Welche Methoden können verwendet werden, um ein "menschliches" Passwort von guter Qualität zu generieren?

Sie müssen eine gute Stärke gewährleisten und auch für einen Menschen leicht zu merken sein.

Dieser XKCD-Comic beschreibt eine Möglichkeit, ein gutes Passwort zu generieren. Die Qualität solcher Passphrasen wurde diskutiert in: XKCD # 936: Kurzes komplexes Passwort oder lange Wörterbuch-Passphrase?

Ähm.
Je nachdem, wofür dieses Passwort verwendet werden soll, würde ich eine Technik empfehlen, die auch von Bruce Schneier empfohlen wird:

Schreiben Sie sie auf.

Richtig - besorgen Sie sich ein REEAAAHEEELLYYY-komplexes Zufallspasswort, an das Sie sich nicht erinnern können, und schreiben Sie es auf.
Schreiben Sie es natürlich an einen sicheren Ort, nicht an die Außenseite Ihres Laptops angeschlossen, für die das Passwort verwendet wird.

Ich benutze eine Phrase. Eine richtige Phrase mit mehreren Wörtern und Leerzeichen, aber eine, an die ich mich leicht erinnern kann.

"Mein Lieblingsmonat des Jahres ist der 3.!"

Ich verwende gerne die Methode Shift your Fingers. Nehmen Sie eine einfache Passphrase wie 'stackoverflow', bewegen Sie Ihre Finger während der Eingabe um 1 Zeichen nach rechts und Sie erhalten 'dysvlpbtg; pe', was viel schwieriger zu erraten oder zu knacken ist.

Obwohl dies ziemlich gut funktioniert, ist es am besten, ein paar andere Wendungen hinzuzufügen, wie eine einprägsame Zahl und einige Sonderzeichen, um es zu einem wirklich starken Passwort zu machen.

'dysvlpbtg;pe!1234$'

Mit dieser Methode ist es einfach, für jede von Ihnen verwendete Site ein anderes und sehr gutes Passwort zu haben, aber es ist immer noch einprägsam.

UPDATE:

@Larry & @AviD weist darauf hin, dass diese Methode, wenn sie häufiger wird, eher durch das Knacken von Wörterbüchern und anderen Angriffsmethoden berücksichtigt wird.

Offensichtlich gibt es ein Gleichgewicht zwischen dem Wiedererinnerlichen und dem Supersicheren. Abhängig von der Verwendung würden einige dieser Techniken dazu beitragen, diese Methode zu stärken.

Ich verwende Diceware. Sie benötigen einen sechsseitigen Würfel (oder einen guten Zufallszahlengenerator) und eine Diceware-Wortliste.

Wirf Würfel, um eine Fünf zu erhalten Ziffernnummer; Beispiel: 34512.

Suchen Sie das Wort in der Liste. Beispiel: jinx.

Wiederholen Sie diesen Vorgang fünfmal.

Länge ist das wichtigste Attribut eines Kennworts. Dadurch wird ein ziemlich langes Passwort generiert.

/ Roger

Ich nehme eine Zeile aus einem Lied, das ich mag, und dann den ersten Buchstaben aus jedem Wort. Dies wird höchstwahrscheinlich in keinem Passwortwörterbuch vorhanden sein. Dann können Sie Sonderzeichen ersetzen.

Nehmen Sie beispielsweise Elvis Presleys Hound Dog :

Sie sind nichts anderes als ein Hound Dog , die ganze Zeit weinen

Dies würde werden:

  yanbahd, catt  

Dann streuen Sie etwas Besonderes ein Zeichen, spielen Sie mit dem Fall usw .:

  Y @ nBa! ^ d, c @ Tt  

Wenn Sie sich dann an den Liedtext erinnern können, Hoffentlich können Sie sich das Passwort merken.

Es gibt gute Ratschläge unter http://www.schneier.com/blog/archives/2007/01/choosing_secure.html und http://en.wikipedia.org/ wiki / Password_strength

Ich denke, der Schlüssel besteht darin, mindestens zwei scheinbar nicht verwandte, ziemlich große Entropiequellen zu kombinieren. Z.B. Teil eines mittelgroßen Wortes, kombiniert mit Buchstaben vom Anfang einer eigenwilligen Phrase, mit einigen gemischten Groß- und Kleinschreibung und Zahlen / Symbolen in der Mitte. Tun Sie es so, dass Sie eine seltsame und unvergessliche Geschichte darüber schreiben können, und stellen Sie sicher, dass sie lang genug ist, je nachdem, wie wichtig Ihnen alles ist. Üben Sie es eine Weile und fügen Sie einige subtile Hinweise zur Geschichte in eine relativ private Datei ein.

Sie können auch über Bord gehen, wenn Sie ein langes oder schwer zu merkendes Passwort auswählen: http: / /www.schneier.com/blog/archives/2009/07/strong_web_pass.html

Ich denke an eine Lüge - etwas, das nicht wahr ist, und mache daraus einen richtigen Satz wie "Der Himmel ist wirklich grün!". (Dies ist keine, die ich zuvor verwendet habe)

Sie sind leicht zu merken, weil sie einfach so seltsam sind.

Ich beginne mit einer Passphrase wie Pfannkuchen .

1. Als nächstes mache ich einige Ersetzungen - füge Zahlen, Symbole und Großbuchstaben hinzu. pAzc@Kez .

2. Schließlich füge ich für jede Site, auf der ich es verwende, ein Präfix oder Suffix hinzu, z. B. pAzc @ KezStack .

   PS: Es ist eine gute Idee, ein paar Basen zu haben und diese auch zu wechseln.

ol>

Haftungsausschluss: Dies ist keines meiner Passwörter. (Ja, ich esse einen Pfannkuchen, während ich das schreibe.)

Ich verwende den Passwortgenerator unter Mac OS X und bin auf den Modus "Einprägsames Passwort" eingestellt.

Ich verwende eine Passphrase und einen Zufallsgenerator für diese Phrase (Substitutions-Chiffre). Ich regeneriere meine Schlüsselkarte monatlich und behalte eine Kopie bei mir. Ich finde die pseudozufällige Natur, die es für starke Passwörter in einer Quasi-2-Faktor-Authentifizierung schafft. Etwas, das ich habe, ist meine Schlüsselkarte, etwas, das ich weiß, ist meine Schlüsselphrase. Als Beispiel habe ich eine kurze App geschrieben, um sie hier zu erstellen:

Zum Beispiel: Mein Bankpasswort könnte "Banking" sein und es würde ein sehr starkes Passwort für mich generieren, es wäre leicht zu ändern und Mein Passwort wäre immer Banking.

http://levii.com/cipher.php

* Bearbeiten: Nur als Hinweis habe ich dies vorgeschlagen Methode zum /. Community im Jahr 2005ish und habe es seitdem nicht mehr aktualisiert. Ich wollte im Rahmen meines MS-ISA-Programms echte Nachforschungen anstellen.

Für Passwörter verwende ich Folgendes: zwei Buchstaben, dann zwei Ziffern, dann zwei Buchstaben, dann zwei Ziffern. Buchstaben sind Kleinbuchstaben. Buchstaben und Ziffern werden zufällig generiert.

Es stellt sich heraus, dass die resultierenden Passwörter leicht zu merken sind (zumindest leicht für mich; Ihr Gehirn ist möglicherweise nicht auf die gleiche Weise verdrahtet wie meins).

Ein guter Punkt bei solchen Passwörtern ist, dass es einfach ist, ihre Entropie zu berechnen: Es gibt 26 ^{4 sup> x10 4 sup> mögliche Passwörter mit diesem Format, alle mit der gleichen Wahrscheinlichkeit , also eine Entropie von ungefähr 32,09 Bits (ein gegebenes Passwort hat die Wahrscheinlichkeit 1/2 32,09, ausgewählt zu werden). 32 Bit Entropie sind nicht gut für alle Verwendungen, aber für die meisten gut genug, einschließlich jeder Verwendung, bei der Angriffe online sind. Bei einem Online -Angriff muss der Angreifer für jede Vermutung eine Anfrage an ein "ehrliches" System richten. z.B. ein SSH-Server. Offline-Angriffe (bei denen der Angreifer eine Vermutung "allein" überprüfen kann, die nur durch seine Rechenleistung begrenzt ist) sind beängstigender und erfordern ein stärkeres Kennwort.}

Denken Sie daran, dass das Wissen, wie viel Sicherheit Sie haben, mindestens genauso hoch ist wichtig für eine solche Sicherheit.

Bonus: Hier ist das C-Programm, mit dem ich diese Passwörter generiere (kompiliert unter Linux und FreeBSD, sollte auf anderen Unix-ähnlichen Systemen funktionieren):

  / * * Kleines Dienstprogramm zur Passwortgenerierung. * / #Include <stdio.h> # include <stdlib.h> <string.h> # # # <errno.h> umfassen <sys / types.h> #include <unistd.h> #include <fcntl.h>static unsignedrandval (unsigned max) {static int fd = schließen - 1; vorzeichenloses Zeichen x; if (fd < 0) {fd = open ("/ dev / urandom", O_RDONLY); if (fd < 0) {perror ("open"); exit (EXIT_FAILURE); }        }        zum (;;) {
vorzeichenloser Wert; für (;;) {if (read (fd, &x, 1) < = 0) {if (errno == EINTR) continue; perror ("read"); exit (EXIT_FAILURE); }                        brechen; } val = (ohne Vorzeichen) x; if (val > = max * (256 / max)) weiter; Rückgabewert% max; }} statischer intrandletter (void) {return "abcdefghijklmnopqrstuvwxyz" [randval (26)];} statischer intranddigit (void) {return "0123456789" [randval (10)];} intmain (void) {printf ("% c% c % c% c% c% c% c% c \ n ", Randletter (), Randletter (), Randdigit (), Randdigit (), Randletter (), Randletter (), Randdigit (), Randdigit ()); return EXIT_SUCCESS;}  

Für Websites mit mittlerer Sicherheit:

1. Wählen Sie ein Wort, an das Sie sich erinnern würden, und es ist lang genug - sagen wir, es ist porcupine .
2. Wählen Sie Eine Zahl, an die Sie sich erinnern würden - verwenden Sie Geburtsjahr, -monat und -tag nicht, auch nicht für Ihre Verwandten usw.! - Nehmen wir an, es ist 28 .
3. Wenn Sie ein Passwort für die Site security.stackexchange.com benötigen, machen Sie es 28-porcupine+SSC
ol>

Dieses Passwort ist einprägsam. da Sie sich nur 1 Wort und 1 Nummer für alle von Ihnen besuchten Websites merken müssen und das Kennwort für jede Website ohne Aufwand wiederherstellen können. Natürlich können Sie den Algorithmus ändern, aber die Idee ist, die Kombination f (n, w, s) zu verwenden, wobei n und w festgelegt sind und s wird aus dem Site-Namen generiert.

Für Hochsicherheits-Websites (auch bekannt als "Wenn jemand Zugriff darauf erhält, ist mein Leben ruiniert") - generieren Sie ein langes zufälliges Passwort, schreiben Sie es auf, legen Sie dieses Papier an einen sicheren Ort - wie mit Ihrem Reisepass, Titeln usw. Dokumente.

Leider legen viele Systeme dumme Einschränkungen für Kennwörter fest, sodass die gleiche Methode zum Generieren von "einprägsamen" Kennwörtern nicht immer für mich funktioniert.

Meistens muss ich mir nicht so viele Kennwörter merken. Ich schreibe die wichtigen in keepass oder eine PGP-verschlüsselte Textdatei oder beides.

Die meisten, die ich für meine Unix-Systeme ausgewählt habe, basieren jedoch auf Zeilen aus Songs oder einfach nur alberne Phrasen oder Ausdrücke, bei denen ich jedes Wort zu einem Zeichen werden lasse, wobei die Groß- und Kleinschreibung je nach Betonung oder Intonation des Wortes variiert oder welche Wörter mehr "Bedeutung" in der Phrase haben. Es empfiehlt sich, auch eine Darstellung des System- / Site-Namens mit einem Suffix oder Präfix zu versehen.

Informationen zur Kennwortlänge: Auf Websites habe ich immer Kennwörter mit mehr als 8 Zeichen ausgewählt. Meine Argumentation ist, dass viele "ahnungslose" Systemdesigner nur einen MD5-Hash des Benutzerkennworts ohne Salz speichern. Websites werden gehackt, und selbst wenn ich überall andere Passwörter verwende, möchte ich nicht, dass ein Skript-Kiddie in einer vorgenerierten Hash-to-Klartext-Tabelle nachschlägt und meine "zufällige" findet. Passwort dort.

1. Mische ein Kartenspiel.
2. Die Reihenfolge der Karten ist Ihr Passwort.
3. Kaufen Sie für jedes Passwort ein neues Deck. Lass das Deck nicht fallen.
ol>

Wenn Sie dazu gezwungen werden, können Sie das Deck fallen lassen, oder im Falle Großbritanniens, wenn sie Ihr Haus durchsuchen, werden sie Ihr Deck zerstreuen und Ihr Passwort / Ihren Verschlüsselungsschlüssel löschen .

;)

Ein Kennworthinweis sollte nur daran erinnern, wie Ihr Kennwort lautet, ohne das tatsächliche Kennwort preiszugeben. Das heißt, es sollte etwas sein, das Sie verstehen würden, aber das ein Fremder nicht herausfinden könnte.

Wenn Sie ein Basiskennwort verwenden, aber manchmal alle Kleinbuchstaben oder manchmal Sonderzeichen verwenden, können Sie a verwenden Hinweis, der dies nur erklärt (dh Hinweis ist "nur in Kleinbuchstaben").

Oder verwenden Sie LastPass, es ist mein bevorzugtes Tool zum Speichern von Passwörtern, das ich für fast alles verwende.

Um Rainbow Table -Angriffe zu vermeiden, ist die Länge der Schlüssel. Es ist nicht ungewöhnlich, wenn bei der Ausnutzung eine SAM-Datei oder / etc / passwd abgerufen und ein Riss in den Hashes ausgeführt wird. In der Vergangenheit habe ich oft John the Ripper für ein paar Tage benutzt, um zu sehen, welche Hashes brutal gezwungen werden könnten. Heutzutage würde ich die Hashes schnell gegen eine Regenbogentabelle werfen und 95% aller Passwörter mit weniger als 9 Zeichen haben (und wenn ich nach 10 Zeichen suchen wollte, könnte ich die Tabelle auch für diese Länge herunterladen - es fängt einfach an, sehr zu werden big ...)

Allerdings sind die 2 Techniken, die ich benutze:

1. wie pkaeding - Texte aus Liedern
2. der alte CVC CVC CVC CVC CVC-Methode (Konsonant, Vokal, Konsonant) für jeden erforderlichen Entropiegrad
ol>

Für meine Anmeldekennwörter verwende ich Software (pwsafe oder KeePass, unabhängig davon, wo ich mich befinde), um ein hässliches Kennwort mit der gewünschten Länge (9 Zeichen?) zu generieren. Dann schreibe ich es auf etwas, das in meiner Brieftasche ist. Nach ein paar Tagen erinnere ich mich gut genug daran und habe das Papier zerkleinert. Das Backup dort speichert es in einem der Programme, die sich auf einem anderen Computer befinden als das Passwort :)

Für alles andere erledigt die Software das für mich. Wenn sich ein Programm an Ihre Passwörter erinnert, ist das so viel besser als es selbst zu tun. Ich verstehe nicht ganz, warum sich die Leute dagegen wehren.

Eine Methode, von der ich gehört habe, besteht darin, eine Seite eines Buches auszuwählen und den ersten Buchstaben jedes Wortes in einer Zeile zu verwenden. Wenn Sie die Groß- und Kleinschreibung der Wörter und die ungerade Zahl kombinieren, erhalten Sie ein sicheres Passwort, das nicht leicht zu erraten ist. Sie müssen sich nur an das Buch und die Zeile erinnern!

Je nachdem, wofür ich es benötige, berechne ich einen MD5 oder SHA1 für eine zufällige Datei und führe diesen einige Male durch. Das ist allerdings ziemlich schwach, da es nur 16 Zeichen enthält.

Wenn ich etwas Stärkeres brauche, gebe ich drei oder vier Zeichen in einen Tripcode -Sucher ein und sehe, was es wirft zurück zu mir. Kleben Sie zwei davon zusammen und führen Sie sie einige Male durch, und Sie haben ein ziemlich sicheres Passwort, da es wirklich ziemlich zufällig ist.

Ich öffne ein großes Buch auf einer zufälligen Seite und verwende den ersten Buchstaben der ~ 8 ersten Wörter / Zeilen. Nicht gerade leicht zu merken, aber es macht es sehr schwierig, Ihr Passwort vollständig zu "vergessen".

Ähnlich wie bei einigen anderen Antworten basiert einige Passwörter auf einem Satz, den ich für unvergesslich halte, und übersetzt ihn dann in ein Passwort. Als Beispiel ist

i;) @ 0dd ^ 's

ein vernünftiges Passwort, an das ich mich als "Ich zwinkere ungeraden Hüten zu" erinnern würde. Im Allgemeinen das oder etwas, das auf Anfangsbuchstaben einer Phrase basiert (normalerweise sprechen einige Leet-Modifikationen und hinzugefügte Interpunktion).

Ich verwende das Perl-Modul Crypt: RandPasswd, mit dem aussprechbare Phrasen erstellt werden können, die von Verschiedenem umgeben sind. Specials und Zahlen. Ich finde, dass die Ausspracheregeln den Schlüsselraum einschränken, aber sie erleichtern den mentalen Teil viel. Selbst wenn ich ein Passwort nachschlagen muss, kann ich mich lange genug daran erinnern, um es beim ersten Mal richtig einzugeben.

Ein Passwort könnte folgendermaßen aussehen: Vorda # Capis% 99 ^

Hier ist noch ein weiteres Schema für Musiker:

Ich habe mir kürzlich Off The Grid von Steve Gibson angesehen. Es handelt sich um eine papierbasierte Verschlüsselung, mit der ein Domainname (oder wirklich jeder Text) verschlüsselt und ein Kennwort zur Verwendung bereitgestellt werden kann. Auf der Website gibt es viele Informationen dazu.

Die Grundlagen dafür sind, dass Sie eine 26x26-Zeichentabelle erstellen. Diese Tabelle folgt Regeln, die Sudoku ähnlich sind (nur eines von jedem Zeichen in jeder Zeile und Spalte). Dies beginnt mit viel Entropie (mindestens 1400 Bit). Die Grundlagen der Verwendung sind ziemlich einfach (ich werde nicht die Mühe machen, alles noch einmal neu zu tippen). Das größte Risiko besteht darin, dass jemand Ihr Netz physisch stiehlt. Selbst dann gibt es nur wenige Schritte, die Sie langsam ausführen können (sollte leicht lang genug sein, um festzustellen, dass jemand sie gestohlen hat). Zu diesen Methoden gehören:

1. Auswählen eines anderen Startorts
2. Salting (Sie können dies tun, indem Sie beim Ausführen der Verschlüsselung etwas vorab anhängen / anhängen)
3. Wenn Sie die Verschlüsselung durchführen (lesen Sie die entsprechende Seite), anstatt die nächsten beiden Zeichen auszuwählen. Wählen Sie stattdessen vielleicht die nächsten drei Zeichen, eines über eins nach oben, zwei nach unten, eines nach links usw.
ol>

Ich benutze es nicht selbst, aber ich habe keine großen Schwierigkeiten, mich an 20 zufällige Zeichen zu erinnern Zeichen, die ich in Kombination mit Passpack (Online-Passwort-Manager)

verwende

Ändere dein Leben :) Lass alle Passwörter extrem kompliziert sein, ohne dass du dich an eines erinnern kannst. Holen Sie sich einen Passwort-Manager, ich fand KeePass ziemlich nützlich.

Sie können DB-Dateien in der Dropbox behalten und Passwort + Bild (Binärdatei) verwenden, um auf Passwörter zuzugreifen. Das Bild (Datei) nur auf Geräten aufbewahren, die Sie wahrscheinlich verwenden um von (nicht auf Dropbox!) auf das Passwort zuzugreifen.

Halten Sie das Bild zugänglich, aber nicht offensichtlich. Das System ist also weiterhin verwendbar, aber wenn Hacker Ihre Kennwort-DB-Dateien erhalten, können sie nicht mit brutaler Gewalt darauf zugreifen.

Auf diese Weise müssen Sie sich nur ein Kennwort merken, was viel einfacher ist.

Ändern Sie es und die Datei regelmäßig und Sie sind in Sicherheit.

DropBox speichert einen Verlauf Ihrer Daten für einen Monat (?). Denken Sie also daran, wenn Sie das DB-Kennwort ändern.

Was ist mit einem Passwort mit einem rotierenden Schlüssel, je nachdem, was Sie tun? Beispiel: Mein Kernkennwort lautet P4 $$ w3rdthati $ h4rd (ja, das verwende ich wirklich)

Ich möchte es für GMail verwenden. Ich beginne mit P4 $$ w3rdthati $ h4rd und füge gm am Ende hinzu (P4 $$ w3rdthati $ h4rdgm). Auf diese Weise muss ich mir nur zwei oder drei Buchstaben merken, je nachdem, was ich tue, da mein Passwort für alle Dienste (öffentlich und privat) relativ konsistent ist. Ich kann einen Tail-Ending-Modifikator (Suffix) für Internet-Inhalte und einen Anfangs-Modifikator (Präfix) für private Inhalte verwenden. Oder fügen Sie es in die Mitte ein.

Ich bin offen für Flammen, wenn Sie der Meinung sind, dass dies eine schlechte Praxis ist, aber ich habe noch nie jemanden getroffen, der meine Passwörter erraten hat, und ich musste sie nie aufschreiben .

Ich finde eine völlig zufällige, komplexe Zeichenfolge, indem ich zufällig Tasten auf meiner Tastatur in einem Muster drücke, mit dem meine Finger vertraut sind und das ich sehr schnell tun kann. Dazu verwende ich folgende Techniken:

• Wechseln Sie aus Gründen der Geschwindigkeit aufeinanderfolgende Tasten zwischen den Händen oder verwenden Sie kleine Gruppen von Tasten (2 oder 3) nebeneinander auf der Tastatur, wobei Sie die Gruppen zwischen den einzelnen Händen abwechseln um das vollständige Passwort zu erstellen. Es ist schwierig, ein ganzes Passwort schnell mit nur einer Hand einzugeben.
• macht die Tasten buchstäblich zufällig und buchstabiert nichts oder sogar eine Variante von etwas
• , wenn Sie Passwörter ändern, ändern Sie Ihren Finger Muster signifikant genug, um völlig unterschiedliche Tasten und Tastenmuster zu treffen (und nicht dasselbe Muster hat 1 oder 2 Tasten in eine beliebige Richtung verschoben)

Nachdem ich mein zufälliges Passwort erhalten habe, übe ich das Eingeben des neuen Passworts ein paar Mal, damit mein Muskelgedächtnis das Schlüsselmuster beibehält. Nachdem mein Passwort festgelegt wurde, melde ich mich bei einigen Systemen hintereinander an, um das Schlüsselmuster weiter beizubehalten.

Am Ende haben Sie ein völlig zufälliges Passwort, das Sie nur schwer vergessen können, weil Sie es nicht sind Erinnern Sie sich nicht einmal an eine Zeichenfolge, sondern nur an ein Muster, das Ihre Finger auf der Tastatur annehmen und das für niemanden, auch für Sie, etwas bedeutet. Manchmal, wenn ich versehentlich mein Passwort in ein Klartextfeld eingebe (jeder hat dies irgendwann getan ...), sieht es für mich völlig fremd aus, weil ich nicht an die Zeichenfolge denke, sondern nur an das Muster, das ich auf der Tastatur treffe.

Diese Methode führt auch nicht zu ähnlichen Passwörtern und Mustern zwischen verschiedenen Benutzern, da jeder anders tippt. Was für eine Person einfach und schnell zu tippen ist, kann für eine andere Person schwieriger sein.

Erstellen Sie einige neue Wörter: splur, bambile, egilomanifastic, spilomasilomagnitolistable. Kombinieren Sie für ein bisschen Spaß Reim und eine einfache Mnemonik.

Früher habe ich vier zufällige Wörter genommen, einige Buchstaben durch Zahlen ersetzt und vier Zahlen plus ein Sonderzeichen angehängt. Das Problem war, dass es etwas schwierig war, sich daran zu erinnern - jetzt habe ich meine Lieblingszeile aus dem Buch genommen, das ich im Vormonat gelesen habe, und eine ähnliche Ersetzung sowie einige Änderungen an der Großschreibung vorgenommen, z. B.:

"A. Der menschliche Kopf erhebt sich aus einem Sumpf des Schlafes "(number9dream, David Mitchell) wird zu" Ahum4nH34dR1s3sUpfR0mASw4mpOfSl33p! "

Zwei weitere Punkte:

a. Zusammen mit allen anderen Methoden gibt es noch eine Möglichkeit, die Entropie zu erhöhen:

Gehen Sie über das reine Englisch hinaus .

Wenn wir (Start-) Wörter aus kombinieren Bei mehr als einer Sprache wird der Bereich zum Erraten / Suchen von Passwörtern sofort RIESIG. Und das würde die Leute sicherlich verwirren, die Regeln für das Erraten von Passwörtern schreiben.

Andererseits würde dies ein breiteres Denkfeld erfordern als die "Bösen". Vielleicht kommt es auf "unseren" Intellekt gegen "ihren" an. Vielleicht sollte das umfassendere Denken lauten:

Gehen Sie über CS-Methoden hinaus .

Welche anderen Möglichkeiten können wir uns vorstellen, um das Erraten von Passwörtern zu überlisten?

b. Ein Punkt, der bisher noch nicht erwähnt wurde: Wenn wir von Seiten des Administrators denken, dürfen wir nicht vergessen, dass Regeln zur Kennwortgenerierung möglicherweise auch den Kennwortrichtlinien Ihrer Organisation entsprechen müssen. Z.B. Ich habe Schwierigkeiten zu überlegen, wie die Methode durch Leerzeichen getrennte Wörter (mit ungewöhnlichen Wörtern!) In einer Unternehmensumgebung (OK, Parser, Wörterbücher usw.) einfach implementiert und durchgesetzt werden kann, aber Sie haben die Idee ...)

Und wie wäre es, Benutzer zu schulen und zu überzeugen, diese oder eine andere Methode anzuwenden ...?

Die erste Empfehlung ist so etwas wie Lastpass oder Keepass, aber ich weiß, dass diese nicht immer praktisch sind, und meine weniger technisch versierten Freunde möchten die Dinge sicherlich nicht mehr "komplizieren", sodass ich festgestellt habe, dass eine Substitutions-Chiffre ziemlich effizient funktioniert und ermöglicht eine einfache Erinnerung an Ihr Passwort, während es sehr unwahrscheinlich ist, dass es erraten oder leicht gehackt wird.

Ich habe da draußen ein Beispiel veröffentlicht http://levii.com/cipher.php... Ich verwende mindestens ein 4-Buchstaben-Schlüsselwort (also "BANK" für meine Bank "WORK" für meine Arbeit), die ich nicht ändern muss - ich behalte die Karte in meiner Brieftasche und drucke alle paar Monate eine neue aus, wenn es Zeit ist, das Passwort zu ändern. (Hinweis: Dies ist nicht die eigentliche App, mit der ich meine Karten generiere, sondern konzeptionell dieselbe.)

Wenn Englisch nicht Ihre Muttersprache ist, haben Sie Glück. Ich würde vorschlagen, eine Passphrase zu verwenden, die eine Kombination aus englischen Wörtern mit Wörtern aus Ihrer Muttersprache oder Ihren Muttersprachen verwendet. Ein solches Passwort ist schwer zu erraten.

Natürlich sollten Sie eine Passphrase wählen, an die Sie sich leicht erinnern können. Ich bin kein großer Fan von zu komplexen Passwörtern. Denken Sie jedoch daran, dass das Passwort nicht leicht zu erraten und nicht in einem Wörterbuch aufgeführt sein sollte.

Ich empfehle außerdem, kein einziges Passwort für alle Ihre Passwörter zu haben Konten. Ich pflege einen kleinen Pool von Passwörtern (dies wird mit der Übung einhergehen). Ihr Net Banking-Passwort sollte nicht für Ihr eBay- oder monster.com-Konto wiederverwendet werden. Einmal klickte ich auf den Link "Passwort vergessen" einer Baustelle und sie schickten mir mein Passwort im Klartext. Grundsätzlich können Sie nicht jeder zufälligen Website da draußen vertrauen!

Sie können einen Vers aus Ihrem Lieblingssong in der Geschichte oder nur in dieser Zeit auswählen.

Nehmen Sie einen zufälligen Satz, machen Sie eine CamEl cAse-Permutation, Sie können sogar eine Skript-Kiddie-Zeichensatz-Ersetzung verwenden bis m4k3 1t l00k1ng so CoMpl3X und schwer zu erraten.

Idealerweise schreiben Sie einen englischen Satz wie: Heute morgen bin ich so blau. Eigentlich kann Ihr Passwort lauten: Th1S M0rn1Ng I 4M s0 Blu3.

Leicht zu merken und nach einigen Eingaben auch leicht zu tippen.

Mein Weg ist keineswegs unzerbrechlich, vor allem, weil er auf Sicherheit durch Dunkelheit beruht, aber besser als die Wiederverwendung von Passwörtern und nicht darauf, dass man sich an viel erinnert. Ich xor eine Wiederholung der URL der betreffenden Website mit einem langen Passwort meiner Wahl. Auf diese Weise merken Sie sich nur ein Kennwort, aber eine Beeinträchtigung des Kennwortspeichers einer Site beeinträchtigt Ihre anderen Anmeldungen nicht. Dies hat das Potenzial für unendliche Variationen. Sie können die URL gefolgt von der IP-Adresse, die umgekehrte URL, die ins Spanische übersetzte URL usw. usw. verwenden.

Ich habe ein langes Passwort, das ich jedes Mal aus dem Speicher eingeben kann, wenn ich mich an einen bestimmten Zick-Zack-Pfad über die Tastatur erinnere, der durch Buchstaben, Zahlen und Symbole verläuft, und dann auf das tippe Tasten, die diesen Pfad im Rhythmus eines Drum-Patterns von einem meiner bevorzugten Post-Dubstep-Tracks bilden und einige der Charaktere entsprechend der Position der Snares in diesem Drum-Pattern verschieben.

Dies ist ein anderer 'Pfad' zu dem, was ich verwende, aber Sie können sehen, wie komplex ein Passwort mit dieser Technik wird, und mit ein wenig Übung ist es ziemlich einprägsam:

  \] = {- p) o9I8u&y6T5r $ e3W2q  

Dann füge ich für verschiedene Anwendungen normalerweise am Ende mein altes Hotmail-Passwort hinzu, das ich mir mit 11 ausgedacht habe, oder mein Geburtsdatum rückwärts oder so ähnlich das, an das ich mich leicht erinnern kann.

Ich ändere einige Buchstaben mit ähnlichen Zahlen und jedes neue Wort beginnt mit Großbuchstaben.

zum Beispiel: Th1sIsGreatPassw0rd!

i = 1,

0 = o

und am und '!' oder etwas anderes.