Frage:
Wie erstellen Sie gute Passwörter, an die Sie sich tatsächlich erinnern können?
rsuarez
2010-11-19 22:29:15 UTC
view on stackexchange narkive permalink

Verwenden Sie einen langen Satz in Ihrer Sprache. Es ist einfacher, ein kurzes, unleserliches Passwort zu knacken als einen langen "einfachen" Satz. Wählen Sie Texte aus Ihren Lieblingsliedern, Zitaten usw. aus.

Auf diese Weise können Sie lange Passwörter (d. H. 40 Zeichen oder mehr) erstellen, ohne zu viel darüber nachdenken zu müssen.

Das einzige Problem bei dieser Methode besteht darin, dass Sie, wenn Sie sie auf mehrere Websites anwenden, möglicherweise auf Websites stoßen, die Ihr Kennwort auf weniger Zeichen als Ihren Satz beschränken, und sich dann mehrere Sätze merken müssen.
@joshuahedlund: Als Beispiel lässt Skype nicht zu, dass Sie mehr als 20 Zeichen verwenden - nur * wie * sie die Authentifizierungsdaten speichern, darf ich nicht fragen (ich hoffe nur, dass es nicht in `user_password VARCHAR (20)` ist.
@joshuahedlund Dies ist nicht wirklich das Problem, da das Passwort pro Site eindeutig sein sollte. Ich meine, benutze nicht zweimal dasselbe Passwort. Ich verwende 1Password, um Passwörter zu speichern, normalerweise 30 Zeichen zufällig, wenn die Site es auf 20 begrenzt. Ich generiere ein kürzeres.
38 antworten:
#1
+55
gbr
2010-11-21 23:57:59 UTC
view on stackexchange narkive permalink

Welche Methoden können verwendet werden, um ein "menschliches" Passwort von guter Qualität zu generieren?

Sie müssen eine gute Stärke gewährleisten und auch für einen Menschen leicht zu merken sein.

Erstellen Sie eine wirklich gute und lassen Sie http://agilewebsolutions.com/onepassword den Rest erledigen.
Sollte dies nicht ein Community-Wiki sein, da es keine Antwort gibt?
Für jede IT-Frage gibt es einen relevanten [xkcd-Comic] (http://xkcd.com/936/).
Warum die Anforderung leicht zu merken? Wenn es leicht zu merken ist, ist es wahrscheinlich nicht stark genug.
Lastpass Passwort Generator, dann müssen Sie nur ein sicheres Passwort erstellen und können so viele Passwörter generieren, wie Sie möchten, ohne sich Tonnen von verschiedenen Passwörtern merken zu müssen.
Bester Rat, den ich auf passwordshttp gesehen habe: //xkcd.com/936/
Ich verwende gerne den Zufallspassasengenerator eines [1Password] (http://agilebits.com/onepassword), mit dem nur aussprechbare Phrasen wie "wha-no-pirt-biqu-wu" verwendet werden können. Ich denke, dies ist eine gute Mischung zwischen zufälligen Zeichen und der Möglichkeit, sich das Passwort leicht zu merken.
#2
+39
paulmorriss
2011-08-11 16:05:00 UTC
view on stackexchange narkive permalink

Dieser XKCD-Comic beschreibt eine Möglichkeit, ein gutes Passwort zu generieren. Die Qualität solcher Passphrasen wurde diskutiert in: XKCD # 936: Kurzes komplexes Passwort oder lange Wörterbuch-Passphrase?

xkcd.com

Dies ist eine ziemlich anständige Methode, aber der Comic geht nicht wirklich auf _how_ ein, um ein Passwort zu generieren, das aus zufälligen Wörtern besteht.Insbesondere ist es wichtig zu beachten, dass die ausgewählten Wörter tatsächlich zufällig sein müssen."thisismypassword" ist ein Passwort, das aus vier Wörtern besteht, aber wahrscheinlich nicht sehr sicher ist, da die ausgewählten Wörter nicht zufällig sind.Um sicherzustellen, dass Sie Ihre Wörter zufällig auswählen, empfehle ich [Diceware] (http://world.std.com/~reinhold/diceware.html).
#3
+35
AviD
2010-12-06 03:33:19 UTC
view on stackexchange narkive permalink

Ähm.
Je nachdem, wofür dieses Passwort verwendet werden soll, würde ich eine Technik empfehlen, die auch von Bruce Schneier empfohlen wird:

Schreiben Sie sie auf.

Richtig - besorgen Sie sich ein REEAAAHEEELLYYY-komplexes Zufallspasswort, an das Sie sich nicht erinnern können, und schreiben Sie es auf.
Schreiben Sie es natürlich an einen sicheren Ort, nicht an die Außenseite Ihres Laptops angeschlossen, für die das Passwort verwendet wird.

+1 Einverstanden. Alles, was offline millionenfach angegriffen werden kann, benötigt ein lächerliches Passwort, aber Angriffe, die erkannt werden können, bevor Tausende von Versuchen ausgeführt werden, benötigen nicht so sichere Passwörter.
Und genau das wollen Software wie 1Password, KeePass und LastPass erreichen. Daumen hoch.
Wenn Sie es auf ein Stück Papier schreiben, stellen Sie außerdem sicher, dass es das einzige Stück Papier ist, das auf einer harten Oberfläche liegt. Oder verwenden Sie einen weichen Stift. Nur ein Gedanke ... Ich schwöre, ich bin es nicht in meiner Familie, der Murder She Wrote sieht! Ehrlich!! :) :)
Das Problem beim Aufschreiben von Passwörtern besteht darin, dass Sie dieses Papier immer bei sich haben müssen, wenn Sie diese Websites verwenden möchten. Wenn Sie auf Reisen sind, unterwegs arbeiten, bei jemandem zu Hause usw., tragen Sie das möglicherweise nicht immer bei sich. Die Verwendung einer Formel zum Bearbeiten eines einzelnen sicheren Kennworts für die von Ihnen verwendete Site ist möglich. Ansonsten ist LastPass wie oben erwähnt gut.
Mein "Cheat", um * scheinbar * komplexe Passwörter zu generieren, an die man sich leicht erinnert, besteht darin, bei einer Taste zu beginnen und sich diagonal zu bewegen. ZB 1qazSE $ rfv. Sie können ändern, wie Sie verschieben, Zick-Zack-Bewegungen ausführen usw. Vermeiden Sie einfach horizontale Läufe, da Algorithmen zur Bewertung der Tastaturkomplexität diese aufspüren und ablehnen.
@HotLicks, sehr schlechte Idee, jetzt weiß jeder, wie Sie Ihre Passwörter mit niedriger Entropie erstellen.
Der Grund, warum das Schreiben von Passwörtern auf Papier im Allgemeinen keine gute Idee ist, besteht darin, dass Sie jedes Mal, wenn Sie sie eingeben müssen, 1) das Blatt Papier herausnehmen, 2) es sorgfältig lesen und eingeben müssen.Oft müssen Passwörter eingegeben werden, wenn andere Personen in Ihrer Nähe sind (Freunde, Familie, Mitarbeiter), und diese Personen wissen am Ende, wo Sie das Blatt Papier aufbewahren, und können das Passwort möglicherweise auch lesen (oder sogar fotografieren), während Sie es sindbeschäftigt, es selbst zu lesen und zu tippen.
#4
+25
growse
2010-11-22 04:31:44 UTC
view on stackexchange narkive permalink

Ich benutze eine Phrase. Eine richtige Phrase mit mehreren Wörtern und Leerzeichen, aber eine, an die ich mich leicht erinnern kann.

"Mein Lieblingsmonat des Jahres ist der 3.!"

Wo benutzt du es? Ein System, in dem Sie sich häufig anmelden müssen? IMHO möchten die meisten Benutzer keine 42-stellige Phrase eingeben. ;-);
Wenn sie tippen können, ist es wirklich nicht so schwierig. Das größte Problem ist, dass die meisten Systeme absurde Längenbeschränkungen festlegen oder keine Leerzeichen akzeptieren.
Sie können dies tun und den ersten oder letzten Buchstaben jedes Wortes auswählen.
Ist das nicht weniger sicher als ein Passwort zu verwenden? Angenommen, Sie verwenden Klein- und Großbuchstaben und 8 Zeichen. Sie haben 52 ^ 8 Kombinationen im Vergleich zu den ~ 2000 Wörtern, die wir in der allgemeinen Sprache verwenden, die auf die Potenz 4/5 angehoben wird.
Ich habe noch nicht nachgerechnet, aber ich würde mir vorstellen, dass die Anzahl der Kombinationen ziemlich hoch ist, wenn Sie ein gutes Stück Satzzeichen, Zahlen und nicht reguläre Wörter hinzufügen. Es wäre interessant zu sehen, wie sich jemand hinsetzt und es richtig ausarbeitet (ich bin nicht mathematisch genug ...)
Tatsächlich ergibt 52 ^ 83.459.728.531.456, während 2000 ^ 5 32.000.000.000.000.000 ergibt. Das sind 3 Größenordnungen mehr für einen "Satz" von nur 5 Wörtern. Außerdem haben die meisten von uns, obwohl wir normalerweise nur 2000 Wörter verwenden, einen viel größeren Wortschatz. Außerdem verwendet der Satz im ursprünglichen Beitrag 9 Wörter, von denen eines nicht einmal ein Wort ist, das man im Wörterbuch sehen könnte.
Einige Kennwörter werden abgeschnitten: Unabhängig davon, wie lange Ihr Kennwort ist, wird das Kennwort abgeschnitten, bevor es zur Authentifizierung verwendet wird. Linux- und UNIX-Benutzerkennwörter haben sich daran schuldig gemacht. wahrscheinlich sind auch andere Passwörter daran schuld.
Wählen Sie eines der Wörter im Satz und schreiben Sie es absichtlich falsch - "Mein Lieblingsmonat des Jahres ist der 3.!". Immer noch leicht zu merken und erhöht die Sicherheit erheblich.
Das einzige Problem bei dieser Methode (neben den Einschränkungen bei der Größe des Kennworts) ist das Sicherheitsrisiko, dass jemand Sie beim Eingeben beobachtet - etwas, das für Sie von Bedeutung ist, und Unsinn für andere (wie das Aufnehmen des ersten Buchstabens jedes Wortes) ist der einzige Weg dieses besondere Risiko zu bekämpfen. Andererseits hilft auch der Kommentar über mir.
@qbi Wenn ein Benutzer nicht die Mühe hat, ein langes Passwort einzugeben, verdient dieser Benutzer keine Sicherheit.
"Aber ich kann mir nicht die Mühe machen, meine Tür zu verschließen!" ok, Einbrecher werden kommen, kein Problem für mich.
Dies ist eine ziemlich anständige Methode, aber ich ziehe es vor, sie zu vermeiden, da es schwierig ist, die Entropie von Passwörtern, die mit dieser Methode generiert wurden, genau abzuschätzen, und daher schwierig ist, sicher zu sein, wie sicher Ihr Passwort tatsächlich ist.Diceware-Passwörter sind viel einfacher zu erhalten, um eine genaue Entropieschätzung zu erhalten.
#5
+24
Mark Davidson
2010-11-22 02:21:41 UTC
view on stackexchange narkive permalink

Ich verwende gerne die Methode Shift your Fingers. Nehmen Sie eine einfache Passphrase wie 'stackoverflow', bewegen Sie Ihre Finger während der Eingabe um 1 Zeichen nach rechts und Sie erhalten 'dysvlpbtg; pe', was viel schwieriger zu erraten oder zu knacken ist.

Obwohl dies ziemlich gut funktioniert, ist es am besten, ein paar andere Wendungen hinzuzufügen, wie eine einprägsame Zahl und einige Sonderzeichen, um es zu einem wirklich starken Passwort zu machen.

'dysvlpbtg;pe!1234$'

Mit dieser Methode ist es einfach, für jede von Ihnen verwendete Site ein anderes und sehr gutes Passwort zu haben, aber es ist immer noch einprägsam.

UPDATE:

@Larry & @AviD weist darauf hin, dass diese Methode, wenn sie häufiger wird, eher durch das Knacken von Wörterbüchern und anderen Angriffsmethoden berücksichtigt wird.

Offensichtlich gibt es ein Gleichgewicht zwischen dem Wiedererinnerlichen und dem Supersicheren. Abhängig von der Verwendung würden einige dieser Techniken dazu beitragen, diese Methode zu stärken.

  • anders verschieben - verschieben Sie nicht nur 1 Zeichen nach rechts. Gehen Sie einen anderen Weg und / oder verschieben Sie sich um eine andere Anzahl von Zeichen. Wenn Sie "stackoverflow" erneut als Beispiel für eine Passphrase verwenden, verschieben Sie nach unten, um "xgz, l dfv.ls" zu erhalten, und verschieben Sie um 2 Zeichen nach rechts, um "fudb; [ntyh '[r" zu erhalten. Dies beginnt, die Technik zu verbessern, kann aber natürlich auch von Angreifern übernommen werden.
  • Suffix und Präfix - Fügen Sie der Mischung ein Suffix und ein Präfix hinzu: "@@ stackoverflow $$ "fügt dem Mix eine Menge anderer Möglichkeiten hinzu.
  • Anders sein - Als Antwort auf diese Frage werden viele verschiedene Methoden vorgeschlagen. Die wahrscheinlich beste Antwort auf die Frage ist, ein bisschen von jedem von ihnen zu verwenden und eine Methode zu Ihrer eigenen zu machen. Auf diese Weise werden Sie sich immer daran erinnern und wenn es für alle anderen einzigartig ist, bedeutet dies, dass es nicht schwach wird, da alle anderen nicht dasselbe tun.
    Beachten Sie, dass es in diesem Fall einfach ist, Wörterbuchangriffe auf diese Technik anzuwenden.
    Es gibt auch bereits einige Techniken, die die Platzierung der Tastatur berücksichtigen.
    Ich stimme euch zu, wie jede Technik, wenn sie üblich wird, wird sie weniger sicher. Einige Vorschläge zur Verbesserung dieser Methode sind das Hinzufügen eines Suffix und eines Präfixes. Verschieben Sie auch nicht nur 1 Zeichen nach rechts, sondern auch in eine andere Richtung und / oder um einen anderen Betrag.
    Sie sollten berücksichtigen, dass unterschiedliche Tastaturlayouts vorhanden sind.
    Das Problem bei dieser Methode war, wenn Sie einmal vergessen haben, "@@ vorne, $$ hinten hinzufügen, 1 nach links und 2 nach unten mit Wrap verschieben" oder "## hinten hinzufügen, 12 vorne, Verschieben Sie 2 nach rechts mit Wrap und 1 nach unten ohne Wrap "Sie haben ein Problem :) Und manchmal benötigen Sie Passwörter für Orte, die Sie zuletzt vor 4 Jahren besucht haben ...
    Sicher, dies könnte zu Problemen führen, wenn Sie zu einem anderen Tastaturlayout wechseln ... Aber die meisten von uns stoßen normalerweise nur auf Reisen auf unterschiedliche Layouts, und es ist keine gute Idee, Ihre Passwörter sowieso in Internetcafé-Computer einzugeben, also ich Vermutlich könnte dies als versehentliches Sicherheitsmerkmal angesehen werden. :) :)
    #6
    +17
    Roger C S Wernersson
    2010-11-22 12:00:45 UTC
    view on stackexchange narkive permalink

    Ich verwende Diceware. Sie benötigen einen sechsseitigen Würfel (oder einen guten Zufallszahlengenerator) und eine Diceware-Wortliste.

    Wirf Würfel, um eine Fünf zu erhalten Ziffernnummer; Beispiel: 34512.

    Suchen Sie das Wort in der Liste. Beispiel: jinx.

    Wiederholen Sie diesen Vorgang fünfmal.

    Länge ist das wichtigste Attribut eines Kennworts. Dadurch wird ein ziemlich langes Passwort generiert.

    / Roger

    Länge ist NICHT das wichtigste Attribut, z. "aaaaaaaaaaaaaaaaaaaaa" wird schneller als "@ # ^ (F3") gehackt und ist schwieriger richtig einzugeben, ohne die Länge zu verfälschen. Schnell, ohne zu schauen: Wie viele waren es?
    Ich stimme dir nicht zu. Wenn ich ein Programm schreiben würde, um das Passwort mit Brute Force zu finden, würde ich das kürzere Passwort viel früher als das längere Passwort überprüfen. Möglicherweise kann ich innerhalb eines Tages ein Passwort mit sechs Buchstaben knacken. Das 22-Buchstaben-A-Passwort würde mit Brute Force Jahre, wenn nicht Jahrzehnte dauern. Außerdem habe ich das Wichtigste gesagt, nicht das einzige Attribut. Entmutigen Sie die Verwendung von Diceware?
    Grundsätzlich hat Ihr aus sechs Buchstaben bestehendes Kennwort für alle ASCII-druckbaren Zeichen etwa 36 Entropiebits. Ihr 22-stelliges Passwort für das lateinische Alphabet ohne Berücksichtigung der Groß- und Kleinschreibung enthält mehr als 96 Entropiebits. Weitere Informationen finden Sie in Wikipedia (https://secure.wikimedia.org/wikipedia/en/wiki/Password_strength).
    Wenn es um Länge und Komplexität geht, ist einer nicht besser als der andere. Es gibt Kompromisse. Sie benötigen ein gewisses Maß an Komplexität mit einer angemessenen Länge.
    @Roger, gibt es einen Unterschied zwischen Brute-Force- und Wörterbuchangriffen. Natürlich ist das Bruteforcing des kürzeren schneller als das längere - aber ein Wörterbuchangriff würde länger funktionieren, während Sie gezwungen wären, den gesamten Passraum für das kürzere zu bruteforce. Wrt-Entropie, die nur gilt, wenn es sich um ein zufälliges Passwort handelt, das den gesamten Speicherplatz belegt - einfache Passwörter sind ohne Rücksicht auf Entropie oder Länge viel einfacher zu knacken.
    Diceware ist ein ausgezeichneter Ausgangspunkt, da es Ihnen eine zufällige Unsinnsphrase gibt, die Sie nach Belieben verstärken können (zufällige Zeichen, mehrere Wortlisten usw.).
    @Roger - Diceware wird zum Erstellen von Passphrasen und nicht von Passwörtern verwendet. Somit hätten Sie im obigen Beispiel 6 Wörter. Natürlich ist die gleiche Länge von zufälligen alphanumerischen Zeichen mit Sonderzeichen stärker, aber viel schwieriger zu merken und einzugeben.
    Ich empfehle auch Diceware.Nicht wegen der Länge, sondern wegen der Entropie.Diceware generiert Passwörter mit hoher Entropie, die relativ leicht zu merken sind.Die Länge an und für sich ist nur eine gültige Verteidigung gegen die einfachsten Brute-Force-Angriffe, wohingegen Passwörter mit hoher Entropie Brute-Force-Angriffen standhalten, unabhängig davon, welche Schätzstrategie der Angreifer verwendet.
    #7
    +14
    pkaeding
    2010-11-22 08:01:26 UTC
    view on stackexchange narkive permalink

    Ich nehme eine Zeile aus einem Lied, das ich mag, und dann den ersten Buchstaben aus jedem Wort. Dies wird höchstwahrscheinlich in keinem Passwortwörterbuch vorhanden sein. Dann können Sie Sonderzeichen ersetzen.

    Nehmen Sie beispielsweise Elvis Presleys Hound Dog :

    Sie sind nichts anderes als ein Hound Dog , die ganze Zeit weinen

    Dies würde werden:

      yanbahd, catt  

    Dann streuen Sie etwas Besonderes ein Zeichen, spielen Sie mit dem Fall usw .:

      Y @ nBa! ^ d, c @ Tt  

    Wenn Sie sich dann an den Liedtext erinnern können, Hoffentlich können Sie sich das Passwort merken.

    Es ist ziemlich einfach, viele der häufigsten hier zu einem Passwortwörterbuch hinzuzufügen: Die Anzahl der beliebtesten Songs ist ziemlich gering (im Vergleich zu der Anzahl der Wörter mit sogar 9 Buchstaben, z. B.). Außerdem haben Anfangsbuchstaben von Wörtern weniger Entropie als sogar Buchstaben im Allgemeinen. Es hilft, die Änderungen vorzunehmen, aber die Leute neigen dazu, die gleichen Änderungen vorzunehmen (a bis @, t bis T usw.), damit Sie nicht auf eine ganz neue Ebene gelangen. Ich bevorzuge die Methoden, die große Entropiequellen eher zufällig verbinden. Wenn Sie dies mit dem Ort kombinieren, an dem Sie das Lied zum ersten Mal gehört haben, ist dies möglicherweise besser.
    Ich denke, Sie haben das 'b' von 'aber' in Ihrem endgültigen Passwort verloren. Vielleicht vermeidest du so den Wörterbuchangriff ;-)
    @tttppp ahh, guter Fang!
    @nealmcb guter Punkt. Ich dachte, dies sei eine clevere Methode, um Passwörter zu finden. Ich bin mir nicht sicher, ob ich damit einverstanden bin, dass die Anzahl der "populären" Songs so gering ist. Was macht "beliebt" aus? Ich würde zustimmen, dass Songs Elvis 'Songs zu den beliebtesten gehören, aber Sie können einen Song auswählen, der weniger Mainstream-populär ist, aber für Sie eine besondere Bedeutung hat. Sie müssen auch keine Zeile aus dem Refrain auswählen. Sie können eine Zeile aus einem Vers auswählen.
    @pkaeding Obwohl ich für einen sehr gezielten Angriff denke, bei dem der Angreifer Ihre Musikinteressen aus sozialen Medien abrufen kann, wäre die Verwendung von Songs, die nur Sie mögen, ein nutzloser Zähler. :) :)
    @nealmcb: Ich stimme überhaupt nicht zu. Wie würde der Angreifer wissen, dass es * diese beiden * Zeilen * aus * diesem * Elvis-Song waren? Wie würde der Angreifer wissen, dass es * alle Wörter * aus diesen Zeilen waren? Nehmen Sie alle populären Songs heraus und nehmen Sie alle Zeilen aus diesen Songs in einer oder zwei Zeilenkombinationen. Nehmen Sie nun das erste und das letzte Wort aus jeder dieser Zeilen. Ihr Wörterbuch wäre so groß, dass es nutzlos wäre.
    Was nützt ein Passwortwörterbuch, wenn Sie den Angriff nach dem 500. Versuch erkennen können? Ich denke, es hängt von Ihrer Definition von * gut * ab. Wenn Sie möchten, dass Ihr Passwort niemals beschädigt wird, wird es sehr schwierig sein, sich daran zu erinnern.
    Ich habe diese Methode eine Weile ausprobiert, aber in 4-5 Jahren vergisst man völlig, welche Zeile aus welchem ​​Song Sie für welchen Ort verwendet haben, und mit Sonderzeichen können Sie sie auch zufällig generieren - Sie haben keine Chance, sich daran zu erinnern. Zumindest nicht. Deshalb habe ich diese Methode aufgegeben.
    @StasM, Ja, ich habe diese Methode auch aufgegeben. Ich vergesse jetzt, mich an Passwörter zu erinnern, da es nicht praktisch ist, ein sicheres Passwort zu haben, das Sie nicht an mehreren Stellen verwenden. Ich verwende jetzt ein Passwortverwaltungsprogramm (1Password ist das, was ich benutze, aber es gibt andere, die wahrscheinlich genauso gut sind). Ich erinnere mich also nur an ein sicheres Passwort und tippe es in 1Password ein. 1Password merkt sich alle meine Passwörter und generiert zufällig neue, wenn ich ein neues benötige.
    @josh: Zwischen 1955 und 2003 gab es nur 933 Songs, die die Billboard-Charts anführten ("Fred Bronsons Billboard Book of Number 1 Hits, 5. Auflage"). Mit # 20 für # Zeilen multiplizieren. Es gibt natürlich viele populäre Songs, die nie die Nummer 1 erreicht haben, und viele Genres usw., aber insgesamt denke ich, dass die Anzahl der Songs, die wahrscheinlich für das hier vorgestellte Schema verwendet werden, sehr gering ist im Vergleich zu dem, woraus Sie für a arbeiten möchten Passwort. Das vorgestellte Schema enthält nicht Ihren Vorschlag, das erste und das letzte Wort zu entfernen (ich nehme an, nur manchmal), und selbst das multipliziert nur die Anzahl der Einträge mit 4.
    Noch wichtiger ist, dass jedes Schema, das nach etwas "Ich mag" fragt, wahrscheinlich dazu führt, dass die meisten Leute aus einer sehr verzerrten Verteilung populärer Dinge auswählen, was Wörterbuchangriffe viel praktischer macht. Stattdessen benötigen Passwortschemata gute unabhängige Entropiequellen.
    Selbst wenn Sie in die Top 40 aufgestiegen sind, ist die Gesamtzahl der Zeilen sicherlich geringer als bei einem Wörterbuch mit anständiger Größe, und aufgrund der Regeln der englischen Sprache und der Konstruktion von Musiktexten wird es viele Wiederholungen geben. Als eine der Massen ist dies vorerst wahrscheinlich in Ordnung. Aber wenn jemand Sie persönlich verfolgt und Ihr Schema kennt, ist dies sehr schwach. Wenn dieses Schema populärer wird, wird es standardmäßig zu JtR usw. hinzugefügt. Zu diesem Zeitpunkt ist das Spiel für Offline-Angriffe beendet.
    @JasonCoyne Ja, das ist ein sehr guter Punkt, aber ich denke, es ist einer, der wahrscheinlich über jedes Passwort gemacht werden kann, an das man sich leicht erinnern kann. Wenn jemand Sie gezielt anspricht, kennt er möglicherweise auch Ihren Musikgeschmack, sodass es möglicherweise nicht funktioniert, einen obskuren Text in einem obskuren Song eines obskuren Künstlers auszuwählen.
    Nun, der Punkt bei Diceware usw. ist, dass sie leicht zu merken sind, aber immer noch eine sehr hohe Entropie haben. Wählen Sie für Ihr Schema 3-4 verschiedene Lieder aus und nehmen Sie jeweils einen Vers.
    Ja, ich verstehe die Theorie hinter Diceware, aber ich bin skeptisch, dass es zu leicht zu merkenden Passphrasen führt. War es 'Righthorsebatterystapler'? Nein,'rectdonkeybatteriespaperclip '?
    #8
    +11
    nealmcb
    2010-11-29 12:17:14 UTC
    view on stackexchange narkive permalink

    Es gibt gute Ratschläge unter http://www.schneier.com/blog/archives/2007/01/choosing_secure.html und http://en.wikipedia.org/ wiki / Password_strength

    Ich denke, der Schlüssel besteht darin, mindestens zwei scheinbar nicht verwandte, ziemlich große Entropiequellen zu kombinieren. Z.B. Teil eines mittelgroßen Wortes, kombiniert mit Buchstaben vom Anfang einer eigenwilligen Phrase, mit einigen gemischten Groß- und Kleinschreibung und Zahlen / Symbolen in der Mitte. Tun Sie es so, dass Sie eine seltsame und unvergessliche Geschichte darüber schreiben können, und stellen Sie sicher, dass sie lang genug ist, je nachdem, wie wichtig Ihnen alles ist. Üben Sie es eine Weile und fügen Sie einige subtile Hinweise zur Geschichte in eine relativ private Datei ein.

    Sie können auch über Bord gehen, wenn Sie ein langes oder schwer zu merkendes Passwort auswählen: http: / /www.schneier.com/blog/archives/2009/07/strong_web_pass.html

    #9
    +8
    Steve
    2010-11-25 23:54:09 UTC
    view on stackexchange narkive permalink

    Ich denke an eine Lüge - etwas, das nicht wahr ist, und mache daraus einen richtigen Satz wie "Der Himmel ist wirklich grün!". (Dies ist keine, die ich zuvor verwendet habe)

    Sie sind leicht zu merken, weil sie einfach so seltsam sind.

    Es gibt VIER Lichter!
    #10
    +6
    Thomas Pornin
    2011-02-08 03:01:58 UTC
    view on stackexchange narkive permalink

    Für Passwörter verwende ich Folgendes: zwei Buchstaben, dann zwei Ziffern, dann zwei Buchstaben, dann zwei Ziffern. Buchstaben sind Kleinbuchstaben. Buchstaben und Ziffern werden zufällig generiert.

    Es stellt sich heraus, dass die resultierenden Passwörter leicht zu merken sind (zumindest leicht für mich; Ihr Gehirn ist möglicherweise nicht auf die gleiche Weise verdrahtet wie meins).

    Ein guter Punkt bei solchen Passwörtern ist, dass es einfach ist, ihre Entropie zu berechnen: Es gibt 26 4 sup> x10 4 sup> mögliche Passwörter mit diesem Format, alle mit der gleichen Wahrscheinlichkeit , also eine Entropie von ungefähr 32,09 Bits (ein gegebenes Passwort hat die Wahrscheinlichkeit 1/2 32,09, ausgewählt zu werden). 32 Bit Entropie sind nicht gut für alle Verwendungen, aber für die meisten gut genug, einschließlich jeder Verwendung, bei der Angriffe online sind. Bei einem Online -Angriff muss der Angreifer für jede Vermutung eine Anfrage an ein "ehrliches" System richten. z.B. ein SSH-Server. Offline-Angriffe (bei denen der Angreifer eine Vermutung "allein" überprüfen kann, die nur durch seine Rechenleistung begrenzt ist) sind beängstigender und erfordern ein stärkeres Kennwort.

    Denken Sie daran, dass das Wissen, wie viel Sicherheit Sie haben, mindestens genauso hoch ist wichtig für eine solche Sicherheit.

    Bonus: Hier ist das C-Programm, mit dem ich diese Passwörter generiere (kompiliert unter Linux und FreeBSD, sollte auf anderen Unix-ähnlichen Systemen funktionieren):

      / * * Kleines Dienstprogramm zur Passwortgenerierung. * / #Include <stdio.h> # include <stdlib.h> <string.h> # # # <errno.h> umfassen <sys / types.h> #include <unistd.h> #include <fcntl.h>static unsignedrandval (unsigned max) {static int fd = schließen - 1; vorzeichenloses Zeichen x; if (fd < 0) {fd = open ("/ dev / urandom", O_RDONLY); if (fd < 0) {perror ("open"); exit (EXIT_FAILURE); }        }        zum (;;) {
    vorzeichenloser Wert; für (;;) {if (read (fd, &x, 1) < = 0) {if (errno == EINTR) continue; perror ("read"); exit (EXIT_FAILURE); }                        brechen; } val = (ohne Vorzeichen) x; if (val > = max * (256 / max)) weiter; Rückgabewert% max; }} statischer intrandletter (void) {return "abcdefghijklmnopqrstuvwxyz" [randval (26)];} statischer intranddigit (void) {return "0123456789" [randval (10)];} intmain (void) {printf ("% c% c % c% c% c% c% c% c \ n ", Randletter (), Randletter (), Randdigit (), Randdigit (), Randletter (), Randletter (), Randdigit (), Randdigit ()); return EXIT_SUCCESS;}  
    Sie haben nur zwei Klassen: numerisch und klein geschrieben. Wie gehen Sie damit um, da so viele Authentifizierungen Großbuchstaben und Sonderangebote erfordern?
    @pboin: seltsamerweise enthält keines der Passwörter, die ich in den letzten fünf Jahren generiert habe, Großbuchstaben. Es gibt wahrscheinlich Anwendungen, die Großbuchstaben und / oder Sonderzeichen erfordern, aber meiner Erfahrung nach und in Bezug auf meine Arbeit mit Computern müssen sie ziemlich selten sein.
    Angenommen, Sie sagen die Wahrheit, haben Sie gerade gezeigt, wie Sie ein Wörterbuch / einen Algorithmus erstellen, das so optimiert ist, dass der Suchraum für Ihre Anmeldungen erheblich reduziert wird.
    @Andrew: ja, absolut. Es gibt 2 32.09 mögliche Passwörter. Dies ist zu klein für Komfort, vorausgesetzt, der Angreifer kann eine Vermutung auf seinen eigenen Computern "überprüfen" (dies ist ein "Offline" -Angriff). Ein gutes Protokoll lässt dies nicht zu (in der Unix-Terminologie: `/ etc / shadow` ist nicht frei lesbar).
    Dies ist ein schrecklicher Plan. Warum den Permutationen künstliche Grenzen setzen? Wenn man dieses Schema kennt, würde eine GPU, die 10 Milliarden ungesalzene md5-Versuche pro Sekunde ausführt, maximal ** eine halbe Sekunde ** benötigen, um alle Permutationen von [az] [az] [0-9] [0-9] [az] abzudecken. [az] [0-9] [0-9]. Sogar gesalzene Passwörter wären anfällig. Dieser Beitrag sollte gelöscht werden, falls jemand ihn tatsächlich nutzen möchte.
    Wenn Sie das Kennwort mit einem einzelnen MD5-Aufruf hashen, besteht Ihre Schwachstelle darin, einen einzelnen MD5-Aufruf zu verwenden. Eine adäquate Passwortspeicherfunktion ruft die Hash-Funktion millionenfach auf und multipliziert die Angriffskosten mit so vielen. Was gelöscht werden sollte, ist Ihr Vorschlag, einfaches MD5 für das Hashing zu verwenden. Das ist ein schrecklicher Rat. Eine geeignete Passwort-Hashing-Technik ist bcrypt: http://en.wikipedia.org/wiki/Bcrypt
    #11
    +6
    user185
    2010-12-03 00:08:15 UTC
    view on stackexchange narkive permalink

    Ich verwende den Passwortgenerator unter Mac OS X und bin auf den Modus "Einprägsames Passwort" eingestellt.

    #12
    +6
    iivel
    2011-02-07 21:57:43 UTC
    view on stackexchange narkive permalink

    Ich verwende eine Passphrase und einen Zufallsgenerator für diese Phrase (Substitutions-Chiffre). Ich regeneriere meine Schlüsselkarte monatlich und behalte eine Kopie bei mir. Ich finde die pseudozufällige Natur, die es für starke Passwörter in einer Quasi-2-Faktor-Authentifizierung schafft. Etwas, das ich habe, ist meine Schlüsselkarte, etwas, das ich weiß, ist meine Schlüsselphrase. Als Beispiel habe ich eine kurze App geschrieben, um sie hier zu erstellen:

    Zum Beispiel: Mein Bankpasswort könnte "Banking" sein und es würde ein sehr starkes Passwort für mich generieren, es wäre leicht zu ändern und Mein Passwort wäre immer Banking.

    http://levii.com/cipher.php

    * Bearbeiten: Nur als Hinweis habe ich dies vorgeschlagen Methode zum /. Community im Jahr 2005ish und habe es seitdem nicht mehr aktualisiert. Ich wollte im Rahmen meines MS-ISA-Programms echte Nachforschungen anstellen.

    #13
    +6
    Moshe
    2010-11-22 00:11:00 UTC
    view on stackexchange narkive permalink

      Ich beginne mit einer Passphrase wie Pfannkuchen .

    1. Als nächstes mache ich einige Ersetzungen - füge Zahlen, Symbole und Großbuchstaben hinzu. [email protected] .

    2. Schließlich füge ich für jede Site, auf der ich es verwende, ein Präfix oder Suffix hinzu, z. B. pAzc @ KezStack .

      PS: Es ist eine gute Idee, ein paar Basen zu haben und diese auch zu wechseln.

    3. ol>

      Haftungsausschluss: Dies ist keines meiner Passwörter. (Ja, ich esse einen Pfannkuchen, während ich das schreibe.)

    yay für Pfannkuchen! verdammt, jetzt * ich * will ein paar Pfannkuchen ...
    Dies kommt den gängigen Methoden ziemlich nahe, die laut Schneier von Tools wie PRTK ziemlich erfolgreich eingesetzt werden. http://www.schneier.com/blog/archives/2007/01/choosing_secure.html Ich schlage vor, einen Weg zu finden, um zwei sehr unterschiedliche Entropiewelten auf denkwürdige Weise zu kombinieren.
    erm... http://security.stackexchange.com/questions/662/what-is-your-way-to-create-good-passwords-that-can-actually-be-remembered/6124#6124
    Wenn jemand feststellt, dass Ihr Stack Overflow-Passwort "[email protected]" lautet, hat er eine ziemlich gute Vorstellung davon, wie Ihre Google-, Apple-, Facebook- usw. Passwörter lauten. Dieses Schema verhindert das automatische Erraten von standortübergreifenden Passwörtern, jedoch nicht manuell.
    Wie erinnerst du dich überhaupt an "[email protected]"?
    #14
    +5
    MattBianco
    2011-02-08 22:05:06 UTC
    view on stackexchange narkive permalink

    Leider legen viele Systeme dumme Einschränkungen für Kennwörter fest, sodass die gleiche Methode zum Generieren von "einprägsamen" Kennwörtern nicht immer für mich funktioniert.

    Meistens muss ich mir nicht so viele Kennwörter merken. Ich schreibe die wichtigen in keepass oder eine PGP-verschlüsselte Textdatei oder beides.

    Die meisten, die ich für meine Unix-Systeme ausgewählt habe, basieren jedoch auf Zeilen aus Songs oder einfach nur alberne Phrasen oder Ausdrücke, bei denen ich jedes Wort zu einem Zeichen werden lasse, wobei die Groß- und Kleinschreibung je nach Betonung oder Intonation des Wortes variiert oder welche Wörter mehr "Bedeutung" in der Phrase haben. Es empfiehlt sich, auch eine Darstellung des System- / Site-Namens mit einem Suffix oder Präfix zu versehen.

    Informationen zur Kennwortlänge: Auf Websites habe ich immer Kennwörter mit mehr als 8 Zeichen ausgewählt. Meine Argumentation ist, dass viele "ahnungslose" Systemdesigner nur einen MD5-Hash des Benutzerkennworts ohne Salz speichern. Websites werden gehackt, und selbst wenn ich überall andere Passwörter verwende, möchte ich nicht, dass ein Skript-Kiddie in einer vorgenerierten Hash-to-Klartext-Tabelle nachschlägt und meine "zufällige" findet. Passwort dort.

    Genau. Ich verachte alle Passwortbeschränkungen. Einige Websites erfordern 8 oder mehr Zeichen. andere 8 oder weniger (was keinen Sinn macht); andere erfordern eine Zahl oder ein Interpunktionszeichen; andere erlauben keine Interpunktion. Es ist schwer genug, sich 30 Passwörter zu merken, aber wenn alle Websites unterschiedliche Anforderungen haben, wird es fast unmöglich.
    #15
    +5
    StasM
    2011-01-01 06:46:21 UTC
    view on stackexchange narkive permalink

    Für Websites mit mittlerer Sicherheit:

    1. Wählen Sie ein Wort, an das Sie sich erinnern würden, und es ist lang genug - sagen wir, es ist porcupine .
    2. Wählen Sie Eine Zahl, an die Sie sich erinnern würden - verwenden Sie Geburtsjahr, -monat und -tag nicht, auch nicht für Ihre Verwandten usw.! - Nehmen wir an, es ist 28 .
    3. Wenn Sie ein Passwort für die Site security.stackexchange.com benötigen, machen Sie es 28-porcupine+SSC
    4. ol>

      Dieses Passwort ist einprägsam. da Sie sich nur 1 Wort und 1 Nummer für alle von Ihnen besuchten Websites merken müssen und das Kennwort für jede Website ohne Aufwand wiederherstellen können. Natürlich können Sie den Algorithmus ändern, aber die Idee ist, die Kombination f (n, w, s) zu verwenden, wobei n und w festgelegt sind und s wird aus dem Site-Namen generiert.

      Für Hochsicherheits-Websites (auch bekannt als "Wenn jemand Zugriff darauf erhält, ist mein Leben ruiniert") - generieren Sie ein langes zufälliges Passwort, schreiben Sie es auf, legen Sie dieses Papier an einen sicheren Ort - wie mit Ihrem Reisepass, Titeln usw. Dokumente.

    Wenn eine dieser Sites böswillig ist, können sie Ihr generiertes Passwort sehen und Ihren Algorithmus leicht erraten, sodass sie sich auf jeder anderen solchen "Site mit mittlerer Sicherheit" für Sie anmelden können.
    @Paulo Vorausgesetzt, es gibt wirklich Websites, auf denen Menschen über jedes dort eingegebene Passwort nachdenken (wahrscheinlich von Hunderten von Menschen, die sich jeden Tag anmelden) und den verwendeten Algorithmus erraten (und diese Menschen sind klug genug, es nur von einem zu erraten Beispiel). Ich denke, es ist mäßig sicher zu wetten, dass die Chancen dafür gering sind. Und wenn sich die Website als böswillig herausstellt, ist der Schaden, wenn ich ihnen meine E-Mail-Adresse gebe, wahrscheinlich schlimmer - ich bekomme Tonnen von Müll von einigen Websites, die ich angemeldet habe, und finde, dass sie wertlos und zu faul sind, um herauszufinden, wie ich mein Konto löschen kann.
    richtige Pferdebatterie!
    #16
    +4
    Bradley Kreider
    2011-02-09 09:56:12 UTC
    view on stackexchange narkive permalink
    1. Mische ein Kartenspiel.
    2. Die Reihenfolge der Karten ist Ihr Passwort.
    3. Kaufen Sie für jedes Passwort ein neues Deck. Lass das Deck nicht fallen.
    4. ol>

      Wenn Sie dazu gezwungen werden, können Sie das Deck fallen lassen, oder im Falle Großbritanniens, wenn sie Ihr Haus durchsuchen, werden sie Ihr Deck zerstreuen und Ihr Passwort / Ihren Verschlüsselungsschlüssel löschen .

      ;)

    dann entscheiden Ihre Kinder, dass sie Karten spielen wollen .....
    #17
    +4
    MasterZ
    2011-04-05 04:27:15 UTC
    view on stackexchange narkive permalink

    Ein Kennworthinweis sollte nur daran erinnern, wie Ihr Kennwort lautet, ohne das tatsächliche Kennwort preiszugeben. Das heißt, es sollte etwas sein, das Sie verstehen würden, aber das ein Fremder nicht herausfinden könnte.

    Wenn Sie ein Basiskennwort verwenden, aber manchmal alle Kleinbuchstaben oder manchmal Sonderzeichen verwenden, können Sie a verwenden Hinweis, der dies nur erklärt (dh Hinweis ist "nur in Kleinbuchstaben").

    Oder verwenden Sie LastPass, es ist mein bevorzugtes Tool zum Speichern von Passwörtern, das ich für fast alles verwende.

    #18
    +3
    Bill Weiss
    2011-01-06 21:18:22 UTC
    view on stackexchange narkive permalink

    Für meine Anmeldekennwörter verwende ich Software (pwsafe oder KeePass, unabhängig davon, wo ich mich befinde), um ein hässliches Kennwort mit der gewünschten Länge (9 Zeichen?) zu generieren. Dann schreibe ich es auf etwas, das in meiner Brieftasche ist. Nach ein paar Tagen erinnere ich mich gut genug daran und habe das Papier zerkleinert. Das Backup dort speichert es in einem der Programme, die sich auf einem anderen Computer befinden als das Passwort :)

    Für alles andere erledigt die Software das für mich. Wenn sich ein Programm an Ihre Passwörter erinnert, ist das so viel besser als es selbst zu tun. Ich verstehe nicht ganz, warum sich die Leute dagegen wehren.

    Manchmal tun es Menschen - zum Beispiel, indem sie den Passwort-Manager in ihrem Webbrowser verwenden, um sich zu merken, welches der wenigen Passwörter sie für eine bestimmte Site verwendet haben. Das größere Problem ist "Wenn die Software ausfällt, wie lautete mein Passwort?" - Angesichts der Tatsache, dass es sich um einen Witz handelt (der über die Google-Suche / das Facebook-Profil auffindbar ist), sind die "Sicherheits" -Fragen, die von Websites zur Wiederherstellung von Passwörtern verwendet werden.
    #19
    +3
    Rory Alsop
    2010-11-25 22:46:34 UTC
    view on stackexchange narkive permalink

    Um Rainbow Table -Angriffe zu vermeiden, ist die Länge der Schlüssel. Es ist nicht ungewöhnlich, wenn bei der Ausnutzung eine SAM-Datei oder / etc / passwd abgerufen und ein Riss in den Hashes ausgeführt wird. In der Vergangenheit habe ich oft John the Ripper für ein paar Tage benutzt, um zu sehen, welche Hashes brutal gezwungen werden könnten. Heutzutage würde ich die Hashes schnell gegen eine Regenbogentabelle werfen und 95% aller Passwörter mit weniger als 9 Zeichen haben (und wenn ich nach 10 Zeichen suchen wollte, könnte ich die Tabelle auch für diese Länge herunterladen - es fängt einfach an, sehr zu werden big ...)

    Allerdings sind die 2 Techniken, die ich benutze:

    1. wie pkaeding - Texte aus Liedern
    2. der alte CVC CVC CVC CVC CVC-Methode (Konsonant, Vokal, Konsonant) für jeden erforderlichen Entropiegrad
    3. ol>
    #20
    +1
    Vitaly Nikolaev
    2011-11-29 20:58:13 UTC
    view on stackexchange narkive permalink

    Ändere dein Leben :) Lass alle Passwörter extrem kompliziert sein, ohne dass du dich an eines erinnern kannst. Holen Sie sich einen Passwort-Manager, ich fand KeePass ziemlich nützlich.

    Sie können DB-Dateien in der Dropbox behalten und Passwort + Bild (Binärdatei) verwenden, um auf Passwörter zuzugreifen. Das Bild (Datei) nur auf Geräten aufbewahren, die Sie wahrscheinlich verwenden um von (nicht auf Dropbox!) auf das Passwort zuzugreifen.

    Halten Sie das Bild zugänglich, aber nicht offensichtlich. Das System ist also weiterhin verwendbar, aber wenn Hacker Ihre Kennwort-DB-Dateien erhalten, können sie nicht mit brutaler Gewalt darauf zugreifen.

    Auf diese Weise müssen Sie sich nur ein Kennwort merken, was viel einfacher ist.

    Ändern Sie es und die Datei regelmäßig und Sie sind in Sicherheit.

    DropBox speichert einen Verlauf Ihrer Daten für einen Monat (?). Denken Sie also daran, wenn Sie das DB-Kennwort ändern.

    +1 für KeepAss (Ich schreibe es die ganze Zeit so falsch. Wenn ich das schreibe, * natürlich * ist es ein Rechtschreibfehler - das ist meine Geschichte und ich halte mich daran; o))
    #21
    +1
    Rory McCune
    2010-12-03 16:19:54 UTC
    view on stackexchange narkive permalink

    Ähnlich wie bei einigen anderen Antworten basiert einige Passwörter auf einem Satz, den ich für unvergesslich halte, und übersetzt ihn dann in ein Passwort. Als Beispiel ist

    i;) @ 0dd ^ 's

    ein vernünftiges Passwort, an das ich mich als "Ich zwinkere ungeraden Hüten zu" erinnern würde. Im Allgemeinen das oder etwas, das auf Anfangsbuchstaben einer Phrase basiert (normalerweise sprechen einige Leet-Modifikationen und hinzugefügte Interpunktion).

    #22
    +1
    Andy Lee Robinson
    2011-08-13 12:14:28 UTC
    view on stackexchange narkive permalink

    Hier ist noch ein weiteres Schema für Musiker:

     
    #23
    +1
    pboin
    2010-12-03 19:51:10 UTC
    view on stackexchange narkive permalink

    Ich verwende das Perl-Modul Crypt: RandPasswd, mit dem aussprechbare Phrasen erstellt werden können, die von Verschiedenem umgeben sind. Specials und Zahlen. Ich finde, dass die Ausspracheregeln den Schlüsselraum einschränken, aber sie erleichtern den mentalen Teil viel. Selbst wenn ich ein Passwort nachschlagen muss, kann ich mich lange genug daran erinnern, um es beim ersten Mal richtig einzugeben.

    Ein Passwort könnte folgendermaßen aussehen: Vorda # Capis% 99 ^

    > Stattdessen wird die integrierte rand () - Funktion von Perl verwendet, die wiederum (normalerweise) auf den Pseudozufallszahlengeneratorfunktionen der zugrunde liegenden C-Bibliothek basiert.
    #24
    +1
    Dracs
    2011-09-18 22:07:18 UTC
    view on stackexchange narkive permalink

    Ich habe mir kürzlich Off The Grid von Steve Gibson angesehen. Es handelt sich um eine papierbasierte Verschlüsselung, mit der ein Domainname (oder wirklich jeder Text) verschlüsselt und ein Kennwort zur Verwendung bereitgestellt werden kann. Auf der Website gibt es viele Informationen dazu.

    Die Grundlagen dafür sind, dass Sie eine 26x26-Zeichentabelle erstellen. Diese Tabelle folgt Regeln, die Sudoku ähnlich sind (nur eines von jedem Zeichen in jeder Zeile und Spalte). Dies beginnt mit viel Entropie (mindestens 1400 Bit). Die Grundlagen der Verwendung sind ziemlich einfach (ich werde nicht die Mühe machen, alles noch einmal neu zu tippen). Das größte Risiko besteht darin, dass jemand Ihr Netz physisch stiehlt. Selbst dann gibt es nur wenige Schritte, die Sie langsam ausführen können (sollte leicht lang genug sein, um festzustellen, dass jemand sie gestohlen hat). Zu diesen Methoden gehören:

    1. Auswählen eines anderen Startorts
    2. Salting (Sie können dies tun, indem Sie beim Ausführen der Verschlüsselung etwas vorab anhängen / anhängen)
    3. Wenn Sie die Verschlüsselung durchführen (lesen Sie die entsprechende Seite), anstatt die nächsten beiden Zeichen auszuwählen. Wählen Sie stattdessen vielleicht die nächsten drei Zeichen, eines über eins nach oben, zwei nach unten, eines nach links usw.
    4. ol>

      Ich benutze es nicht selbst, aber ich habe keine großen Schwierigkeiten, mich an 20 zufällige Zeichen zu erinnern Zeichen, die ich in Kombination mit Passpack (Online-Passwort-Manager)

      verwende
    #25
    +1
    JBirch
    2010-11-29 16:37:05 UTC
    view on stackexchange narkive permalink

    Je nachdem, wofür ich es benötige, berechne ich einen MD5 oder SHA1 für eine zufällige Datei und führe diesen einige Male durch. Das ist allerdings ziemlich schwach, da es nur 16 Zeichen enthält.

    Wenn ich etwas Stärkeres brauche, gebe ich drei oder vier Zeichen in einen Tripcode -Sucher ein und sehe, was es wirft zurück zu mir. Kleben Sie zwei davon zusammen und führen Sie sie einige Male durch, und Sie haben ein ziemlich sicheres Passwort, da es wirklich ziemlich zufällig ist.

    #26
    +1
    Ventral
    2010-11-22 01:04:16 UTC
    view on stackexchange narkive permalink

    Eine Methode, von der ich gehört habe, besteht darin, eine Seite eines Buches auszuwählen und den ersten Buchstaben jedes Wortes in einer Zeile zu verwenden. Wenn Sie die Groß- und Kleinschreibung der Wörter und die ungerade Zahl kombinieren, erhalten Sie ein sicheres Passwort, das nicht leicht zu erraten ist. Sie müssen sich nur an das Buch und die Zeile erinnern!

    #27
    +1
    Olivier Lalonde
    2010-11-29 23:18:16 UTC
    view on stackexchange narkive permalink

    Ich öffne ein großes Buch auf einer zufälligen Seite und verwende den ersten Buchstaben der ~ 8 ersten Wörter / Zeilen. Nicht gerade leicht zu merken, aber es macht es sehr schwierig, Ihr Passwort vollständig zu "vergessen".

    #28
      0
    Shurmajee
    2013-05-05 15:59:27 UTC
    view on stackexchange narkive permalink

    Wenn Englisch nicht Ihre Muttersprache ist, haben Sie Glück. Ich würde vorschlagen, eine Passphrase zu verwenden, die eine Kombination aus englischen Wörtern mit Wörtern aus Ihrer Muttersprache oder Ihren Muttersprachen verwendet. Ein solches Passwort ist schwer zu erraten.

    Natürlich sollten Sie eine Passphrase wählen, an die Sie sich leicht erinnern können. Ich bin kein großer Fan von zu komplexen Passwörtern. Denken Sie jedoch daran, dass das Passwort nicht leicht zu erraten und nicht in einem Wörterbuch aufgeführt sein sollte.

    Ich empfehle außerdem, kein einziges Passwort für alle Ihre Passwörter zu haben Konten. Ich pflege einen kleinen Pool von Passwörtern (dies wird mit der Übung einhergehen). Ihr Net Banking-Passwort sollte nicht für Ihr eBay- oder monster.com-Konto wiederverwendet werden. Einmal klickte ich auf den Link "Passwort vergessen" einer Baustelle und sie schickten mir mein Passwort im Klartext. Grundsätzlich können Sie nicht jeder zufälligen Website da draußen vertrauen!

    Sie gehen davon aus, dass der Angreifer Ihre Muttersprache nicht kennt.
    @CodesInChaos Ich gehe davon aus, dass es für einen Angreifer schwierig sein wird, ein Wörterbuch mit nicht englischen Passwörtern in die Hände zu bekommen. Es wird empfohlen, eine Mischung aus Englisch und der Muttersprache zu verwenden.
    #29
      0
    iivel
    2011-11-30 21:16:14 UTC
    view on stackexchange narkive permalink

    Die erste Empfehlung ist so etwas wie Lastpass oder Keepass, aber ich weiß, dass diese nicht immer praktisch sind, und meine weniger technisch versierten Freunde möchten die Dinge sicherlich nicht mehr "komplizieren", sodass ich festgestellt habe, dass eine Substitutions-Chiffre ziemlich effizient funktioniert und ermöglicht eine einfache Erinnerung an Ihr Passwort, während es sehr unwahrscheinlich ist, dass es erraten oder leicht gehackt wird.

    Ich habe da draußen ein Beispiel veröffentlicht http://levii.com/cipher.php... Ich verwende mindestens ein 4-Buchstaben-Schlüsselwort (also "BANK" für meine Bank "WORK" für meine Arbeit), die ich nicht ändern muss - ich behalte die Karte in meiner Brieftasche und drucke alle paar Monate eine neue aus, wenn es Zeit ist, das Passwort zu ändern. (Hinweis: Dies ist nicht die eigentliche App, mit der ich meine Karten generiere, sondern konzeptionell dieselbe.)

    #30
      0
    George
    2011-09-19 14:44:38 UTC
    view on stackexchange narkive permalink

    Zwei weitere Punkte:

    a. Zusammen mit allen anderen Methoden gibt es noch eine Möglichkeit, die Entropie zu erhöhen:

    Gehen Sie über das reine Englisch hinaus .

    Wenn wir (Start-) Wörter aus kombinieren Bei mehr als einer Sprache wird der Bereich zum Erraten / Suchen von Passwörtern sofort RIESIG. Und das würde die Leute sicherlich verwirren, die Regeln für das Erraten von Passwörtern schreiben.

    Andererseits würde dies ein breiteres Denkfeld erfordern als die "Bösen". Vielleicht kommt es auf "unseren" Intellekt gegen "ihren" an. Vielleicht sollte das umfassendere Denken lauten:

    Gehen Sie über CS-Methoden hinaus .

    Welche anderen Möglichkeiten können wir uns vorstellen, um das Erraten von Passwörtern zu überlisten?

    b. Ein Punkt, der bisher noch nicht erwähnt wurde: Wenn wir von Seiten des Administrators denken, dürfen wir nicht vergessen, dass Regeln zur Kennwortgenerierung möglicherweise auch den Kennwortrichtlinien Ihrer Organisation entsprechen müssen. Z.B. Ich habe Schwierigkeiten zu überlegen, wie die Methode durch Leerzeichen getrennte Wörter (mit ungewöhnlichen Wörtern!) In einer Unternehmensumgebung (OK, Parser, Wörterbücher usw.) einfach implementiert und durchgesetzt werden kann, aber Sie haben die Idee ...)

    Und wie wäre es, Benutzer zu schulen und zu überzeugen, diese oder eine andere Methode anzuwenden ...?

    #31
      0
    August
    2011-01-06 20:00:59 UTC
    view on stackexchange narkive permalink

    Ich finde eine völlig zufällige, komplexe Zeichenfolge, indem ich zufällig Tasten auf meiner Tastatur in einem Muster drücke, mit dem meine Finger vertraut sind und das ich sehr schnell tun kann. Dazu verwende ich folgende Techniken:

    • Wechseln Sie aus Gründen der Geschwindigkeit aufeinanderfolgende Tasten zwischen den Händen oder verwenden Sie kleine Gruppen von Tasten (2 oder 3) nebeneinander auf der Tastatur, wobei Sie die Gruppen zwischen den einzelnen Händen abwechseln um das vollständige Passwort zu erstellen. Es ist schwierig, ein ganzes Passwort schnell mit nur einer Hand einzugeben.
    • macht die Tasten buchstäblich zufällig und buchstabiert nichts oder sogar eine Variante von etwas
    • , wenn Sie Passwörter ändern, ändern Sie Ihren Finger Muster signifikant genug, um völlig unterschiedliche Tasten und Tastenmuster zu treffen (und nicht dasselbe Muster hat 1 oder 2 Tasten in eine beliebige Richtung verschoben)

    Nachdem ich mein zufälliges Passwort erhalten habe, übe ich das Eingeben des neuen Passworts ein paar Mal, damit mein Muskelgedächtnis das Schlüsselmuster beibehält. Nachdem mein Passwort festgelegt wurde, melde ich mich bei einigen Systemen hintereinander an, um das Schlüsselmuster weiter beizubehalten.

    Am Ende haben Sie ein völlig zufälliges Passwort, das Sie nur schwer vergessen können, weil Sie es nicht sind Erinnern Sie sich nicht einmal an eine Zeichenfolge, sondern nur an ein Muster, das Ihre Finger auf der Tastatur annehmen und das für niemanden, auch für Sie, etwas bedeutet. Manchmal, wenn ich versehentlich mein Passwort in ein Klartextfeld eingebe (jeder hat dies irgendwann getan ...), sieht es für mich völlig fremd aus, weil ich nicht an die Zeichenfolge denke, sondern nur an das Muster, das ich auf der Tastatur treffe.

    Diese Methode führt auch nicht zu ähnlichen Passwörtern und Mustern zwischen verschiedenen Benutzern, da jeder anders tippt. Was für eine Person einfach und schnell zu tippen ist, kann für eine andere Person schwieriger sein.

    Wenn Sie "zufällig" eingeben, werden selten zufällige Zeichen erstellt. Es wird normalerweise eine erkennbare Struktur und damit eine Schwäche geben. zB Zeichen auf der linken Seite, dann Zeichen auf der rechten Seite, Dipthongs, benachbarte Zeichengruppen. Verwenden Sie stattdessen ein Programm, um eine zufällige Zeichenfolge zu erstellen, und üben Sie diese dann, um das haptische (Muskel-) Gedächtnis zu aktivieren.
    #32
      0
    user2382
    2011-09-16 21:07:34 UTC
    view on stackexchange narkive permalink

    Früher habe ich vier zufällige Wörter genommen, einige Buchstaben durch Zahlen ersetzt und vier Zahlen plus ein Sonderzeichen angehängt. Das Problem war, dass es etwas schwierig war, sich daran zu erinnern - jetzt habe ich meine Lieblingszeile aus dem Buch genommen, das ich im Vormonat gelesen habe, und eine ähnliche Ersetzung sowie einige Änderungen an der Großschreibung vorgenommen, z. B.:

    "A. Der menschliche Kopf erhebt sich aus einem Sumpf des Schlafes "(number9dream, David Mitchell) wird zu" Ahum4nH34dR1s3sUpfR0mASw4mpOfSl33p! "

    #33
      0
    l0b0
    2011-02-07 22:14:18 UTC
    view on stackexchange narkive permalink

    Erstellen Sie einige neue Wörter: splur, bambile, egilomanifastic, spilomasilomagnitolistable. Kombinieren Sie für ein bisschen Spaß Reim und eine einfache Mnemonik.

    #34
      0
    Everett
    2010-11-20 05:37:27 UTC
    view on stackexchange narkive permalink

    Was ist mit einem Passwort mit einem rotierenden Schlüssel, je nachdem, was Sie tun? Beispiel: Mein Kernkennwort lautet P4 $$ w3rdthati $ h4rd (ja, das verwende ich wirklich)

    Ich möchte es für GMail verwenden. Ich beginne mit P4 $$ w3rdthati $ h4rd und füge gm am Ende hinzu (P4 $$ w3rdthati $ h4rdgm). Auf diese Weise muss ich mir nur zwei oder drei Buchstaben merken, je nachdem, was ich tue, da mein Passwort für alle Dienste (öffentlich und privat) relativ konsistent ist. Ich kann einen Tail-Ending-Modifikator (Suffix) für Internet-Inhalte und einen Anfangs-Modifikator (Präfix) für private Inhalte verwenden. Oder fügen Sie es in die Mitte ein.

    Ich bin offen für Flammen, wenn Sie der Meinung sind, dass dies eine schlechte Praxis ist, aber ich habe noch nie jemanden getroffen, der meine Passwörter erraten hat, und ich musste sie nie aufschreiben .

    Wir müssen nicht länger versuchen, Ihr Passwort zu erraten!
    Du kannst es auf keinen Fall erraten, ah Mist ...;)
    Das eigentliche Problem wäre, wenn Sie dieses Schema verwenden, um sich bei einer Site anzumelden, die Ihr Passwort nicht verschlüsselt / hasht. Entweder die Site selbst oder der Angreifer dieser Site könnte Ihr Passwort lesen - und es wäre ziemlich trivial, Ihr Schema basierend darauf herauszufinden und es dann für eine andere Site zu verwenden. Obwohl es ein faires Risiko ist, mache ich etwas Ähnliches ... :)
    Ich denke, dies ist die beste Antwort, ohne den PSW zu lang zu machen.
    @AviD Wenn Sie der Meinung sind, dass das Schema "Basiswort" + "gm" zu einfach ist, können Sie die Komplexität des Algorithmus erhöhen. Ich habe ein Grundwort ähnlich wie Everett, aber mein Algorithmus beinhaltet das Ersetzen von Buchstaben an bestimmten Positionen und das Hinzufügen von Zahlen an bestimmten Positionen basierend auf der Anzahl der Zeichen in der Domain der Site. Voila, kurze, einzigartige, komplexe Passwörter, die leicht zu merken sind.
    #35
    -1
    sublimepua
    2012-05-28 04:58:18 UTC
    view on stackexchange narkive permalink

    Mein Weg ist keineswegs unzerbrechlich, vor allem, weil er auf Sicherheit durch Dunkelheit beruht, aber besser als die Wiederverwendung von Passwörtern und nicht darauf, dass man sich an viel erinnert. Ich xor eine Wiederholung der URL der betreffenden Website mit einem langen Passwort meiner Wahl. Auf diese Weise merken Sie sich nur ein Kennwort, aber eine Beeinträchtigung des Kennwortspeichers einer Site beeinträchtigt Ihre anderen Anmeldungen nicht. Dies hat das Potenzial für unendliche Variationen. Sie können die URL gefolgt von der IP-Adresse, die umgekehrte URL, die ins Spanische übersetzte URL usw. usw. verwenden.

    #36
    -1
    Lewis
    2013-05-05 14:36:11 UTC
    view on stackexchange narkive permalink

    Ich habe ein langes Passwort, das ich jedes Mal aus dem Speicher eingeben kann, wenn ich mich an einen bestimmten Zick-Zack-Pfad über die Tastatur erinnere, der durch Buchstaben, Zahlen und Symbole verläuft, und dann auf das tippe Tasten, die diesen Pfad im Rhythmus eines Drum-Patterns von einem meiner bevorzugten Post-Dubstep-Tracks bilden und einige der Charaktere entsprechend der Position der Snares in diesem Drum-Pattern verschieben.

    Dies ist ein anderer 'Pfad' zu dem, was ich verwende, aber Sie können sehen, wie komplex ein Passwort mit dieser Technik wird, und mit ein wenig Übung ist es ziemlich einprägsam:

      \] = {- p) o9I8u&y6T5r $ e3W2q  

    Dann füge ich für verschiedene Anwendungen normalerweise am Ende mein altes Hotmail-Passwort hinzu, das ich mir mit 11 ausgedacht habe, oder mein Geburtsdatum rückwärts oder so ähnlich das, an das ich mich leicht erinnern kann.

    #37
    -1
    Paolo Perego
    2010-11-20 04:03:34 UTC
    view on stackexchange narkive permalink

    Sie können einen Vers aus Ihrem Lieblingssong in der Geschichte oder nur in dieser Zeit auswählen.

    Nehmen Sie einen zufälligen Satz, machen Sie eine CamEl cAse-Permutation, Sie können sogar eine Skript-Kiddie-Zeichensatz-Ersetzung verwenden bis m4k3 1t l00k1ng so CoMpl3X und schwer zu erraten.

    Idealerweise schreiben Sie einen englischen Satz wie: Heute morgen bin ich so blau. Eigentlich kann Ihr Passwort lauten: Th1S M0rn1Ng I 4M s0 Blu3.

    Leicht zu merken und nach einigen Eingaben auch leicht zu tippen.

    #38
    -2
    tasmaniski
    2011-09-19 14:19:52 UTC
    view on stackexchange narkive permalink

    Ich ändere einige Buchstaben mit ähnlichen Zahlen und jedes neue Wort beginnt mit Großbuchstaben.

    zum Beispiel: Th1sIsGreatPassw0rd!

    i = 1,

    0 = o

    und am und '!' oder etwas anderes.

    Die meisten Passwort-Cracker (John the Ripper usw.) suchen automatisch nach den üblichen Nummernersetzungen. Wenn ich mich richtig an die Statistiken erinnere, verlängert diese Technik die zum Knacken eines Passworts erforderliche Zeit um weniger als 20 Sekunden.


    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 2.0-Lizenz, unter der er vertrieben wird.
    Loading...