Frage:
Sind Regeln zur Komplexität von Passwörtern kontraproduktiv?
IanR
2013-03-08 04:45:58 UTC
view on stackexchange narkive permalink

Beim Erstellen eines Logins für diese Site habe ich ein Nicht-Wörterbuch-Passwort gewählt, das extrem schwer zu erraten, aber leicht zu merken ist.

Mir wurde gesagt, dass es nicht den Komplexitätsregeln entspricht.

Nach mehreren Iterationen habe ich frustriert und nur zum Teufel 'Password1' ausprobiert, was akzeptiert wurde.

Wirft die Frage auf, wie viele Nicht-IT-Mitarbeiter in dieser Situation ebenfalls tätig sind. Golf1? Mercedes1? Metallica1? Vermutlich, wenn Sie den Kerl kennen? Ja.

Bei der Arbeit geben wir Passwörter aus, anstatt Benutzern das Festlegen zu ermöglichen. Wir benutzen unsinnige Wörter. Zum Beispiel Artifubulist. Es gibt Software, um solche Wörter zu generieren. Solche Passwörter sind überraschend leicht zu merken, aber vermutlich sehr schwer zu erzwingen. Leider verhindern Standardregeln für die Kennwortkomplexität auf Microsoft-Servern, dass diese einfache, aber sichere Option verwendet wird. Es sei denn, Sie ändern natürlich die Richtlinie.

Gedanken zu diesem Willkommen.

Mögliches Duplikat von [XKCD # 936: Kurzes komplexes Passwort oder lange Wörterbuch-Passphrase?] (http://security.stackexchange.com/questions/6095/xkcd-936-short-complex-password-or-long-dictionary-passphrase) )
Die Kennwortanforderungen so komplex zu gestalten, dass Sie das Kennwort notieren müssen, scheint ein wenig kontraproduktiv zu sein.Es ist nur eine Frage der Zeit, bis die guten Leute in der IT darum bitten, dass ein klingonischer Charakter in Ihr Passwort aufgenommen wird.
Dies ist Dilberts Einstellung zum Thema: https://dilbert.com/strip/1998-04-06.Ironischerweise klang es 1998 wie Folter (und das ist es auch!), Aber 20 Jahre später gilt es als Norm.Hoffentlich hat sich die Welt in 10 weiteren Jahren weiterentwickelt ...
Acht antworten:
#1
+41
Tom Leek
2013-03-08 04:58:18 UTC
view on stackexchange narkive permalink

Regeln für die Kennwortkomplexität sind zum größten Teil kontraproduktiv.

Regeln für die Kennwortkomplexität:

  1. machen Benutzer wütend und daher nicht kooperativ und wahrscheinlich keine Kennwortschutzregeln durchsetzen, die nur sie durchsetzen können;
  2. Benutzer dazu anregen, kreative Problemumgehungen zu wählen, um die Kennwortregeln zu umgehen
  3. sind häufig grob unvollständig und filtern nicht Einige klassische oder bald klassische Kennwörter, die Benutzer als Problemumgehung finden, finden Sie unter Punkt 2 oben. Zum Beispiel "Password1".
  4. ol>

    Die einzige "vernünftige" Regel für die Komplexität von Passwörtern, auf die ich bisher gestoßen bin, ist eine minimale Passwortlänge. Das Erfordernis von Passwörtern mit mindestens 8 Zeichen ist für Benutzer keine Härte, es ist verständlich und vermeidet Passwörter, die notwendigerweise schwach sind, da sie sich in Reichweite der dümmsten und umfassendsten Suchanfragen befinden.

Und wenn die Anforderungen veröffentlicht werden, erhalten Angreifer zusätzliche Informationen. Sie werden wissen, dass jedes Passwort beispielsweise "mindestens vier Sonderzeichen und drei Zahlen" enthält. Auch # 2 war genau richtig.
Über 2: Einmal habe ich das erste akzeptable Passwort pro strcmp in ASCII ausgewählt.
Die meisten Regeln für die Komplexität von Passwörtern verkleinern den Passwortraum und erleichtern so Brute Force.Ein solcher Fall ist ein gemischter Fall und mindestens eine Ziffer.
@Skaperen Es gibt schlimmere.Ich habe mich mit 'Passwort muss aus 8 Zeichen bestehen' befasst.Nicht 'mindestens 8', genau 8. Auch Dinge wie 'keine Wiederholung benachbarter Zeichen' und 'Sie können nicht dasselbe Zeichen an derselben Position wie ein vorheriges Passwort verwenden'.Das letzte ist wirklich schrecklich, es zwingt Sie im Grunde dazu, Tastatursequenzen zu verwenden, die Sie im Laufe der Zeit verschieben.Das Problem scheint zu sein, dass das Aktivieren aller verfügbaren Einschränkungen die Kennwortqualität verbessert und der Anbieter eine Reihe außergewöhnlicher lächerlicher Optionen bereitgestellt hat.
#2
+14
Gilles 'SO- stop being evil'
2013-03-08 05:13:27 UTC
view on stackexchange narkive permalink

Einerseits sind die Komplexitätsregeln wahrscheinlich nicht gut. Auf der anderen Seite sind Ihre „Unsinnswörter“ möglicherweise nicht so komplex wie Sie denken.

Es gibt kein „Vermutliches“ über die Leichtigkeit der rohen Gewalt: Dies kann gemessen werden. Für einen bestimmten Angreifer sind die Kosten eines Brute-Force-Angriffs die durchschnittliche Anzahl von Versuchen, bevor ein Kennwort gefunden wird. Obwohl Sie Ihren Angreifer nicht kennen, können Sie davon ausgehen, dass er klug ist und seinen Angriff auf Ihre Methoden zur Kennwortauswahl aufbaut. (Es sind die klügsten Angreifer, gegen die Sie sich sowieso am meisten verteidigen müssen.) Was der Angreifer definitiv nicht weiß, ist der Teil, den Sie zufällig für jedes Passwort auswählen. Das Ausmaß der Zufälligkeit in einem Passwort wird als Entropie bezeichnet. Es ist die Anzahl der Münzen, die geworfen werden, um das Passwort zu bestimmen, ausgedrückt in Bits. Die Entropie misst auch die Anzahl der Brute-Force-Versuche, die ein intelligenter Angreifer benötigt: Mit n Entropiebits gibt es 2 n sup> mögliche Passwörter und der Angreifer muss im Durchschnitt die Hälfte davon versuchen, 2 n -1 sup>.

Das Erfordernis von Interpunktion, Ziffern oder Großbuchstaben ist üblich. aber es hilft der Sicherheit nicht viel. Nahezu jeder Benutzer, der ein Wörterbuchwort als Passwort ausgewählt hätte, schreibt den ersten Buchstaben groß und fügt am Ende eine 1 hinzu. Leute, die Passwörter knacken, sind nicht dumm: Sie nehmen diese und andere l33tspeak-Variationen in ihre knackenden Wörterbücher auf. Alles in allem kann diese Anforderung in der Praxis ein oder zwei Entropiebits hinzufügen. Es gibt bessere Möglichkeiten, einprägsame Passwörter mit mehr Entropie zu erstellen. Dies wird in xkcd 936 veranschaulicht und auf dieser Site in XKCD # 936: Kurzes komplexes Passwort oder lange Wörterbuch-Passphrase? A erläutert >

Anstatt die Stärke Ihres Unsinn-Wortgenerators anzunehmen, sollten Sie sie messen. Finden Sie heraus, wie Passwörter generiert werden und wie viele Passwörter insgesamt möglich sind. Wir können es nicht an einem einzigen Beispiel erkennen. Wenn der Generator 5 zufällige Vokale abwechselt (vermutlich a , e , i , o , u ) mit 20 zufälligen zufälligen Konsonantengruppen ( b , f , l , rt , st ,…), was (5 * 20) 5 sup> = 10 10 sup> ≈ 2 33 sup> ergibt. Vorausgesetzt, Ihre Passwörter sind ordnungsgemäß geschützt, ist dies ausreichend für Online-Angriffe und in Ordnung für Offline-Angriffe. (Wenn Sie keinen ausreichend langsamen Hash verwenden, sind 33 Bit Erdnüsse.) Wenn der Kennwortgenerator Wortfragmente aus einem Wörterbuch kombiniert, ist die Entropie möglicherweise viel geringer.

Wenn Sie nicht sind. Wenn Sie die Regeln für die Kennwortkomplexität aufheben möchten, geben Sie entsprechende Kennwörter aus. Machen Sie Studien, um zu sehen, ob sie sich einen Großbuchstaben und eine Ziffer pro Passwort merken können. Wenn dies nicht möglich ist, schreiben Sie immer den ersten Buchstaben in Großbuchstaben und setzen Sie eine nachgestellte 1.

Dies ist eine wirklich gute Antwort auf die allgemeine Frage, wie man sich der "Passwortstärke" nähert: Sie hat nichts mit den von Ihnen eingeschlossenen Zeichentypen zu tun und alles mit der Gesamtzahl der möglichen Passwörter basierend auf der von Ihnen verwendeten Generierungsmethode.Es spricht jedoch nicht sehr direkt mit der Frage, ob seltsame Anforderungen kontraproduktiv sein können.Können Sie dort genauer sein?
#3
+10
scuzzy-delta
2013-03-08 08:33:06 UTC
view on stackexchange narkive permalink

Einige Komplexitätsregeln sind kontraproduktiv.

Beispiele für weniger produktive Komplexitätsregeln:

  • Muss (auch) zwischen 16 und 17 Zeichen lang sein Spezifische Länge)
  • Muss mindestens 3 der folgenden Elemente enthalten: - $% ^ & (zu wenige Sonderzeichen zur Auswahl)
  • Muss einen Großbuchstaben, einen Kleinbuchstaben und keine Folge enthalten oder wiederholte Zeichen, eine Zahl und ein Interpunktionszeichen (zu spezifisch)

Beispiele für "gute" Komplexitätsregeln:

  • Muss länger als X Zeichen sein (ermutigt zu längeren Passwörtern)
  • Muss mindestens eine Nummer enthalten (fördert einige, aber nicht zu komplexe)

Die beste Lösung für mich war die Verwendung eines Passwort-Managers. Dies ermöglicht die einfache Einhaltung selbst der lächerlichsten Regeln, aber ich werde nie etwas "vergessen".

Dies ist ein klarer Fall, bei dem Sie alle Eier in einen Korb legen und dann den Korb wie einen Falken per Videoüberwachung beobachten und den Korb mit Wachtigern und Landminen umgeben.

"Einfache Konformität" ist heute möglicherweise nicht mehr so ​​wahr wie zu dem Zeitpunkt, als diese Antwort geschrieben wurde, dank Websites [Blockieren des Einfügens in Kennwortfelder] (http://www.troyhunt.com/2014/05/the-cobra-effect- that-is-disabling.html) (Idioten).
Es gibt auch keine universelle Möglichkeit, akzeptable Passwörter zu generieren.Einige Websites erfordern Sonderzeichen, andere schließen sie aus.
Hoffentlich mögen die Tiger keine Eier.Ich vermute, dass sie es tun.Was für ein Fleischfresser nicht?
#4
+8
HTLee
2018-07-12 01:59:06 UTC
view on stackexchange narkive permalink

Ja. Die Denkweise im Jahr 2018 ist, dass Regeln für die Komplexität von Passwörtern in der Tat kontraproduktiv sind. Die jüngsten NIST-Richtlinien für die digitale Identität vom Juni 2017 (SP 800-63B) spiegeln dies deutlich wider. Highlights:

  • 8 oder mehr Zeichen.
  • Verifizierer DÜRFEN KEINE anderen Kompositionsregeln auferlegen (z. B. das Mischen von verschiedenen Zeichentypen oder das Verbot von nacheinander wiederholten Zeichen) für gespeicherte Geheimnisse.
  • Verifizierer DÜRFEN NICHT verlangen, dass gespeicherte Geheimnisse willkürlich (z. B. regelmäßig) geändert werden.
  • Bei der Verarbeitung von Anforderungen zum Einrichten und Ändern gespeicherter Geheimnisse MÜSSEN Verifizierer die potenziellen Geheimnisse mit einer Liste vergleichen, die enthält Werte, von denen bekannt ist, dass sie häufig verwendet, erwartet oder gefährdet werden.

Wenn eine höhere Sicherheit erforderlich ist, verwenden Sie die Multi-Faktor-Authentifizierung.

Unsinnige Wörter sind eine gute Idee vorausgesetzt, seine Zusammensetzungsregeln sind ausreichend zufällig. Ich würde mich nur auf einen Generator verlassen, da sein Algorithmus dazu beitragen könnte, Ihr Passwort zu brechen. Wenn Sie es mit etwas Kurzem ergänzen, das nur für Sie von Bedeutung ist, würde dies einen langen Weg gehen.

=== 2020 Januar update ===

Um den Punkt klar zu machen, hat NIST seine FAQs (08.01.2020) aktualisiert:

Q-B06 : Werden Regeln für die Kennwortzusammensetzung nicht mehr empfohlen?

A-B06 : SP 800-63B In Abschnitt 5.1.1.2, Absatz 9 wird empfohlen, gegen die Verwendung von Kompositionsregeln (z. B. Klein-, Groß-, Ziffern und / oder Sonderzeichen) für gespeicherte Geheimnisse zu verwenden. Diese Regeln bieten weniger Nutzen als erwartet, da Benutzer dazu neigen, vorhersehbare Methoden zu verwenden, um diese Anforderungen zu erfüllen, wenn sie auferlegt werden (z. B. ein! An ein gespeichertes Geheimnis anhängen, wenn ein Sonderzeichen verwendet werden muss). Die Frustration, mit der sie häufig konfrontiert sind, kann auch dazu führen, dass sie sich darauf konzentrieren, die Anforderungen nur minimal zu erfüllen, anstatt ein denkwürdiges, aber komplexes Geheimnis zu entwickeln. Stattdessen verhindert eine schwarze Liste gängiger Kennwörter, dass Abonnenten sehr häufig verwendete Werte auswählen, die besonders anfällig für Online-Angriffe sind.

Kompositionsregeln ermutigen Benutzer auch versehentlich, dasselbe Kennwort auf mehreren Systemen zu verwenden, da sie häufig verwendet werden führen zu Passwörtern, die für Menschen schwer zu merken sind.

Diese Antwort ist sehr hilfreich, insbesondere mit dem Link.Ich habe mich gefragt, warum niemand darüber abgestimmt hat, bevor ich gesehen habe, dass es erst vor 5 Stunden veröffentlicht wurde.Also habe ich gerade die erste Stimme abgegeben.
Vielleicht sollte dies auch eine Erwähnung der früheren NIST-Richtlinie beinhalten, die genau das Gegenteil sagte, nur um die Änderung der Standards im Laufe der Zeit widerzuspiegeln.
Ein weiteres wichtiges Highlight ist, dass "Prüfer die potenziellen Geheimnisse mit einer Liste vergleichen, die Werte enthält, von denen bekannt ist, dass sie häufig verwendet, erwartet oder kompromittiert werden".Dies gewinnt zunehmend an Bedeutung, da Troy Hunt eine Funktion namens "Pwned Passwords API" hinzugefügt hat, mit der Benutzer und Software leicht überprüfen können (Vergleich über SHA-1), ob das ausgewählte Passwort bereits in einem Verstoß aufgetreten ist (und es daher ablehnen).Eine Reihe von Passwort-Managern nutzt dies, und einige Websites integrieren es auch.Es ist ein großer Schritt nach vorne.
#5
+6
KeithS
2014-07-24 01:03:16 UTC
view on stackexchange narkive permalink

Es ist dumm, die meisten unabhängig voneinander auswertbaren Regeln für die Komplexität von Passwörtern zu umgehen. Mindestlänge, Fallanforderungen, Anforderungen für Nicht-Alpha-Zeichen. "Passwort1" wird, sofern Ihr Name nicht zufällig Joe Passwort ist, an den meisten Regelsystemen vorbeikommen, da es mindestens 8 Zeichen lang ist, mit einem Großbuchstaben und einer Zahl. Es ist auch das erste, was ein Crackbot versucht.

Die Grundregel für jede Anforderung an die Kennwortkomplexität lautet: Je schwieriger Sie die Verwendung Ihres Systems machen, desto weniger Benutzer verwenden es . Dies geht weit über die Regeln zur Kennwortkomplexität hinaus. Da der Anmeldebildschirm (und der Benutzerregistrierungsbildschirm, auf den Sie normalerweise von dort aus verlinken) die erste echte Interaktion des Benutzers mit Ihrem System darstellt, möchten Ihre Benutzer umso weniger, je unangenehmer es ist damit und mit dir umzugehen. Dies ist besonders wichtig, wenn Sie versuchen, Ihr System als Produkt an Benutzer zu "verkaufen", von dem sie nicht wussten, dass sie es benötigen, oder wenn es auf dem Markt viele Alternativen zu Ihnen gibt (wie ein Online-Forum). Benutzer in dieser Situation werden sehr schnell sagen "Scheiß drauf, ich bin raus", und es ist unwahrscheinlich, dass jeder sie zurückbekommt.

Natürlich folgen einige zusätzliche Regeln. Zum einen informieren Sie den Benutzer klar und einfach über die geltenden Regeln, bevor er etwas eingibt . Es ist kein Sicherheitsproblem für die Komplexitätsregeln, die Sie erzwingen, öffentlich bekannt zu sein, es sei denn, diese Regeln verringern die mögliche Entropie akzeptabler Kennwörter (welche Regeln wie eine maximale Länge können) und Ihr Benutzer wird an Ihrem System weit weniger frustriert sein als wenn er die Regeln durch Reverse Engineering lernen müsste.

Eine andere Regel ist, nicht zu stark von den Regeln abzuweichen, die Benutzer erwarten . Die meisten Benutzer sind klug genug zu verstehen, dass die minimale Komplexität zu ihrem eigenen Besten ist, und sie wissen auch, dass die Balken, die die meisten Websites und Anwendungen festlegen, eine ähnliche Höhe haben (mindestens 6-8 Zeichen, ein Großbuchstabe und eine Zahl dürfen keine enthalten von ein paar offensichtlichen Wörtern wie "Passwort"). Das Erzwingen lächerlich langer und komplizierter Passwörter, die über den implizierten Standard hinausgehen (mindestens 20 Zeichen, mindestens zwei Gruppen mit jeweils mindestens 4 Zahlen und mindestens 5 Symbolen), wird die Leute nur verärgern, selbst wenn Sie es ihnen vorher sagen.

Die letzte Meta-Regel, die ich angeben werde, lautet: Erzwinge keine Regel um ihrer selbst willen . Verwenden Sie niemals eine Regel, nur weil Sie eine andere Site oder Anwendung gesehen haben, oder sogar nur , weil dies die beste Vorgehensweise ist. Es gibt Gründe für Best Practices, aber Sie sollten diese Gründe kennen und verstehen, einschließlich der Gründe, warum sie in Ihrer Situation möglicherweise nicht zutreffen, bevor Sie eine Sicherheitsrichtlinie zusammenfügen.

Der Regelsatz, den ich normalerweise mag, lautet:

  • Mindestlänge von 8 Zeichen.
  • Entweder Symbole in Groß- und Kleinschreibung, Anzahl oder .
  • Kann nicht nur zusammengesetzt werden eines Wörterbuchworts.
  • Kann keinen Teil Ihres Namens, Benutzernamens oder Geburtsdatums enthalten (wenn ich diese Dinge weiß)
  • Ein "gesperrtes Passwort" kann nicht 50 sein % oder mehr des Passworts. Zu den gesperrten Passwörtern gehören alle Passwörter, die jemals in der Top 25-Liste von SplashData aufgeführt wurden, einschließlich der meisten Größen wie "Passwort", "letmein", "12345678" usw. sowie alle Zeichenfolgen, die für die IT-Sicherheit "interessant" sind ("korrektes Pferdebatterystaple"). , "orpheanbeholderscrydoubt") und jedes zuvor verwendete und bekanntermaßen kompromittierte Passwort. Die vollständige Liste wäre relativ kurz und würde den Benutzern über einen Link aus der Liste der Regeln leicht angezeigt.
#6
+5
Tracy Reed
2013-03-08 05:36:03 UTC
view on stackexchange narkive permalink

Versuchen Sie, dieses Beispielkennwort zu knacken. Sehen Sie, wie lange es dauert. Ich wette, Sie werden überrascht sein.

Ich empfehle die Verwendung von Passwortverwaltungstools (LastPass usw.), langwierigen und komplexen Passwörtern und das Aufschreiben von Passwörtern (mit den unten beschriebenen Qualifikationen).

Ja, seit Jahren wird den Leuten gesagt, sie sollen ihre Passwörter niemals aufschreiben. Das Bedrohungsmodell hat sich jedoch geändert. Als dieser Rat kam (in den 70er Jahren), bestand die Bedrohung darin, dass Leute das Post-It unter Ihrer Tastatur hervorholten. Jetzt ist die größere Bedrohung das Knacken der Hashes. Jetzt empfehle ich, es komplex zu machen, sich nicht daran zu erinnern, es aufzuschreiben und das aufgeschriebene Passwort an einem sicheren Ort aufzubewahren, z. B. neben den anderen kleinen grünen Zetteln, die wir alle so gut schützen können.

Wenn Sie Ihr Passwort aufschreiben und es mit Ihrem Geld in Ihrer Brieftasche aufbewahren und nicht Ihren Benutzernamen oder einen Hostnamen darauf schreiben, ist es weitaus weniger wahrscheinlich, dass jemand etwas Schlechtes damit anfangen kann, als wenn Sie Schreiben Sie es nicht auf, sondern wählen Sie ein vereinfachtes Passwort. Hash-Cracking ist die viel größere Bedrohung als jemand, der Ihre Brieftasche stiehlt und Ihr Passwort verwendet.

Und natürlich niemals dasselbe Passwort zweimal oder auf verschiedenen Websites usw.

Wenn Sie also Ihre Brieftasche verlieren oder sie stehlen lassen, hat derjenige, der die mickrigen 50 US-Dollar bekommt, die Sie dort gelassen haben, jetzt auch Zugriff auf Ihr Bankkonto mit Ihren Ersparnissen? Tolle Idee ... es ist auch nicht so, als würde das Weglassen des Benutzernamens viel helfen, da Ihre Brieftasche auch Ihren Ausweis, Ihre Bankkarten usw. enthält, damit sie genau herausfinden können, wer Sie sind und wo Sie Konten haben (und wahrscheinlich) Rufen Sie den Kundensupport an und überzeugen Sie ihn, dass er "meinen Benutzernamen vergessen hat" ...)
@Aaronaught Es gibt ein triviales Mittel.Fügen Sie den aufgeschriebenen Passwörtern etwas hinzu, an das Sie sich leicht erinnern können.Dies kann für alle Passwörter gleich sein.Da Ihre Passwörter "D.8frA + qH5YV", "D.8fLJ27z _ = +" und "D.8f # y; QJP {4" sind, denke ich nicht, dass der Dieb ohne die ersten vier Zeichen viel Erfolg haben wird.Wenn der Dieb eine nicht verwandte Person ist, ist das Risiko gering, dass er Ihr Präfix kennt oder es erfolgreich knackt.
Versuchen Sie, welches Beispielkennwort zu knacken?Haben Sie es mit John the Ripper versucht?
#7
+1
Good_Guesser
2016-03-12 16:23:38 UTC
view on stackexchange narkive permalink

Für mich wurde das Erstellen und Verwalten von Passwörtern so kompliziert, dass ich etwa 6-7 Passwortmanager recherchierte und testete und mich für einen guten entschied, der einfach zu verwenden, zu sichern, zu synchronisieren usw. war, und ich bin so froh, dass ich es endlich geschafft habe wagte den Sprung.

  ujrDm-e(5Gi9wSN8N.[(

Ist ein typisches Passwort, das generiert wird, muss ich es nur nach Bedarf kopieren / einfügen. Eine große, starke Passphrase ist alles, woran ich mich erinnern muss. Dies hat meine Passwortverwendung völlig vereinfacht und gestärkt.

#8
-5
Tek Tengu
2013-03-08 20:30:49 UTC
view on stackexchange narkive permalink

Ich denke, eine bessere Antwort als nur Regeln für die Kennwortkomplexität besteht darin, eine (oder zwei) einfache Kennwortregeln zu haben und Ihrem Unternehmen gute Paradigmen für die Kennworterstellung beizubringen. Hier ist ein Beispiel, das ich persönlich verwende.

Die Regeln: 1. Passwörter müssen aus 12 Zeichen oder mehr bestehen.2. Passwörter müssen Alpha, Zahlen und Sonderzeichen enthalten.

Paradigma 1: 1. Wählen Sie ein Lieblingsspruch oder Gedicht.2. Nehmen Sie den konsistenten Buchstaben in jedem Wort (1., 2., letzte ...) des Gedichts als Teil Ihres Passworts.3. Wenden Sie Ihre Wahl der Alphabetsubstitution an (könnte Hacket Leet e-> 3, a -> @ ... sein), aber machen Sie eine, wenn Sie sie nicht haben.4. Wenn Sie unterschiedliche Kennwörter für unterschiedliche Systeme benötigen, stellen Sie dem Kennwort ein Akronym für den rückwärts geschriebenen Systemnamen (bank -> knab) voran oder

.

Für eine Organisation können Sie bei Bedarf mehrere Paradigmen entwickeln oder Paradigmen mit unterschiedlichen Sicherheitskriterien.

Natürlich müssen die Paradigmen möglicherweise etwas besser erklärt werden, aber im Allgemeinen ist der Vorteil dieser Methode:

  1. Die "Regeln" sind einfach und können in Benutzeroberflächen und anderen Systemkomponenten schnell überprüft werden.
  2. Ihre Benutzergemeinschaft ist in der Regel eher mit der Erstellung robusterer und schwer zu knackender Kennwörter konform, da sie jetzt über die mentalen Regeln verfügen Tools dazu.
  3. Die Wiederherstellung von Passwörtern durch den Benutzer ist einfacher und weniger riskant (Aufschreiben des tatsächlichen Passworts im Vergleich zum Aufschreiben der Paradigmenkriterien).
  4. Benutzer kann systemspezifische Passwörter erstellen, die ziemlich schwierig, aber dennoch einprägsam sind.
  5. ol>
Wenn ich den Repräsentanten hier hätte, wäre dies eine -1. Das von Ihnen vorgeschlagene Paradigma gefährdet die Passwortsicherheit. Sicherheit kommt vom Generierungsprozess. Siehe [diese Antwort] (http://security.stackexchange.com/a/26055/42008). Jeder Prozess, der mit "Favorit" beginnt, schlägt fehl. Der Test "verwendet die Kognition von Säugetieren, um Zufälligkeit zu generieren". Jeder Angreifer, der den Prozess kennt, kann ihn dann auf eine Sammlung gängiger Anführungszeichen / 1-8 Wortphrasen anwenden und Ihr Passwort knacken. [Lesen Sie auch diesen Artikel.] (Http://arstechnica.com/security/2013/10/how-the-bible-and-youtube-are-fueling-the-next-frontier-of-password-cracking/)


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...