Regeln für die Kennwortkomplexität sind zum größten Teil kontraproduktiv.

Regeln für die Kennwortkomplexität:

1. machen Benutzer wütend und daher nicht kooperativ und wahrscheinlich keine Kennwortschutzregeln durchsetzen, die nur sie durchsetzen können;
2. Benutzer dazu anregen, kreative Problemumgehungen zu wählen, um die Kennwortregeln zu umgehen
3. sind häufig grob unvollständig und filtern nicht Einige klassische oder bald klassische Kennwörter, die Benutzer als Problemumgehung finden, finden Sie unter Punkt 2 oben. Zum Beispiel "Password1".
ol>

Die einzige "vernünftige" Regel für die Komplexität von Passwörtern, auf die ich bisher gestoßen bin, ist eine minimale Passwortlänge. Das Erfordernis von Passwörtern mit mindestens 8 Zeichen ist für Benutzer keine Härte, es ist verständlich und vermeidet Passwörter, die notwendigerweise schwach sind, da sie sich in Reichweite der dümmsten und umfassendsten Suchanfragen befinden.

Einerseits sind die Komplexitätsregeln wahrscheinlich nicht gut. Auf der anderen Seite sind Ihre „Unsinnswörter“ möglicherweise nicht so komplex wie Sie denken.

Es gibt kein „Vermutliches“ über die Leichtigkeit der rohen Gewalt: Dies kann gemessen werden. Für einen bestimmten Angreifer sind die Kosten eines Brute-Force-Angriffs die durchschnittliche Anzahl von Versuchen, bevor ein Kennwort gefunden wird. Obwohl Sie Ihren Angreifer nicht kennen, können Sie davon ausgehen, dass er klug ist und seinen Angriff auf Ihre Methoden zur Kennwortauswahl aufbaut. (Es sind die klügsten Angreifer, gegen die Sie sich sowieso am meisten verteidigen müssen.) Was der Angreifer definitiv nicht weiß, ist der Teil, den Sie zufällig für jedes Passwort auswählen. Das Ausmaß der Zufälligkeit in einem Passwort wird als Entropie bezeichnet. Es ist die Anzahl der Münzen, die geworfen werden, um das Passwort zu bestimmen, ausgedrückt in Bits. Die Entropie misst auch die Anzahl der Brute-Force-Versuche, die ein intelligenter Angreifer benötigt: Mit n Entropiebits gibt es 2 ^{n sup> mögliche Passwörter und der Angreifer muss im Durchschnitt die Hälfte davon versuchen, 2 n -1 sup>.}

Das Erfordernis von Interpunktion, Ziffern oder Großbuchstaben ist üblich. aber es hilft der Sicherheit nicht viel. Nahezu jeder Benutzer, der ein Wörterbuchwort als Passwort ausgewählt hätte, schreibt den ersten Buchstaben groß und fügt am Ende eine 1 hinzu. Leute, die Passwörter knacken, sind nicht dumm: Sie nehmen diese und andere l33tspeak-Variationen in ihre knackenden Wörterbücher auf. Alles in allem kann diese Anforderung in der Praxis ein oder zwei Entropiebits hinzufügen. Es gibt bessere Möglichkeiten, einprägsame Passwörter mit mehr Entropie zu erstellen. Dies wird in xkcd 936 veranschaulicht und auf dieser Site in XKCD # 936: Kurzes komplexes Passwort oder lange Wörterbuch-Passphrase? A erläutert >

Anstatt die Stärke Ihres Unsinn-Wortgenerators anzunehmen, sollten Sie sie messen. Finden Sie heraus, wie Passwörter generiert werden und wie viele Passwörter insgesamt möglich sind. Wir können es nicht an einem einzigen Beispiel erkennen. Wenn der Generator 5 zufällige Vokale abwechselt (vermutlich a , e , i , o , u ) mit 20 zufälligen zufälligen Konsonantengruppen ( b , f , l , rt , st ,…), was (5 * 20) 5 sup> = 10 10 sup> ≈ 2 33 sup> ergibt. Vorausgesetzt, Ihre Passwörter sind ordnungsgemäß geschützt, ist dies ausreichend für Online-Angriffe und in Ordnung für Offline-Angriffe. (Wenn Sie keinen ausreichend langsamen Hash verwenden, sind 33 Bit Erdnüsse.) Wenn der Kennwortgenerator Wortfragmente aus einem Wörterbuch kombiniert, ist die Entropie möglicherweise viel geringer.

Wenn Sie nicht sind. Wenn Sie die Regeln für die Kennwortkomplexität aufheben möchten, geben Sie entsprechende Kennwörter aus. Machen Sie Studien, um zu sehen, ob sie sich einen Großbuchstaben und eine Ziffer pro Passwort merken können. Wenn dies nicht möglich ist, schreiben Sie immer den ersten Buchstaben in Großbuchstaben und setzen Sie eine nachgestellte 1.

Einige Komplexitätsregeln sind kontraproduktiv.

Beispiele für weniger produktive Komplexitätsregeln:

• Muss (auch) zwischen 16 und 17 Zeichen lang sein Spezifische Länge)
• Muss mindestens 3 der folgenden Elemente enthalten: - $% ^ & (zu wenige Sonderzeichen zur Auswahl)
• Muss einen Großbuchstaben, einen Kleinbuchstaben und keine Folge enthalten oder wiederholte Zeichen, eine Zahl und ein Interpunktionszeichen (zu spezifisch)

Beispiele für "gute" Komplexitätsregeln:

• Muss länger als X Zeichen sein (ermutigt zu längeren Passwörtern)
• Muss mindestens eine Nummer enthalten (fördert einige, aber nicht zu komplexe)

Die beste Lösung für mich war die Verwendung eines Passwort-Managers. Dies ermöglicht die einfache Einhaltung selbst der lächerlichsten Regeln, aber ich werde nie etwas "vergessen".

Dies ist ein klarer Fall, bei dem Sie alle Eier in einen Korb legen und dann den Korb wie einen Falken per Videoüberwachung beobachten und den Korb mit Wachtigern und Landminen umgeben.

Ja. Die Denkweise im Jahr 2018 ist, dass Regeln für die Komplexität von Passwörtern in der Tat kontraproduktiv sind. Die jüngsten NIST-Richtlinien für die digitale Identität vom Juni 2017 (SP 800-63B) spiegeln dies deutlich wider. Highlights:

• 8 oder mehr Zeichen.
• Verifizierer DÜRFEN KEINE anderen Kompositionsregeln auferlegen (z. B. das Mischen von verschiedenen Zeichentypen oder das Verbot von nacheinander wiederholten Zeichen) für gespeicherte Geheimnisse.
• Verifizierer DÜRFEN NICHT verlangen, dass gespeicherte Geheimnisse willkürlich (z. B. regelmäßig) geändert werden.
• Bei der Verarbeitung von Anforderungen zum Einrichten und Ändern gespeicherter Geheimnisse MÜSSEN Verifizierer die potenziellen Geheimnisse mit einer Liste vergleichen, die enthält Werte, von denen bekannt ist, dass sie häufig verwendet, erwartet oder gefährdet werden.

Wenn eine höhere Sicherheit erforderlich ist, verwenden Sie die Multi-Faktor-Authentifizierung.

Unsinnige Wörter sind eine gute Idee vorausgesetzt, seine Zusammensetzungsregeln sind ausreichend zufällig. Ich würde mich nur auf einen Generator verlassen, da sein Algorithmus dazu beitragen könnte, Ihr Passwort zu brechen. Wenn Sie es mit etwas Kurzem ergänzen, das nur für Sie von Bedeutung ist, würde dies einen langen Weg gehen.

=== 2020 Januar update ===

Um den Punkt klar zu machen, hat NIST seine FAQs (08.01.2020) aktualisiert:

Q-B06 : Werden Regeln für die Kennwortzusammensetzung nicht mehr empfohlen?

A-B06 : SP 800-63B In Abschnitt 5.1.1.2, Absatz 9 wird empfohlen, gegen die Verwendung von Kompositionsregeln (z. B. Klein-, Groß-, Ziffern und / oder Sonderzeichen) für gespeicherte Geheimnisse zu verwenden. Diese Regeln bieten weniger Nutzen als erwartet, da Benutzer dazu neigen, vorhersehbare Methoden zu verwenden, um diese Anforderungen zu erfüllen, wenn sie auferlegt werden (z. B. ein! An ein gespeichertes Geheimnis anhängen, wenn ein Sonderzeichen verwendet werden muss). Die Frustration, mit der sie häufig konfrontiert sind, kann auch dazu führen, dass sie sich darauf konzentrieren, die Anforderungen nur minimal zu erfüllen, anstatt ein denkwürdiges, aber komplexes Geheimnis zu entwickeln. Stattdessen verhindert eine schwarze Liste gängiger Kennwörter, dass Abonnenten sehr häufig verwendete Werte auswählen, die besonders anfällig für Online-Angriffe sind.

Kompositionsregeln ermutigen Benutzer auch versehentlich, dasselbe Kennwort auf mehreren Systemen zu verwenden, da sie häufig verwendet werden führen zu Passwörtern, die für Menschen schwer zu merken sind.

Es ist dumm, die meisten unabhängig voneinander auswertbaren Regeln für die Komplexität von Passwörtern zu umgehen. Mindestlänge, Fallanforderungen, Anforderungen für Nicht-Alpha-Zeichen. "Passwort1" wird, sofern Ihr Name nicht zufällig Joe Passwort ist, an den meisten Regelsystemen vorbeikommen, da es mindestens 8 Zeichen lang ist, mit einem Großbuchstaben und einer Zahl. Es ist auch das erste, was ein Crackbot versucht.

Die Grundregel für jede Anforderung an die Kennwortkomplexität lautet: Je schwieriger Sie die Verwendung Ihres Systems machen, desto weniger Benutzer verwenden es . Dies geht weit über die Regeln zur Kennwortkomplexität hinaus. Da der Anmeldebildschirm (und der Benutzerregistrierungsbildschirm, auf den Sie normalerweise von dort aus verlinken) die erste echte Interaktion des Benutzers mit Ihrem System darstellt, möchten Ihre Benutzer umso weniger, je unangenehmer es ist damit und mit dir umzugehen. Dies ist besonders wichtig, wenn Sie versuchen, Ihr System als Produkt an Benutzer zu "verkaufen", von dem sie nicht wussten, dass sie es benötigen, oder wenn es auf dem Markt viele Alternativen zu Ihnen gibt (wie ein Online-Forum). Benutzer in dieser Situation werden sehr schnell sagen "Scheiß drauf, ich bin raus", und es ist unwahrscheinlich, dass jeder sie zurückbekommt.

Natürlich folgen einige zusätzliche Regeln. Zum einen informieren Sie den Benutzer klar und einfach über die geltenden Regeln, bevor er etwas eingibt . Es ist kein Sicherheitsproblem für die Komplexitätsregeln, die Sie erzwingen, öffentlich bekannt zu sein, es sei denn, diese Regeln verringern die mögliche Entropie akzeptabler Kennwörter (welche Regeln wie eine maximale Länge können) und Ihr Benutzer wird an Ihrem System weit weniger frustriert sein als wenn er die Regeln durch Reverse Engineering lernen müsste.

Eine andere Regel ist, nicht zu stark von den Regeln abzuweichen, die Benutzer erwarten . Die meisten Benutzer sind klug genug zu verstehen, dass die minimale Komplexität zu ihrem eigenen Besten ist, und sie wissen auch, dass die Balken, die die meisten Websites und Anwendungen festlegen, eine ähnliche Höhe haben (mindestens 6-8 Zeichen, ein Großbuchstabe und eine Zahl dürfen keine enthalten von ein paar offensichtlichen Wörtern wie "Passwort"). Das Erzwingen lächerlich langer und komplizierter Passwörter, die über den implizierten Standard hinausgehen (mindestens 20 Zeichen, mindestens zwei Gruppen mit jeweils mindestens 4 Zahlen und mindestens 5 Symbolen), wird die Leute nur verärgern, selbst wenn Sie es ihnen vorher sagen.

Die letzte Meta-Regel, die ich angeben werde, lautet: Erzwinge keine Regel um ihrer selbst willen . Verwenden Sie niemals eine Regel, nur weil Sie eine andere Site oder Anwendung gesehen haben, oder sogar nur , weil dies die beste Vorgehensweise ist. Es gibt Gründe für Best Practices, aber Sie sollten diese Gründe kennen und verstehen, einschließlich der Gründe, warum sie in Ihrer Situation möglicherweise nicht zutreffen, bevor Sie eine Sicherheitsrichtlinie zusammenfügen.

Der Regelsatz, den ich normalerweise mag, lautet:

• Mindestlänge von 8 Zeichen.
• Entweder Symbole in Groß- und Kleinschreibung, Anzahl oder .
• Kann nicht nur zusammengesetzt werden eines Wörterbuchworts.
• Kann keinen Teil Ihres Namens, Benutzernamens oder Geburtsdatums enthalten (wenn ich diese Dinge weiß)
• Ein "gesperrtes Passwort" kann nicht 50 sein % oder mehr des Passworts. Zu den gesperrten Passwörtern gehören alle Passwörter, die jemals in der Top 25-Liste von SplashData aufgeführt wurden, einschließlich der meisten Größen wie "Passwort", "letmein", "12345678" usw. sowie alle Zeichenfolgen, die für die IT-Sicherheit "interessant" sind ("korrektes Pferdebatterystaple"). , "orpheanbeholderscrydoubt") und jedes zuvor verwendete und bekanntermaßen kompromittierte Passwort. Die vollständige Liste wäre relativ kurz und würde den Benutzern über einen Link aus der Liste der Regeln leicht angezeigt.

Versuchen Sie, dieses Beispielkennwort zu knacken. Sehen Sie, wie lange es dauert. Ich wette, Sie werden überrascht sein.

Ich empfehle die Verwendung von Passwortverwaltungstools (LastPass usw.), langwierigen und komplexen Passwörtern und das Aufschreiben von Passwörtern (mit den unten beschriebenen Qualifikationen).

Ja, seit Jahren wird den Leuten gesagt, sie sollen ihre Passwörter niemals aufschreiben. Das Bedrohungsmodell hat sich jedoch geändert. Als dieser Rat kam (in den 70er Jahren), bestand die Bedrohung darin, dass Leute das Post-It unter Ihrer Tastatur hervorholten. Jetzt ist die größere Bedrohung das Knacken der Hashes. Jetzt empfehle ich, es komplex zu machen, sich nicht daran zu erinnern, es aufzuschreiben und das aufgeschriebene Passwort an einem sicheren Ort aufzubewahren, z. B. neben den anderen kleinen grünen Zetteln, die wir alle so gut schützen können.

Wenn Sie Ihr Passwort aufschreiben und es mit Ihrem Geld in Ihrer Brieftasche aufbewahren und nicht Ihren Benutzernamen oder einen Hostnamen darauf schreiben, ist es weitaus weniger wahrscheinlich, dass jemand etwas Schlechtes damit anfangen kann, als wenn Sie Schreiben Sie es nicht auf, sondern wählen Sie ein vereinfachtes Passwort. Hash-Cracking ist die viel größere Bedrohung als jemand, der Ihre Brieftasche stiehlt und Ihr Passwort verwendet.

Und natürlich niemals dasselbe Passwort zweimal oder auf verschiedenen Websites usw.

Für mich wurde das Erstellen und Verwalten von Passwörtern so kompliziert, dass ich etwa 6-7 Passwortmanager recherchierte und testete und mich für einen guten entschied, der einfach zu verwenden, zu sichern, zu synchronisieren usw. war, und ich bin so froh, dass ich es endlich geschafft habe wagte den Sprung.

  ujrDm-e(5Gi9wSN8N.[(

Ist ein typisches Passwort, das generiert wird, muss ich es nur nach Bedarf kopieren / einfügen. Eine große, starke Passphrase ist alles, woran ich mich erinnern muss. Dies hat meine Passwortverwendung völlig vereinfacht und gestärkt.

Ich denke, eine bessere Antwort als nur Regeln für die Kennwortkomplexität besteht darin, eine (oder zwei) einfache Kennwortregeln zu haben und Ihrem Unternehmen gute Paradigmen für die Kennworterstellung beizubringen. Hier ist ein Beispiel, das ich persönlich verwende.

Die Regeln: 1. Passwörter müssen aus 12 Zeichen oder mehr bestehen.2. Passwörter müssen Alpha, Zahlen und Sonderzeichen enthalten.

Paradigma 1: 1. Wählen Sie ein Lieblingsspruch oder Gedicht.2. Nehmen Sie den konsistenten Buchstaben in jedem Wort (1., 2., letzte ...) des Gedichts als Teil Ihres Passworts.3. Wenden Sie Ihre Wahl der Alphabetsubstitution an (könnte Hacket Leet e-> 3, a -> @ ... sein), aber machen Sie eine, wenn Sie sie nicht haben.4. Wenn Sie unterschiedliche Kennwörter für unterschiedliche Systeme benötigen, stellen Sie dem Kennwort ein Akronym für den rückwärts geschriebenen Systemnamen (bank -> knab) voran oder

Für eine Organisation können Sie bei Bedarf mehrere Paradigmen entwickeln oder Paradigmen mit unterschiedlichen Sicherheitskriterien.

Natürlich müssen die Paradigmen möglicherweise etwas besser erklärt werden, aber im Allgemeinen ist der Vorteil dieser Methode:

1. Die "Regeln" sind einfach und können in Benutzeroberflächen und anderen Systemkomponenten schnell überprüft werden.
2. Ihre Benutzergemeinschaft ist in der Regel eher mit der Erstellung robusterer und schwer zu knackender Kennwörter konform, da sie jetzt über die mentalen Regeln verfügen Tools dazu.
3. Die Wiederherstellung von Passwörtern durch den Benutzer ist einfacher und weniger riskant (Aufschreiben des tatsächlichen Passworts im Vergleich zum Aufschreiben der Paradigmenkriterien).
4. Benutzer kann systemspezifische Passwörter erstellen, die ziemlich schwierig, aber dennoch einprägsam sind.
ol>