Frage:
Ist es akzeptabel, beim Ändern eines Passworts nur eine Zahl zu erhöhen?
user21820
2016-05-12 14:37:10 UTC
view on stackexchange narkive permalink

Hinweis: Ich frage nicht, ob dieses Passwortschema das beste ist oder nicht (natürlich nicht). Ich frage nach seiner theoretischen oder praktischen Sicherheit in Bezug auf das optimale Passwortschema, das auf den Algorithmen basiert, die üblicherweise bei der Authentifizierung und Verschlüsselung verwendet werden. Wie ich bereits in meiner Frage sagte, ist dieses Schema (wie ich es hier definiert habe) mathematisch so sicher wie das, was den Leuten gesagt wird (aber selten; obwohl es hier irrelevant ist), aber ich weiß nicht, ob es seltsam ist Aspekte der Authentifizierung oder Verschlüsselung, die die mathematische Analyse allein aufgrund der Entropie ungültig machen.

Nun, ich hatte diesen interessanten Gedanken. Da kennwortgeschützte Systeme häufig erfordern, dass Benutzer ihr Kennwort häufig ändern, erhöhen viele Benutzer lediglich einen an ein Präfix angehängten Zähler, z. B.:

awefjio; 1

awefjio; 2

...

Ich frage mich, ob die Verwendung einer solchen Kennwortfamilie so sicher ist wie die Auswahl eines völlig zufälligen neuen Kennworts jedes Mal, solange Das Präfix wird einheitlich zufällig ausgewählt und solange jedes zufällige neue Passwort plus etwa 10 Bit vorhanden ist. Ich habe die zusätzlichen Bits vom Zähler ignoriert, da dies angesichts der Häufigkeit, mit der Benutzer Änderungen vornehmen müssen, innerhalb eines kleinen Fehlerbereichs erraten werden kann ihr Passwort. Mathematisch gesehen ist dieses Passwortschema gut genug, da der Angreifer mit den zusätzlichen 10 Bits 1024 Mal so lange versuchen kann, das Passwort zu knacken, im Vergleich zu dem völlig zufälligen, vorausgesetzt, man ändert ein Passwort nicht mehr als 1024 Mal. (Hier gehe ich davon aus, dass der Angreifer irgendwie einen Hash des Passworts hat, einschließlich des benötigten Salzes.)

Jetzt kenne ich einen offensichtlichen Nachteil: einen Angreifer, der irgendwie den Strom erhält Das Passwort kennt alle vorherigen Passwörter. Dies scheint jedoch in den meisten praktischen Situationen völlig irrelevant zu sein, in denen der Benutzer nach dem Anmelden vollen Zugriff auf sein Konto hat und niemals die alten Passwörter benötigt.

Daher meine Frage; Gibt es einen konkreten Grund, warum Benutzer dieses Schema nicht zum Ändern von Kennwörtern verwenden sollten? Ich vermute, dass die positive Antwort von den beteiligten Authentifizierungs- oder Verschlüsselungsalgorithmen abhängt. In diesem Fall bin ich es Ich kann die Frage gut auf die am häufigsten verwendeten Algorithmen beschränken.

Um es klar zu sagen, frage ich nur nach der Situation, in der:

  1. Benutzer haben keine andere Wahl, als ihre Kennwörter mit einer festgelegten Häufigkeit zu ändern, und haben nicht die Möglichkeit, einen Kennwortmanager zu verwenden (z. B. auf einem Arbeitsplatzcomputer). Sie müssen sich daher für ein Schema entscheiden. Bei dieser Frage geht es darum, ob ein bestimmtes Schema besser ist als ein anderes.

  2. Wählen Sie eine feste Konstante n. Ich denke an mindestens n ≥ 64, wenn das wichtig ist.

    a. Das erste Schema besteht darin, jedes Mal, wenn das Kennwort geändert werden muss, eine neue unabhängige Zufallszeichenfolge mit n-Bit-Entropie auszuwählen.

    b. Das zweite Schema besteht darin, eine feste Zufallszeichenfolge mit (n + 10) -Bit-Entropie auszuwählen und einen Zähler anzuhängen, der jedes Mal erhöht wird, wenn das Kennwort geändert werden muss.

    3. ol>

    Die Frage ist, ob (b) für gängige Arten von passwortgeschützten Systemen mindestens so sicher ist wie (a).

https://www.cesg.gov.uk/articles/problems-forcing-regular-password-expiry
Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/39729/discussion-on-question-by-user21820-is-it-acceptable-practice-to-only-increment).
Dies ist ein Grund, warum einige häufig ablaufende Passwörter insgesamt als ** weniger ** sicher betrachten.Die einzige Möglichkeit für einen Benutzer, sich das Kennwort vernünftigerweise zu merken, wenn er es beispielsweise alle drei Monate ändern muss, besteht darin, entweder ein einfaches Inkrement zu verwenden oder es aufzuschreiben. Beides ist wahrscheinlich schlechter als ein weniger häufiger Ablauf (dh:Einmal pro Jahr).
Zwölf antworten:
Sjoerd
2016-05-12 14:45:35 UTC
view on stackexchange narkive permalink

Wenn ein Angreifer Ihr Kennwort herausgefunden hat, kann er auf das System zugreifen, bis Sie das Kennwort ändern. Durch das Ändern von Kennwörtern wird häufig verhindert, dass Angreifer, die bereits über Ihr Kennwort verfügen, auf unbestimmte Zeit unerkannten Zugriff haben.

Wenn Ihr Kennwort nun secret-may16 lautet und der Angreifer beim Ändern Ihres Kennworts gesperrt ist wird er sicherlich secret-june16 als Passwort versuchen. Eine vorhersehbare Änderung des Kennworts ist daher nicht sicher.

Okay, das ist ein Punkt, den ich nicht berücksichtigt habe.Aber nur dumme Angreifer würden sich darauf verlassen, über das Passwort einzusteigen.Einmal im ersten Mal hätte der Angreifer einen Trojaner pflanzen müssen.
@user21820 Hängt davon ab, um welches Passwort es sich handelt.Wenn es sich um ein Passwort für einen Webservice handelt, wie können Sie einen Trojaner pflanzen?
@Anders: Wenn es sich um einen Webdienst handelt, hätte der Angreifer vermutlich sofort tun müssen, was er wollte.Aber ich gebe zu, dass Sie einen Punkt haben, da einige ** gute ** Webdienste (wie Google Mail) Ihr Konto teilweise einfrieren, wenn Sie es bis zur Überprüfung der Identität als eingebrochen melden, sodass der Angreifer vor dem Ändern zweimal überlegen mussdas Passwort.
@Anders: Aber das heißt, ich persönlich betrachte einen Verstoß bereits als "Worst-Case" ...
@user21820 Sobald der Angreifer angemeldet ist, versucht er, einen Trojaner (oder eine andere Malware) zu installieren, um einen dauerhaften Halt zu gewährleisten.Um zum ersten Mal zu gelangen, versuchen sie möglicherweise, Phishing-Schemata zu verwenden, um Passwörter abzurufen.Wenn das Kennwort abgelaufen ist, versucht der Angreifer möglicherweise, das neue Kennwort zu erraten, indem er die Anzahl erhöht.
@user21820: Bei gleichem System.Der Angreifer hat jetzt möglicherweise einen starken Hinweis auf das Schema Ihrer Kennwörter, die auch für andere Systeme verwendet werden.
@user21820: Es geht nicht nur um Personen, die Ihr eindeutiges Passwort haben, bevor Sie es ändern.Es geht auch um Leute, die Ihr gesalzenes Hash-Passwort erhalten und versuchen, es zu knacken.Es kann länger dauern, bis sie Ihr Passwort geändert haben, aber selbst wenn dies der Fall ist und Ihr Passwort vorhersehbar auf Ihrem alten Passwort basiert, können sie Ihr neues Passwort aus demjenigen herausfinden, das (zu der Zeit)sie haben es bekommen) war zu alt, um es zu benutzen.
Daher ist jedes Mal ein neues n-Bit-Wort gegen dieses Szenario besser als ein wiederverwendetes n + 10-Bit-Wort zusammen mit einem Zähler.Obwohl natürlich, wenn +10 zufällig der Unterschied zwischen einem dummen n ist, das klein ist und brutaler Gewalt ausgesetzt ist, und einem n + 10, das in Ordnung ist, das zweite Schema gewinnen würde, weil dieses Szenario davon abhängt, dass jemand es bekommtIhr altes Passwort nach dem Punkt, an dem es für sie direkt nützlich wäre.Durchgesickerte Passwörter sitzen vermutlich * manchmal * eine Weile herum, bevor sie verwendet werden, unabhängig davon, wie sie erworben wurden.
@SteveJessop: Fair genug.Obwohl ich angenommen hatte, dass das gesalzene Hash-Passwort durch die Verwendung einer kryptografischen Hash-Funktion und 1024-Bit-Salt- und Hash-Längen, die diesen Punkt in Frage stellen würden, nicht knackbar sein sollte, aber wie Sie sagen, wennPasswort wurde irgendwie durchgesickert ** dann ** ist ein Schema eindeutig besser als das andere.
@user21820: Wenn n beispielsweise 10 ist, kann das gesalzene Hash-Passwort unabhängig von der Menge an Salz oder dem von Ihnen verwendeten Hashing-Algorithmus geknackt werden, vorausgesetzt, der Hacker kennt das Salt und den Algorithmus (der zum Zeitpunkt des Diebstahls einer Passwortdateies sollte angenommen werden, dass sie es tun) ;-) Wenn andererseits n 128 ist, dann macht das Hinzufügen von 10 oder nicht einen Unterschied zu einem mir bekannten Angriffsszenario.Die Antwort, welches Ihrer Schemata besser ist, hängt also * geringfügig * von n ab, aber für großes n ist das erste besser, da es andere Möglichkeiten gibt, alte Passwörter zu erhalten als aus Hashes.
In der Praxis ist der Grund, warum Menschen Zähler verwenden, der, dass es mehr als +10 Unterschied macht.Es gibt mindestens drei Passwörter, die ich mir merken und häufig verwenden muss und die ich zufällig generiert habe und die jeweils aus mehr als 10 Zeichen bestehen. Nennen Sie es also mehr als 50 Bit.Aber wenn ich sie jeden Monat ändern müsste, könnte ich mich wahrscheinlich nicht an 3 zufällige Passwörter erinnern, die zwei Zeichen kürzer sind und sich ständig ändern.Ich wäre also zumindest versucht, einen Zähler (oder tatsächlich einen Passwort-Manager) zu verwenden.
@SteveJessop: Ich habe in der Tat Präfixe mit 100-Bit-Entropie im Sinn, die daher sicher genug schienen, um in Ruhe zu bleiben und nur den Zähler zu wechseln.Natürlich werfen die verschiedenen Punkte, die Sie und andere bisher angesprochen haben, Zweifel an der ** praktischen ** Sicherheit eines solchen Schemas auf, trotz der ** theoretischen ** Unzerbrechlichkeit.
@user21820: Nun, sowohl theoretisch als auch in der Praxis kann ein altes Passwort irgendwie auslaufen (vielleicht überprüft niemand das "böse Protokoll" monatelang, wenn Sie es versehentlich in die falsche Website eingegeben haben, oder Spione haben es gesammelt, indem sie Sie in einem Internetcafé gefilmt habenhatte aber bis heute keinen Grund, Sie weiter zu untersuchen).Lassen Sie sich nicht von "theoretisch" dazu verleiten, alle Angriffsszenarien außer einem zu ignorieren, das ist nicht nur "theoretisch", sondern "in meiner Vorstellung" :-)
@user21820 Wenn Ihre Theorie den Passwortverlauf nicht berücksichtigt, würde ich zustimmen.Da Sie jedoch explizit nach einem Passwort fragen, das sich im Laufe der Zeit umwandelt, ist es etwas frech, eine Theorie zu verwenden, die dies nicht berücksichtigt.Ihr erstes Passwort enthält möglicherweise insgesamt 108 Bit Entropie.Ihr nächstes Passwort hat 0 Bit Entropie, da beide Teile vollständig vorhersehbar sind.
@SteveJessop ist Ihr hoch bewerteter Kommentar wahr?Mein Verständnis von Verschlüsselung bedeutet, dass Zeichenfolgen, auch wenn sie nur ein Zeichen voneinander entfernt sind, völlig unabhängige Hashes ergeben sollten.Wenn sie korreliert wären, könnte man im Prinzip auf ähnliche Passwörter zurückgreifen, wie Sie angeben.Bitte lassen Sie mich wissen, wenn ich im Irrtum bin.
@anon0909: Mein Kommentar ist wahr und hat nichts mit Hashes zu tun.Wenn ich weiß, dass Sie Ihr Passwort aufgrund von Unternehmensrichtlinien einmal im Monat ändern, und ich auch irgendwie erfahre, dass Ihr Passwort im letzten Monat "uodnfhApril2016" war, spielt es keine Rolle, ob der Hash von "uodnfhMay2016" dem Hash von ähnlich ist"uodnfhApril2016" oder nicht, ich gehe einfach weiter und vermute, dass Ihr Passwort jetzt "uodnfhMay2016" ist.Dies ist das Risiko, dem Sie durch die Verwendung eines Zählers ausgesetzt sind.
Lukas
2016-05-12 14:45:53 UTC
view on stackexchange narkive permalink

Sie sollten dieses Schema nicht verwenden, da ein Angreifer, sobald dieses Kennwort bekannt ist, die "späteren" Kennwörter ableiten kann.

Dies kann in diesen Fällen der Fall sein Situationen:

  • Das Passwort wird zwischen Ihnen und einigen anderen missbrauchten Personen geteilt, und eines Tages entscheiden Sie sich, ihnen nicht mehr zu vertrauen. In diesem Fall könnten sie leicht die nächsten Passwörter erraten.
  • Ein Angreifer erhält das Passwort. Sobald er es geknackt hat (was einige Zeit dauern kann), kann er die Ableitungen des Passworts erraten.

Durch die Verwendung solcher "nummerierten Passwörter" zerstören Sie den (kleinen) Sicherheitsvorteil einer Änderung Passwörter regelmäßig.

Verwandte Frage: Wie erhöht das Ändern Ihres Passworts alle 90 Tage die Sicherheit?

Der erste Punkt ist nicht relevant, da es sich um einen Benutzer handelt, der absichtlich ein ausreichend langes, völlig zufälliges Präfix wählt, sicherlich nicht um jemanden, der sein Passwort weitergibt.Was das Knacken und anschließende Erraten der Ableitung des Passworts angeht, habe ich dies bereits berücksichtigt, indem ich den Benutzer aufgefordert habe, 10 Bit zu dem hinzuzufügen, was er getan hätte, wenn er das Passwort vollständig geändert hätte.
Darüber hinaus würde nur eine dumme Person, die beschließt, jemandem nicht mehr zu vertrauen, dasselbe Passwort verwenden, von dem sie wusste, dass es mit diesem geteilt wurde.
Selbst wenn Ihr Passwort 100-stellig war, kann es dennoch zu möglichen Angriffen wie Keyloggern, Trojanern, Malware auf der Serverseite kommen. Es reicht also möglicherweise nicht aus, sich nur auf die Rechenstärke des Passworts zu verlassen.Ich möchte nicht sagen, dass Ihr System völlig unsicher ist - Sie verlieren nur die * Vorteile * der Passwortänderung.Und noch ein Hinweis: Weder Google noch Microsoft oder Facebook verlangen, dass Sie Ihr Passwort ändern.
Und über das Teilen von Passwörtern ... Ich habe dies manchmal in Unternehmen / Verbänden gesehen - deshalb habe ich es erwähnt (auch wenn es in Ihrem Fall möglicherweise nicht relevant ist).
Wie gesagt, du beantwortest meine Frage nicht!Mein allererster Satz besagt, dass meine Frage passwortgeschützte Systeme betrifft, bei denen Benutzer ihre Passwörter regelmäßig ändern müssen.Ob es gut ist oder nicht, ist für meine Frage irrelevant.
Zweitens habe ich speziell darum gebeten, dieses Passwortänderungsschema mit dem bekannten optimalen Schema der vollständigen Änderung des Passworts zu vergleichen.
@user21820 Ich bin mir nicht sicher, wie dies Ihre Frage nicht beantwortet.Ihre wörtliche Frage lautet wie folgt: "Gibt es einen konkreten Grund, warum Benutzer dieses Schema nicht zum Ändern von Kennwörtern verwenden sollten?"Worauf die Antwort der zweite Punkt dieser Antwort ist: Sollte ein Passwort kompromittiert werden, sind alle kompromittiert, und da es in der realen Welt lange dauern kann, bis der Kompromiss erkannt wird, ist dies ein sehr reales Problem.
@Cronax: Der zweite Punkt in dieser Antwort geht von Rissen aus, die in dem von mir vorgestellten Szenario nicht möglich sein sollten.Wie in anderen Antworten erwähnt, ist das Knacken nicht der einzige Weg, auf den ich bei der ersten Frage nicht genug geachtet habe.
@user21820 Vielleicht war Ihre beabsichtigte Frage "Hat die Verwendung eines Inkrementierungsschemas einen wesentlichen Einfluss auf die Gesamtentropie eines Passworts", auf die die Antwort lautet "nicht direkt, aber sobald eine Instanz irgendwie bekannt ist, haben die übrigen nur eine Entropie gleichauf ein Passwort mit der Länge der Anzahl der Zeichen im Inkrementierungsschema, möglicherweise weniger, wenn dieses Schema ein klares Muster enthält (dh Mai 2016) "
An diesem Punkt wird es irrelevant, ob dies durch Cracken oder Social Engineering oder eine andere Methode geschehen ist
@Cronax: Nun, mathematisch ist die Antwort bereits klar.Wenn Sie ein wenig am Passwort ändern, erhalten Sie offensichtlich eine geringe bedingte Entropie.Ich habe nur die (im Nachhinein) dumme Annahme gemacht, dass das Knacken die natürliche Art und Weise ist, wie das Passwort gebrochen wird.
woliveirajr
2016-05-12 19:20:29 UTC
view on stackexchange narkive permalink

Das Ändern nur eines Teils des Passworts ist sehr häufig und eine sehr schlechte Praxis.

Entropie ist ein Maß dafür, wie unbekannt etwas ist. Wenn Sie zum ersten Mal einen zufälligen festen Anfang oder ein ganz neues Passwort wählen, beide mit der gleichen Entropie, sind beide Alternativen gleichwertig. Ok.

Wenn Sie für die Zeit, in der Sie Ihr Passwort ändern müssen, völlig sicher sind, dass kein vorheriges Passwort entdeckt wird, sind Sie auch gut. Weil etwas, das nicht bekannt ist, die gleiche Entropie beibehält.

Aber ... und es gibt immer ein Aber ... was ist, wenn ein vorheriges Passwort wiederhergestellt wird? Oder zwei?

Dies kann bei Sites / Systemen passieren, die vorherige Kennwörter im Klartext speichern. Kann auch bei Sites / Systemen auftreten, auf denen vorherige Kennwörter als Hashes gespeichert sind.

Da Klartext leicht anzeigt, dass Ihr vorheriges Kennwort IamGod_april16 war. Und jemand wird versuchen, IamGod_may16 zu verwenden ... Nur ein Teil auf vorhersehbare Weise zu ändern, macht Ihr neues Passwort leicht verfügbar.

Selbst wenn es als Hash gespeichert wurde: Es wird schwieriger, wenn es richtig gemacht wird. aber was ist, wenn jemand den Hash bremst und herausfindet, wie Ihr Passwort lautete? Er kann dann IamGod_december18 ausprobieren, und wenn Sie Ihr Schema in Zukunft nicht geändert haben ... Knall! Wurde wegen eines Lecks getroffen, das 2 Jahre zuvor aufgetreten ist.

Sehen Sie, dass es keine Rolle spielt, ob der Teil "IamGod_" zufällig ist, von Menschen gelesen werden kann oder was auch immer: Was Sie tritt, ist dieser Teil Wenn Sie einige Informationen verlieren können: den Monat, die Nummer, den Buchstaben am Ende ... Selbst wenn Ihr Schema "IamGodh" wäre, könnte jemand "IamGodi", "IamGodj" usw. ausprobieren.

Der erste Teil der Antwort auf Ihre spezifische Frage, ob das (b) Schema weniger, gleich oder sicherer als (a) ist: Es ist nicht sicherer. Denn wenn Sie nur eine sich ändernde Zahl, einen sich ändernden Monat, einen sich ändernden Buchstaben verwenden ... ist es am Ende sehr einfach, neue Kombinationen auszuprobieren, sei es offline oder in einem Online-System.

Und da ist der zweite Teil: Selbst wenn Sie ein sehr gutes Schema entwickeln und der sich ändernde Teil sich in der Mitte des Passworts befindet ... was ist, wenn jemand zwei oder mehr alte Passwörter wiederherstellt? Und findet heraus, dass sie "3VQ2NMkK", "3VQ3NMkK" und "3VQ4NMkK" waren? Können Sie ein Muster erkennen?

(a) und (b) können also sogar gleich sicher sein, wenn Ihr Schema nicht erkannt wird. Es ist jedoch eine starke Annahme, dass man ein gutes Schema entwickeln kann, daher ist es im Allgemeinen sehr sicher anzunehmen, dass (b) für jede Art von System weniger sicher ist.

Dies setzt natürlich voraus dass das System irgendwie kaputt geht: dass die Datenbank durchgesickert ist, weil jemand in eine Site eindringt oder weil einige interne Leute die Datenbank kopieren oder jemand das Sicherungsband verliert oder die Jungfrau einen Man-in-the-Middle-Angriff innerhalb des Unternehmens ausführt oder weil ein Update auf der Site das Passwort durchgesickert ist oder weil der Heartbleed-Angriff einige Passwörter enthüllt hat oder weil das Unternehmen einen alten Computer im Netzwerk verfügbar gemacht hat, oder ...

Angesichts dieser Situationen (und viele mehr) liegen außerhalb Ihrer Kontrolle. Es wird empfohlen, die sichere Seite zu wählen: Gehen Sie nur nicht davon aus, dass alte Passwörter nicht durchgesickert sind.

Die wirkliche Lösung wäre also, eine zufällige, sich ständig ändernde Zeichenfolge am Anfang mit einer zufälligen, sich ständig ändernden Zahl am Ende zu kombinieren!Ich habs!Jetzt muss ich mich nur noch an die Zeichenfolge und die Nummer erinnern ... für mehrere Websites ... die sich im Laufe der Zeit ändern ... ich könnte einen Computer verwenden, um das zu tun!Ja!Lösung gefunden.
Yokai
2016-05-12 18:55:18 UTC
view on stackexchange narkive permalink

Das Beibehalten eines bestimmten Schemas ist niemals eine gute Idee, selbst wenn Unternehmensumgebungen häufige Kennwortaktualisierungen / -änderungen erfordern. Wenn beispielsweise wie in Ihrem Beispiel jemand dieselben Grundzeichen beibehalten und das Kennwort nur durch eine einzige Ganzzahl geändert hat, kann jemand, der ein altes Kennwort lernt, das Schema verwenden, um die Änderungen vorherzusagen. Nehmen wir zum Beispiel das Tool "Crunch". Anhand des von Ihnen angegebenen Beispiels können alle möglichen Permutationen des Schemas generiert und in einem Wörterbuchangriff verwendet werden. 

  #! / Bin / bashcrunch 9 9 0123456789 -t awefjio @@ Crunch wird jetzt generiert Die folgende Datenmenge: 1000 Byte0 MB0 GB0 TB0 PBCrunch generiert jetzt die folgende Anzahl von Zeilen: 100 awefjio00awefjio01awefjio02awefjio03awefjio04awefjio05awefjio06awefjio07awefjio08awefjio07awefjio08awefjio07 Das Beibehalten eines vorhersehbaren Kennwortmusters erleichtert das Hacken in Anmeldeforen, die durch Anmeldeinformationen geschützt sind, sehr einfach. Es wird empfohlen, jedes Mal ein eindeutiges und völlig neues Passwort zu erstellen. Eine andere Bedrohung ist das Sammeln von Informationen beim Hacken. Je mehr ein Hacker über die Gewohnheiten, Vorlieben, Abneigungen, Hobbys, Familiennamen, Geburtsdaten, besonderen Lebensereignisdaten usw. eines Ziels erfährt, desto mehr muss er mit der Erstellung eines Wörterbuchs / einer Wortliste fortfahren, um ein Login zu knacken.  
 Um Ihre Frage zu beantworten, nein, es ist unter keinen Umständen eine gute Praxis, einfache ganzzahlige Inkremente mit Kennwortänderungen zu verwenden.
Simon B
2016-05-12 15:57:40 UTC
view on stackexchange narkive permalink

Ja, das ist es.

Das regelmäßige Ändern von Passwörtern durch Benutzer ist ein kontraproduktives Stück Sicherheitstheater (siehe CESG-Artikel), da Benutzer gezwungen werden, ihre Passwörter aufzuschreiben Passwörter. Wenn es einem Angreifer gelungen ist, ein Kennwort zu erhalten, hat er möglicherweise mehrere Wochen Zeit, um Hintertüren zu installieren oder Gigabyte an Daten vom System zu entfernen, bevor das Kennwort das nächste Mal geändert wird.

Die Verwendung eines einfachen Nummerierungsschemas ermöglicht dies Wenn Sie ein Passwort auswählen, an das Sie sich erinnern können, ohne es aufzuschreiben, können Sie das System so spielen, dass Sie Ihr einprägsames Passwort unbegrenzt weiter verwenden können.

Wenn Ihr vorhandenes Passwort vorhanden ist n Entropiebits, dann hat es weiterhin so viel Entropie wie jedes andere n Bit-Entropiekennwort. Das ständige Wechseln von Passwörtern ändert daran nichts. Durch Hinzufügen einer einzelnen Ziffer am Ende werden etwa 2,3 Bit ( ln (10) Bit) hinzugefügt. Aber selbst wenn Ihr Nummerierungsschema so leicht zu erraten ist, dass es keine Entropie hinzufügt, haben Sie immer noch die n -Bits, mit denen Sie begonnen haben.

Wenn der verwendete Hashing-Algorithmus gut ist, dann Ein Passwort a wird in eine scheinbar zufällige Zeichenfolge gehasht. Ein anderes Passwort b gibt eine scheinbar völlig andere Zeichenfolge an (außer im außerordentlich seltenen Fall einer Hash-Kollision). Es sollte keine Möglichkeit geben, anhand der beiden Hashes festzustellen, ob die beiden Passwörter vollständig unterschiedlich sind oder nur um ein Zeichen variieren (möglicherweise eine Ziffer am Ende). Wenn festgestellt werden kann, ob sich nur ein Zeichen geändert hat, ist Ihr Hashing-Algorithmus fehlerhaft und Sie benötigen einen besseren.

Das gleiche Argument gilt für jedes Verschlüsselungssystem, das zum Übertragen von Kennwörtern von einem Client verwendet wird ein Gastgeber. Wenn zwei ähnliche Passwörter ähnliche verschlüsselte Nachrichten ergeben, ist die Verschlüsselung bereits unbrauchbar.

Das ist genau mein Punkt über die Motivation für meine Frage.Es beantwortet jedoch nicht meine Frage nach der tatsächlichen Sicherheit dieses Schemas im Vergleich zu dem anderen, obwohl ich nicht (nicht) abstimmen konnte.
@user21820 Meine Antwort wurde erweitert.
Ich beantworte meine Frage immer noch nicht!Hast du es sorgfältig gelesen?Ich sagte: "Mathematisch gesehen ist dieses Passwortschema gut genug, da der Angreifer mit den zusätzlichen 10 Bits 1024 Mal so lange versuchen kann, das Passwort zu knacken, im Vergleich zu dem völlig zufälligen, vorausgesetzt, man ändert ein Passwort nicht mehr als 1024 Mal."Und später sagte ich, wenn dieses Schema nicht gut ist, dann hängt es vermutlich "von den Authentifizierungs- oder Verschlüsselungsalgorithmen ab, die selbst beteiligt sind".Insbesondere könnte die Verwendung einer solchen Familie von Passwörtern das Knacken ** aufgrund der gewählten Algorithmen ** erleichtern.
@user21820 Zum dritten Mal Glück gehabt?Siehe neueste Änderungen.
Das ist genau mein Punkt;Wie sicher sind wir, dass unsere Hashing-Algorithmen (zur Authentifizierung) sicher genug sind, um nicht zerbrechlich zu sein, selbst wenn sich alle Passwörter nur im Zähler unterscheiden?
Auf jeden Fall geben einige neue Antworten Gründe dafür an, dass ein solches "Spielen von Kennwortrichtlinien" aus Sicherheitsgründen schlecht ist, selbst wenn perfekte kryptografische Eigenschaften des Systems vorausgesetzt werden.
"Mit einem einfachen Nummerierungsschema können Sie ein Passwort auswählen, an das Sie sich erinnern können, ohne es aufzuschreiben" - der Fragesteller hat dies bereits als +10 Bit Unterschied quantifiziert.Die Frage könnte sich um eine Zahl handeln, die viel größer als 10 ist, ist es aber nicht. Sie gehen also davon aus, dass 10 Bit (2-ish-Zeichen) sicherstellen, dass der Benutzer des ersten Schemas die Zahl schreiben mussPasswort nach unten, während der Benutzer des zweiten Schemas dies nicht tut.Wenn die Frage lautete "sollte ich ein neues 12-Bit-Passwort oder ein 112-Bit-Passwort plus Zähler verwenden", wäre das Argument für den Zähler stärker.
(oder besser gesagt, das Argument gegen ein 12-Bit-Passwort wäre so ein Knaller, dass das zweite Schema trotz des kleinen Nachteils des Zählers leicht gewinnen würde).
John Deters
2016-05-12 19:03:48 UTC
view on stackexchange narkive permalink

In Ihrem Fall wird die Sicherheit des Sequenzierungsschemas hauptsächlich aufgrund nicht kryptologischer Faktoren verringert. Betrachten Sie das Schulter-Surfen. Wenn Sie Tag für Tag, Jahr für Jahr dasselbe Passwort eingeben, können Ihre Mitarbeiter oder andere Beobachter die Muster bemerken. Sie können dasselbe Kennwort an verschiedenen Orten mit unterschiedlichen physischen Sicherheitsstufen eingeben, z. B. in einem Kaffeehaus, in dem eine normale Kamera das Kennwort abrufen kann.

Betrachten Sie den Fall, in dem der Angreifer das Wissen nicht gleichzeitig mit dem Erlernen nutzt. Ich bin vielleicht ein Mitarbeiter, der Ihr Passwort letztes Jahr versehentlich beobachtet hat, aber dieses Jahr sind wir bittere Rivalen für denselben Account. Zu wissen, dass eines Ihrer alten Passwörter qwerty1007 und ein anderes qwerty1011 war, bedeutet, dass ich mit einigen ziemlich einfachen Vermutungen erfolgreich sein werde.

Durch die Verwendung eines Musters erhöhen Sie das Verlustrisiko über einen längeren Zeitraum.

[Ihr Vorschlag ähnelt oberflächlich einem allgemeinen Schema, das von Zwei-Faktor-Authentifizierungssystemen verwendet wird. Ein Benutzer muss ein gespeichertes Kennwort eingeben und einen Code eingeben, der auf seinem Hardwaregerät angezeigt wird.

Der Grund für die Sicherheit ist jedoch nicht, dass die Sicherheit durch die Größe des Codes aus dem Token deutlich verbessert wird. Das System begrenzt die Anzahl der falschen Kennwort- und Code-Vermutungen auf eine endliche Anzahl und sperrt dann die Benutzer-ID. ]

Zulässige Begründung;Vielen Dank.Jetzt frage ich mich, wie sicher Passwörter vor berührungsloser physischer Beobachtung sind.
Außerdem erhöht sich das Hardwaregerät in den guten Versionen dieses Schemas nicht nur, es ist ein sicheres PRNG.Wenn ich weiß, dass es vor drei Wochen qwerty1007 war und gestern qwerty1011, sagt mir das nur, dass es heute qwerty plus 4 Ziffern ist, während ein inkrementierender Zähler mir sagt, dass es heute mit ziemlicher Sicherheit entweder qwerty1011 oder qwerty1012 ist.Das PRNG reicht aus, dass begrenzte Versuche vor dem Sperren die meisten Versuche, die 4 Ziffern zu erraten, tatsächlich stoppen.Wenn es nur erhöht würde, würde der Angreifer nur 2 Vermutungen benötigen, würde also nicht ausgesperrt werden ...
DRF
2016-05-12 18:31:24 UTC
view on stackexchange narkive permalink

Ich würde die Erklärung, die Sjoerd gibt, etwas näher erläutern und sie aus einem etwas anderen Blickwinkel betrachten.

Zunächst sollte man sich fragen, welches Sicherheitsziel durch die geplante (im Gegensatz zur reaktiven) Änderung von Passwörtern erreicht wird ? Warum zwingt Sie Ihre Sicherheitsabteilung oder Ihr Best-Practice-Dokument dazu, alle paar Monate ein Kennwort zu ändern?

Es gibt mehrere Gründe:

  1. , um Brute Force zu erschweren Angriffe

    Wenn jemand Zugriff auf den Hash Ihres Passworts erhält, dauert es wahrscheinlich eine ganze Weile, bis er es schafft, ihn zu brechen. Wenn die Zeit für einen Brute-Force-Angriff länger als die Gültigkeitsdauer des Kennworts ist, können sie nicht vom Erhalt des Kennworts profitieren, da Sie es bereits geändert haben.

  2. Um die Zeitspanne zu begrenzen, in der ein kompromittiertes Passwort nützlich sein kann

    Menschen stellen nicht immer fest, dass ihr Passwort kompromittiert wurde. Durch eine regelmäßige Kennwortänderung wird sichergestellt, dass der Angreifer durch das Kennwort nicht für immer eindringen kann. (Natürlich haben Sie in einigen Fällen, in denen sie einmal angemeldet sind, immer aufgrund von Malware, was Sie haben, aber dies ist nicht immer der Fall.) Dies gilt auch für Situationen, in denen der Angreifer den Kompromiss aufgrund von nur spät erfährt Einige Umstände.

  3. Um die Wiederverwendung von Passwörtern etwas einzuschränken

    Benutzer verwenden ihre Passwörter häufig in mehreren Systemen (beruflich und privat) wieder. Die meisten privaten Systeme (Google Mail, die Webseite für die Registrierung von Sportzentren usw.) erzwingen keine regelmäßigen Kennwortänderungen. Daher besteht die Möglichkeit, dass Kennwortänderungen auch dann auftreten, wenn der Benutzer überall mit demselben Kennwort beginnt.

  4. Um die Hash-Angriffe zu binden

    Wenn ein Angreifer nur Zugriff auf den Hash Ihres Passworts erhält, kann er diesen Hash häufig verwenden, um sich bei den Systemen zu authentifizieren, wenn er es ist raffiniert genug. Durch Ändern des zugrunde liegenden Kennworts wird der Hash geändert und der Angreifer erneut gestoppt.

    5. ol>

    Nun können wir fragen, wie sich die beiden von Ihnen vorgeschlagenen Schemata gegen die von uns skizzierten Ziele verhalten. In jedem Fall, in dem der Angreifer Zugriff auf den Klartext Ihres Passworts erhält (sicherlich 1,2), ist das erste Schema (Inkrementieren) viel schwächer als das zweite. Jeder nicht hirntote Angreifer versucht eine Inkrementierung. In der dritten Situation ist es etwas schwieriger zu beurteilen, da es davon abhängt, ob das Passwort für den externen Dienst überhaupt den Zähler enthält und wie sich die Verordnung im Allgemeinen tatsächlich auswirkt. Für das vierte Ziel entspricht die Inkrementierung weitgehend dem zweiten Schema, vorausgesetzt, die verwendete Hash-Funktion verhält sich eng genug wie ein zufälliges Orakel.

    Alles in allem ist das Inkrementieren des Zählers für ein Passwort sicherlich viel schwächer als die Auswahl neue willkürliche Passwörter, aber wie viel davon abhängt, welche Art von Angriffen Sie erwarten.

Dies sind alles sehr häufig genannte Gründe, aber jeder ist auf seine Weise falsch.1) Brute Force sollte durch starke Hashing-Protokolle wie PBKDF2 gemindert werden.2) Ein Angreifer stellt sich fast immer als ersten Schritt eine alternative Hintertür zur Verfügung.3) Dieses Schema ist so häufig und schwach, dass jeder, der das ursprüngliche Passwort kennt, alle gängigen Permutationen des Passworts errät.4) Dies ist ein weiteres Implementierungsproblem.Hashes müssen unabhängig von den Passwörtern und viel schneller ablaufen.
@JohnDeters Hmm, ich kann dir nicht wirklich zustimmen.Im zweiten Fall kann es vorkommen, dass keine alternative Hintertür bereitgestellt werden kann (z. B. Benutzerzugriff auf einen Mailserver).Ich stimme der Tatsache zu, dass Brute Force durch starke Hashing-Protokolle gemindert werden sollte, aber keine Anzahl von Iterationen spart Ihnen, wenn Ihr Benutzer falsche (ish) Passwörter wählt.3) Ich sehe nicht, wie wir uns hier nicht einig sind, ich sage, das Schema ist schlecht.4) Nicht anderer Meinung, aber Sie können nicht immer auswählen, welche technische Lösung verwendet wird.
Vielen Dank.(1) kann ignoriert werden, da der Benutzer in meiner Frage natürlich ein ausreichend großes n auswählt.(2) entspricht in etwa dem Grund von Sjoerd, der gültig ist.(3) funktioniert überhaupt nicht;Fast jeder, den ich kenne, verwendet Varianten seines ursprünglichen Passworts genau wie in meiner Frage beschrieben, obwohl es aufgrund des ursprünglichen Passworts schlecht ist.In meinem Fall ist dies jedoch nicht relevant, da ich nicht das gleiche Präfix für verschiedene kennwortgeschützte Systeme verwenden wollte.Das ist dumm.(4) ist wirklich dumm, da jedes System, das jedes Mal den gleichen Hash verwendet, es nicht wert ist, mit einem sicheren Passwort verwendet zu werden ...
Bei einem zufälligen Kennwort ist es unwahrscheinlich, dass das Erkennen eines identischen Hashs das tatsächliche Kennwort ergibt. Wenn Sie also wissen, dass es eine Zahl gibt, die bestenfalls inkrementiert wird, ergibt sich die Tatsache, dass es sich nicht um das tatsächliche Kennwort handelt. Ein Angreifer kann dies nicht erratennächstes Passwort.
@jmoreno Das ist eine ziemlich starke Behauptung.Können Sie das mit Mathe belegen?Soweit ich weiß, ist es sogar unbekannt, ob so etwas wie SHA256 bei Eingängen mit einer Größe von 256 Bit eins zu eins ist.Selbst wenn dies nicht der Fall wäre, ist es sehr wahrscheinlich, dass es bei kleinen Eingaben eins zu eins ist (das übliche Passwort ist weniger als 128 Bit oder 16 Zeichen lang).
@user21820 Für Nummer 4) Das heißt, Sie bauen immer Ihr eigenes Betriebssystem?Da alle Betriebssysteme, die ich kenne, Hashes von Passwörtern speichern und den Hash erhalten, entspricht dies im Wesentlichen dem Abrufen des Passworts für Remote-Authentifizierungsversuche.Es ist tatsächlich ein bisschen schlimmer als das, da Sie einige Ergebnisse über den Hashwert für Kennwortauthentifizierungsschemata anzeigen können, aber das wäre wahrscheinlich sinnvoller, im Chat zu diskutieren, als Kommentare.
@DRF: nein, und ich hätte es nicht sagen sollen, da es wirklich von Faktoren abhängt, die nicht abgedeckt sind (wie lang ist das Passwort, gibt es Längenbeschränkungen, welcher Hashing-Algorithmus wird verwendet, welche Zeichen sind zulässig usw.).
@DRF: Ich hätte gedacht, dass der Client beim Erstellen eines Kontos das Kennwort hashen und damit ein RSA-Schlüsselpaar generieren und nur den öffentlichen Schlüssel an den Server senden würde (über HTTPS), wo er zusammen mit dem gesalzenen Hash gespeichert wirdPasswort (mit einem anderen Hash).Die Authentifizierung des Servers würde dann eine mit dem öffentlichen Schlüssel des Benutzers verschlüsselte Herausforderung senden, die nur der Benutzer mit dem Kennwort entschlüsseln kann, und der Client antwortet mit dem gesalzenen Hash-Kennwort (über HTTPS).Ein Angreifer, der die Datenbank mit gehashten Passwörtern und Salzen erhält, kann die Herausforderung nicht entschlüsseln.
(Die Herausforderung umfasst natürlich das Salt und ein Nonce. Außerdem ist die Verwendung von RSA nicht erforderlich; jede Verschlüsselung mit öffentlichen Schlüsseln reicht aus.) Ich bin bei weitem kein Experte, aber wenn ich selbst ein solches Schema entwickeln kann, würde ich jedes erwartenrichtiges Authentifizierungssystem, um zumindest besser zu sein als meins ...
@user21820 Hmm, das ist eher für einen Chat, aber im Wesentlichen lautet die Antwort: Nein, so ziemlich nichts davon passiert und es gibt einige Gründe, warum nicht.
@DRF: Oh, warum wird das nicht gemacht?Das auf Wikipedia beschriebene SCRAM-Schema ähnelt meinem Schema.Ich habe nichts dagegen zu chatten, aber es ist noch kein "Weiter im Chat-Link" erschienen ...
@user21820 Versuchen Sie, http://chat.stackexchange.com/rooms/39839/authentication-using-hashes beizutreten, wenn dies möglich ist
Dewi Morgan
2016-05-12 19:37:49 UTC
view on stackexchange narkive permalink

Wenn Ihre Passwortdatenbank durchgesickert ist, kann es einige Zeit dauern, bis ein gutes Passwort geknackt ist. Zu diesem Zeitpunkt mussten Sie höchstwahrscheinlich Ihr Passwort ändern. Dieses Konzept ist ein wesentlicher Grund dafür, dass diese erzwungenen Kennwortrücksetzungen im "Sicherheitstheater" existieren.

Der Zugriff auf Ihr Konto wird jedoch normalerweise mithilfe eines automatisierten Skripts abgewickelt. Wenn das versuchte Kennwort fehlschlägt, hat das Skript bis zur Sperrung noch einige weitere Versuche. Wenn am 12. Mai 2016 ein Kennwort wie "fredJune15" abgelehnt wurde und das Skript darüber informiert wurde, dass die Daten im Juli 2015 erfasst wurden, versucht das Skript möglicherweise fredApril15, fredApril12, fredApril16 vor der Sperrung: Sie haben das Skript angegeben Hinweise für zu versuchende Dinge.

Wenn das Skript die Kennwortrücksetzperiode für Ihr System kennt oder sie erraten kann, kann es mit einer einfachen inkrementierenden Zahl erraten, wie oft die Zahl haben wird wurde erhöht. "Fred12" wird also nach sieben erzwungenen Zeiträumen zum Zurücksetzen des Passworts mit ziemlicher Sicherheit "fred19" sein. Die Zeiträume für das Zurücksetzen von Passwörtern betragen fast immer einen Monat, daher funktioniert das Erraten fast immer.

Bemerkenswert: Wenn Sie dasselbe Passwort auf mehreren Systemen verwenden, jedoch mit unterschiedlichen Nummern, da eines bei einem anderen erhöht wird Wenn ein System gefährdet ist, sind es beide Systeme.

Kurz gesagt: Nein, generieren Sie jedes Mal ein neues zufälliges Kennwort. Verwenden Sie einen Passwort-Manager. Wenn Sie die Zwei-Faktor-Authentifizierung verwenden können, tun Sie dies.

Normalerweise empfehle ich auch die Verwendung von Passwort-Managern.Viele der Orte, an denen häufige Kennwortänderungen erzwungen werden, sind jedoch Computeranmeldungen am Arbeitsplatz, an denen Kennwortmanager keine Hilfe sind.Dafür verwende ich eine Passphrase ... aber ich bin nicht 100% zufrieden damit, mir alle paar Monate eine neue zu merken oder jeden Tag mehr als 40 Zeichen einzugeben, wenn ich mich an meinem Arbeitscomputer anmelde.
Lilly
2016-05-13 00:51:33 UTC
view on stackexchange narkive permalink

Sie sollten ein komplett neues Passwort eingeben.

Wenn kein Verstoß vorliegt, wird der Wert bei ständig wechselnden Passwörtern nicht angezeigt. Wenn Sie jedoch Kennwörter drehen, ist dies der Schlüssel:

Sie möchten das Kennwort mithilfe eines Systems mit derselben vermutlich sicheren Einschränkung neu generieren, unter der Sie das ursprüngliche Kennwort erstellt haben. Das heißt, Das Inkrementieren einer Zahl ist NICHT akzeptabel, da Sie nur eine Änderung von einem Byte vornehmen, da Sie wahrscheinlich von einem Generator P3588swrOd4 erhalten haben.

Wenn Ihre Passwortregeln also 3 zufällige Zufallswörter sind, wählt "BadgerYtterbiumLancet" ein neues Non aus - Zufälliges Wort, es macht Ihr Passwort viel erratender, "BadgerFoxSquirrel".

Das andere große Problem, wenn Sie nur Passwörter erhöhen, ist, dass es eine Situation schafft - sagen Sie, Ihr Unternehmen tut dies seit 10 Jahren ... Menschen Ändern Sie die Passwörter jeden Monat. Sie erstellen Hashes der Passwörter, die einander gefährlich ähnlich sind. (Aus diesem Grund verwenden Sie alles, was "zufällig" ist, "wählt" Passwörter aus - die Leute verwenden normalerweise ein Passwort, eine gebräuchliche Phrase usw.) Sie möchten für jedes Passwort so viel Einzigartigkeit wie für einander - Sie möchten neue Passwörter behandeln Passwörter für das Gleiche wie neue Passwörter. Das heißt, Passwort1, Passwort2, 3,4,5 usw. Dies endet an einem wirklich schlechten Ort. Noch schlimmer, wenn Sie kompromittiert sind und das Problem beheben. Wenn Ihre Daten für den Cracker wertvoll sind, können Sie darauf wetten, dass sie nahezu Variationen dessen versuchen, was sie zuvor als funktionierend befunden haben.

Außerdem sollte dies beachtet werden dass es für Personen außerhalb Ihres Unternehmens (dh entlassene / alte Mitarbeiter) unsicher ist, die Methode zur Kennwortgenerierung zu kennen. Auch dies ist der Grund, warum ich auf das 'Zufällige' zurückweise - niemand sollte wissen, wie Sie Ihre Passwortgenerierung über etwas Unbestimmtes hinaus vorhersagen können: "Sie haben 4 zufällige Wörter im Wörterbuch ausgewählt" oder "Sie haben einen starken Zufallspasswortgenerator verwendet". P. >

Sie erstellen Hashes der Passwörter, die einander gefährlich ähnlich sind: Haben Sie aktuelle Beispiele für Hash-Algorithmen, die dies tun?
sonofapharmacist
2016-05-13 17:53:05 UTC
view on stackexchange narkive permalink

Wenn ich Passwörter knacke, erhalte ich Ihr neues Passwort innerhalb derselben Sekunde, wenn Sie nur inkrementieren. Dies liegt daran, dass ich angehängte und vorangestellte Passwörter vor allem anderen versuche und erst nach QWERTY-bezogenen Schemata und der grundlegenden Liste der entdeckten Passwörter, da es meine Erfahrung ist, dass wir Menschen dazu in der Lage sind.

Paul Pehrson
2016-05-14 04:50:33 UTC
view on stackexchange narkive permalink

Wahrscheinlich nicht die sicherste Antwort, aber ich habe kürzlich Ratschläge zur Verwendung von Passwörtern erhalten, die sich regelmäßig ändern: Was ist Ihr Ziel oder etwas anderes, auf das Sie sich in den nächsten X Monaten freuen? Verwenden Sie das, um ein Passwort zu erstellen. Wenn Sie also eine Reise nach Disney World unternehmen, bevor Ihr Passwort abläuft, können Sie etwas wie Looking4wrd2SpaceMtn tun!

In X Monaten, wenn dieses Passwort abläuft, sollten Sie etwas anderes in Betracht ziehen, vielleicht ein Ziel, an dem Sie arbeiten: Wrk-out-35mincard! o

Ihr Passwort kann nicht abgeleitet werden Vorherige Passwörter (wenn Sie klug sind) haben eine anständige Länge und helfen Ihnen, sich an ein Ziel zu erinnern, an dem Sie arbeiten, oder an ein Ereignis, auf das Sie sich freuen.

Wenn der Trick versucht, sich zu erinnern Das Passwort und es ändert sich häufig, ich denke, das ist keine schreckliche Option.

Interessante Idee!Ich denke, es ist weitaus besser als das, was die Leute normalerweise tun (nämlich auf eine Haftnotiz zu schreiben und unter die Tastatur einzufügen, wo es sonst niemand sieht, oder einen Zähler zu erhöhen).
Mawg says reinstate Monica
2016-05-15 18:57:01 UTC
view on stackexchange narkive permalink

Sie sind möglicherweise etwas sicher, wenn Ihr Suffix wie ein Geburtsjahr aussieht.

Wenn ich myname1977 verwende, besteht eine geringere, aber wahrscheinlich nicht null Wahrscheinlichkeit, dass jemand, der dieses Passwort kennt, vermutet, dass ich es in myname1978 geändert habe.

Aber warum das Risiko eingehen? (tun, was ich sage, nicht wie ich; ich erhöhe, sondern nur bei der Arbeit, weil dies der einzige Ort ist, an dem ich aufgefordert werde, mein Passwort zu ändern, und für mich ist es jedem im Unternehmen freigestellt, alles zu sehen Mein Arbeits-PC. Ihr Kilometerstand wird definitiv variieren.

Ich persönlich finde Edward Lear eine großartige Inspirationsquelle für Passwörter :-)

Und das einfachste und einprägsamste "Kreuzen Sie alle Kästchen an" mit mindestens 8 Zeichen, einer Zahl, einem Großbuchstaben &. Ein Sonderzeichen ist sicherlich Katze plus ein großer Hund AKA Katze + 1 Hund



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...