wörtern ist meine Lieblingsvariante der berühmten xkcd-Antwort auf dieses Thema, die brillant ist, aber zu langen Passwörtern führt, die normale Benutzer nicht eingeben - denken Sie daran, dass die meisten Benutzer die Eingabe nicht berühren können )

  5. Überprüfen Sie die von Personen eingegebenen Passwörter anhand einer schwarzen Liste, um sicherzustellen, dass "Passwort" und alles, was in den Top 100 oder so aufgeführt ist, nicht akzeptabel ist. Fügen Sie einige Ihrer eigenen hinzu (z. B. Firmenname oder Firmenname + aktuelles Jahr).

  6. Kehren Sie zu Ihren Gedanken über Bedrohungen zurück und ergänzen Sie diese generischen weist auf einige hin, die für Ihre Bedrohungen spezifisch sind. Wenn zum Beispiel die begründete Gefahr besteht, dass Ihre Passwortdatenbank gestohlen wird, haben Sie das einzige Szenario, in dem Brute-Force tatsächlich eine Rolle spielt, und Sie müssen über den Suchraum nachdenken - nachdem Sie sichergestellt haben, dass Sie gute Hashes verwenden, gut Salz und vielleicht Pfeffer. Vielleicht ist es auch einfacher und effektiver, Ihre Datenbank sicherer zu machen, als Menschen dazu zu zwingen, etwas zu tun, was Tausende von Menschen seit Jahrzehnten erfolglos versucht haben? - Wenn Sie jedoch das Schulter-Surfen als ernsthafte Bedrohung identifizieren, möchten Sie auf keinen Fall keine Komplexität bei Passwörtern, da 9 [~ K> '? + D * kg viel langsamer zu tippen sind als "nonmost wordages", obwohl sie die gleiche Komplexität haben (in der Größenordnung von 10 ^ 22).

    7. ol>

    Wenn Sie Daten und Nachforschungen benötigen, um andere in Ihrem Unternehmen zu überzeugen, gib mir einen Schrei.

Ich würde ohne Sonderzeichen sagen, 12 ist das absolute Minimum;Sie sollten wirklich große Probleme haben, 16 Zeichen Wortsalat zu finden.
@JanHudec warum sind 12 Zeichen ein absolutes Minimum?Was ist die Bedrohung, gegen die Sie sich verteidigen, die mehr erfordert?Zu viele Leute in diesem Bereich denken immer noch, dass Komplexität absolut erforderlich ist, ohne auch nur eine oberflächliche Risikoanalyse durchzuführen.
Genau!Wenn die schnellste realistische Bedrohung darin besteht, dass "jemand unbemerkt an einer Workstation sitzt und zufällige Passwörter von Hand versucht" - Selbst "password777" ist sicher genug, um in drei Versuchen nicht erraten zu werden.
@Tom,, aber Sie haben auch kein spezifisches Argument für die 8, oder?
@JanHudec nein, ich nicht und ich würde es nicht beauftragen, ohne die Risiken zu kennen.Zum Beispiel hat mein Heim-Desktop-Computer ein 3-stelliges Passwort.Sie benötigen zuerst physischen Zugriff auf die Maschine. Zu diesem Zeitpunkt befinden Sie sich bereits in meinem Haus, und der Zugriff auf meinen Computer ist nicht mein Hauptproblem.Meine Hauptbedrohung besteht darin, dass Katzen versehentlich auf die Tastatur treten und sich irgendwie einloggen und dann mit weiteren Schritten Schaden anrichten (Dateien löschen oder so).3 Zeichen sind mehr als genug, um dies ziemlich unwahrscheinlich zu machen.
allo
2018-07-02 14:10:22 UTC
view on stackexchange narkive permalink

Was Ihre Benutzer stört, ist die strenge Richtlinie, die viele starke Passwörter verhindert und gleichzeitig schwache zulässt.

Die Passwortrichtlinie ist stark mit 'Passwörter müssen mindestens 8 Zeichen mit einer Mischung enthalten von alphanumerischen Zeichen und Sonderzeichen und 60 Tage nach Ablauf. Keine dreimal wiederholten Passwörter.

"Passwort-1" hat einen Großbuchstaben, ist 10 Zeichen lang und hat ein Sonderzeichen, und Sie denken, es ist sicher. "Green Horse President Butter" ist nicht erlaubt, aber viel länger und schwerer zu erraten oder brutal zu erzwingen.

Das Ablaufen von Passwörtern ist eine weitere Sache, von der moderne Passwortrichtlinien abraten. Lassen Sie mich nach Ihren Regeln ein anderes Passwort wählen und ich wähle "Passwort-2".

Persönlich würde ich dies lösen, indem ich ein langes Passwort benötige. Wenn Sie mindestens 20 Zeichen benötigen, funktioniert "Password-123" nicht und Sie werden kreativ. Oder starten Sie einen Passwort-Manager. Einfache Brute-Force hat bei so langen Passwörtern keine Chance und Sie haben eine gute Chance, dass selbst ein nicht so gutes Passwort nicht einfach aus einer Wortliste zusammengestellt werden kann.

Jeff Elliott
2018-07-02 19:59:49 UTC
view on stackexchange narkive permalink

Meine Masterarbeit befasste sich mit Informationssicherheit und wie Menschen das schwächste Glied sind. Ich spüre Ihren Schmerz hier, weil Benutzer, sobald Sie die Kennwortregeln zu schwierig machen, ihr Kennwort auf einen Notizzettel schreiben und es an ihren Computer anhängen.

Mein Unternehmen verfügt über mehrere zusätzliche Regeln, die Ihnen dabei helfen, Schritt zu halten Komplexität:

  1. 70% Ihrer Passphrase müssen unterschiedlich sein: Dadurch werden Personen von Passwort1 , dann Passwort2 und dann Passwort3
  2. Ihr Passwort darf keine Wörter aus dem Wörterbuch enthalten: Dies zwingt die Benutzer dazu, Leet-Rechtschreibung und ähnliche Problemumgehungen zu verwenden.
  3. Ihr Passwort kann keine gebräuchliche Passphrase sein: Auf diese Weise können Sie die Ihres Systems testen Passphrasen und verhindern, dass mehr als eine Person dasselbe Passwort verwendet.
    4. ol>

    Da Passwörter nur geringfügig besser sind als die Illusion von Sicherheit, ist es möglicherweise besser, eine andere Art der Authentifizierung hinzuzufügen.

    Es gibt drei Arten der Authentifizierung:

    1. Etwas, das Sie kennen (wie einen Passcode oder eine Passphrase)
    2. Etwas, das Sie haben (wie ein Token oder Zugangskarte)
    3. Etwas, das Sie sind (wie Fingerabdrücke oder andere biometrische Daten)
      4. ol>

      Wenn Passwörter in Verbindung mit 2 und 3 verwendet werden, ist die Komplexität des Passcodes nicht gegeben. ' Dies ist nicht so wichtig und wird häufig auf eine PIN-Nummer reduziert.

      Leider besteht die einzige Möglichkeit für das System, wirklich zufällige Kennwörter zu erzwingen, darin, dass das System sie für einen Benutzer generiert… aber dann können Sie fast garantieren dass sie aufgeschrieben werden.

Nicht kritisch gegenüber Ihrer These zu sein, sondern die Aussage, dass Menschen das schwächste Glied sind oder dass Benutzer Verlierer sind usw. - das kitzelt mich immer.Menschen sind der Grund, warum wir überhaupt Sicherheit tun.Sie sind das, was wir letztendlich schützen.** unter Berücksichtigung ihrer menschlichen Natur und ihrer Grenzen ** zu entwerfen, ist unsere Herausforderung, genauso wie es Ingenieure so viel einfacher hätten, ein sicheres Auto, Flugzeug, Aufzug zu bauen, was auch immer, wenn nur Menschen nicht so matschig wären.
@ Tom .... Sie haben erraten, worauf die These tatsächlich hinarbeitet - eine Möglichkeit, menschliche Wünsche nach einem einfach zu bedienenden System zu berücksichtigen und gleichzeitig die Sicherheit in dasselbe System zu zwingen.Aus diesem Grund sind andere Systeme als Kennwörter viel benutzerfreundlicher, als Personen, die es häufig aufschreiben, wenn es zu komplex ist, ein komplexes Kennwort aufzuzwingen.Aus diesem Grund sind Systeme wie Token viel besser, da das Token alle komplexen Passwörter für Sie speichert.
Ich frage mich, was mit HAISA (Human Aspects in Information Security etwas) passiert ist.Ich habe eine ihrer Konferenzen besucht und sie schienen in vielen Dingen auf dem richtigen Weg zu sein.
Battle
2018-07-03 20:08:44 UTC
view on stackexchange narkive permalink

Philosophisch gesehen gibt es zwei Hauptkräfte, an die sich die Menschen unterschiedlich halten. Die erste Kategorie ist Freiheit: Überzeugung über Zwang, Wahl über Verpflichtung, Moral über Durchsetzung. Die zweite Kategorie ist Macht, die das Gegenteil von Freiheit ist. Diese grundlegenden Unterschiede lassen sich in der Politik am besten in Bezug auf Fragen der pro-staatlichen Bewegungen (Sozialismus, Nationalismus) und der pro-Freiheitsbewegungen (Libertarismus) erkennen.

Nun hat die Geschichte deutlich gezeigt, dass Gewalt, Zwang und Gewalt angewendet werden Kontrolle führte in jeder Hinsicht zu schlechteren Ergebnissen, wobei Kommunismus und Faschismus an ihrem Höhepunkt der Manifestation standen. Auf der anderen Seite hat der Kapitalismus (von dem wir derzeit ~ 50% haben) möglicherweise eine Ungleichheit des Wohlstands verursacht, aber auf positive Weise, was dazu führte, dass jeder reicher wurde (indem er den Lebensstandard erhöhte), und diejenigen, die den größten Wert bieten, um unglaublich reich zu werden. Das heißt: Auch die Armen (est) profitieren davon. Wenn Sie dagegen die Gleichstellung des gesamten Wohlstands erzwingen, werden alle arm und viele Menschen können verhungern (aber natürlich nicht diejenigen, die das verursacht haben).

Um auf dieses Thema zurückzukommen: Wann immer Sie ein positives Ziel haben ( Besserer Passwortschutz) Wenn Sie versuchen, sich gewaltsam mit der Freiheit der Menschen herumzuschlagen (indem Sie bestimmte Passwortregeln erzwingen), können Sie einen Rückgang Ihrer Ziele beobachten - bis zum Erreichen des Gegenteils.

Ich denke, eines ist machbar Ein Weg wäre, einen besseren Passwortschutz zu befürworten und sie vor der Fragilität ihrer Passwörter zu warnen. Zeigen Sie ihnen vielleicht eine geschätzte Dauer, um sie zu knacken. Sagen Sie ihnen, sie sollen mehrere Wörter verwenden (was die beste Methode zu sein scheint). Wenn sie jedoch ein Passwort wünschen, das in 2 Sekunden geknackt werden kann, haben sie die Wahl.

Das Bereitstellen von Informationen (und Warnungen) ist meiner Meinung nach besser als das einfache Erzwingen von Kennwortregeln. Denn genau das wird passieren, wie Sie beschrieben haben. Die Leute werden sich ärgern und versuchen, den einfachsten Weg zu finden, um das Problem zu lösen. Das Erzwingen von 9 Buchstaben führt zu vielen 9-Buchstaben-Passwörtern. Wenn Sie ihnen jedoch mitteilen, dass ein bestimmtes Passwort in 2 Sekunden geknackt werden kann, werden sie möglicherweise dazu motiviert, etwas Besseres als das Minimum zu verwenden, zu dem Sie sie sonst zwingen würden, insbesondere wenn es sich um etwas von hoher Bedeutung handelt

Außerdem erschweren viele Sonderregeln (die oft nicht einmal viel Sinn machen, wie 1+ Großbuchstaben und 1+ Sonderzeichen) das Speichern von Passwörtern erheblich, wenn sie diese noch nicht hatten . Es geht also nicht nur um die "Dummheit" der Benutzer, sondern auch um den Versuch der Kontrolle durch "Gewalt".



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...