Frage:
Geeignete Kennwortanforderungen für einen Anmeldedienst (OpenID) / -anbieter / -delegierten / -Ding
Kevin Montrose
2011-05-18 05:55:26 UTC
view on stackexchange narkive permalink

Dies betrifft * den bevorstehenden OpenID-Anbieter von Stack Exchange (und insbesondere die Diskussion über Kennwortanforderungen).

Derzeit Kennwortanforderungen sind:

  • Muss 3 enthalten: Kleinbuchstaben, Großbuchstaben, Zahlen, Sonderzeichen **.
  • Kann kein öffentliches Kontofeld enthalten.
  • Muss mindestens 8 eindeutige Zeichen haben.

Das Rationale für die ersten beiden ist meines Erachtens offensichtlich. Die letzte besteht darin, eine bestimmte minimale Kennwortentropie zu erzwingen, die jedoch einem Endbenutzer tatsächlich erklärt werden kann.

Ich habe eine Kennwortablaufrichtlinie in Betracht gezogen, sie jedoch als zu aufdringlich eingestuft. Benutzer verwenden diesen Dienst häufig so, als ob er Teil der Affiliate-Site wäre, und zwingen sie, it regelmäßig zu besuchen, anstatt dass die Affiliate-Site diese Illusion bricht.

Meine Frage lautet also Sind dies die entsprechenden Kennwortanforderungen für einen OpenID-Anbieter? Besonders eine wie diese, die auf eine enge Integration mit Websites von Drittanbietern abzielt?

* Und AviD hat dies vorgeschlagen. sub>
** Sonderzeichen werden als Nicht-Wort- und Nicht-Ziffern-Zeichen definiert. sub>

Ich folge hier mit meinem Kommentar zum Original-Thread: Stimmen Sie ab, um als S & A zu schließen. Auf der anderen Seite könnten wir dies vielleicht (da dies besonders mit SE zusammenhängt) auf Meta übertragen?
@Iszi, das ist nicht subjektiv oder sollte es zumindest nicht sein. Dies ist eine solide Diskussion über Passwortrichtlinien und deren Durchsetzung. Warum sollte es Ihrer Meinung nach nicht hier sein? Es ist auch nicht unbedingt eine Meta-Frage, obwohl das die Quelle ist ...
@AviD - Ich nehme an, das Problem liegt eher auf der "A" -Seite von S & A. Die Frage hat sowohl hier als auch in ihrer ursprünglichen Inkarnation bereits einige lange Kommentardebatten ausgelöst. Da dies letztendlich speziell auf SEI abgestimmt ist, werden einige (wenn nicht viele) Antworten wahrscheinlich etwas lokalisiert. Themen wie diese werden auf SE-Websites im Allgemeinen nicht gut angenommen, da sie sich in lange (und gelegentlich hitzige) Diskussionen verwandeln, deren generelles Fehlen uns von anderen Foren unterscheidet ...
... Da die Frage für SE * sehr * relevant ist, sollten wir sie meines Erachtens am Leben erhalten - nur nicht auf der Hauptseite. Dies ist die Art von Dingen, für die Meta * gemacht * wurde.
-1
@AviD - Sehen Sie, jetzt ... es hat * ein weiteres * Argument ausgelöst! ;-);
Während wir uns dem Thema nähern ... Wie planen Sie, die Passwörter zu hashen?
@nealmcb - Code dafür ist [hier] (http://code.google.com/p/stackid/source/browse/OpenIdProvider/Current.cs#1014) (durch viele Indirektionsebenen). Die kurze Antwort lautet [PBKDF2] (http://en.wikipedia.org/wiki/PBKDF2) unter Verwendung der integrierten .NET-Implementierung. Es ist für diese spezielle Frage nicht wirklich relevant, aber wenn Sie ein Problem damit finden, posten Sie es bitte in der meta.SO-Frage (oder werfen Sie ein Problem im Google Code-Projekt auf).
Sieben antworten:
D.W.
2011-05-19 12:32:26 UTC
view on stackexchange narkive permalink

Die vorgeschlagenen Einschränkungen sind schädlich. Diese Einschränkungen sind übertrieben. Sie sind schlecht für die Benutzerfreundlichkeit. Daher denke ich, dass sie die Sicherheit der Benutzer mehr beeinträchtigen als helfen.

Benutzerfreundlichkeit ist der Punkt, an dem sie sich befindet. Meiner Meinung nach ist dies derzeit der wichtigste Einflussfaktor Kennwortsicherheit ist Benutzerfreundlichkeit: Inwieweit Benutzer den Mechanismus auf sichere Weise verwenden. In erster Näherung sollte alles, was Sie tun sollten, darauf abzielen, die Benutzerfreundlichkeit zu erhöhen und die Wahrscheinlichkeit zu erhöhen, dass sich Benutzer sicher verhalten. Jedes Mal, wenn Sie eine Entwurfsentscheidung treffen, sollten Sie sich fragen: Welche Option führt eher dazu, dass sich Benutzer sicher verhalten?

Ich würde erwarten, dass die komplexen Einschränkungen, die Sie formuliert haben, insgesamt schädlich für die Benutzer sind Sicherheit des Benutzers. Ich denke, sie werden die Sicherheit mehr verringern als erhöhen. Hier sind meine Argumente:

  • Frustration. Ein Risiko besteht darin, dass Benutzer frustriert oder verärgert werden, aufgeben und zu einem anderen OpenID-Anbieter wechseln weniger sicher verwaltet als SO - oder bleiben Sie einfach bei der aktuellen SO, anstatt den OpenID-Anbieter von SO zu übernehmen. Dies ist ein Nettoverlust für die Sicherheit des Benutzers.

  • Das Speichern ist schwierig. Wenn Sie eindeutige Einschränkungen haben, die für den OpenID-Anbieter von SO spezifisch sind, Dies bedeutet, dass der Benutzer ein eindeutiges Passwort für Ihre Site auswählen muss. Das mag positiv klingen, könnte aber auch negativ sein. Wenn der Benutzer bereits ein Geheimnis mit hoher Entropie hat, kann er dieses wahrscheinlich nicht verwenden, da es wahrscheinlich nicht den Einschränkungen von SO entspricht. Ich vermute, dass diese Tatsache die Wahrscheinlichkeit erhöht, dass der Benutzer gezwungen ist, sein SO-Passwort irgendwo aufzuschreiben, anstatt es sich zu merken.

  • Automatisierte Passwortgeneratoren. Menschen sind im Allgemeinen schlecht darin, nicht erratene Passwörter auszuwählen. Um dies zu beheben, verwenden einige Leute Tools, um ihr Passwort für sie zu generieren. Einige haben sogar befürwortet, dass diese Tools stärker in den Browser aller integriert und weit verbreitet sein sollten. Derzeit besteht das größte Hindernis für die Verwendung der automatisierten Kennwortgenerierung bei Websites, die ihre eigenen speziellen Einschränkungen für das Kennwort auswählen. Aufgrund der von Ihnen vorgeschlagenen Einschränkungen wird es für Benutzer daher schwierig, automatisierte Kennwortgeneratoren zu verwenden. Das ist schlecht; Sie möchten Benutzer dazu ermutigen, automatisierte Kennwortgeneratoren zu verwenden, da automatisch generierte Kennwörter sicherer sind. Und Sie möchten keine Barrieren für integrierte Passwortgeneratoren schaffen.

Was sollten Sie also tun? Ich habe zwei allgemeine Ratschläge:

  • Beginnen Sie mit einem Bedrohungsmodell. Machen Sie sich nicht nur Einschränkungen und Sicherheitsschemata aus, die gut klingen . Denken Sie stattdessen zunächst über das Bedrohungsmodell nach. Was sind Ihrer Meinung nach die wahrscheinlichsten Möglichkeiten, dass die Sicherheit versagt? Wenn Sie dann eine neue Idee entwickeln, anstatt sie sofort umzusetzen, weil sie sich gut anhört, analysieren Sie, wie sie sich auf jeden dieser wahrscheinlichen Fehlermodi auswirkt. Reduziert es insgesamt die Wahrscheinlichkeit der wahrscheinlichsten Fehlermodi erheblich? So wie es keinen Sinn macht, das stärkste Glied in einer Kette zu stärken, macht es oft wenig Sinn, sich gegen eine Bedrohung abzusichern, die eigentlich nicht sehr wahrscheinlich ist.

    Ich stelle fest, dass die Frage einen Sicherheitsmechanismus beschreibt, dies aber nicht Beschreiben Sie das Bedrohungsmodell und es enthält keine Analyse. Es gibt nicht genau an, welchen Angriff es besiegen soll. Im Bereich des Sicherheitsdesigns ist dies ein "schlechter Geruch", der häufig darauf hinweist, dass möglicherweise mehr Gedanken angebracht sind.

    Ein Beispiel für diese Art der Analyse finden Sie unter diese Analyse. In dem Artikel wird argumentiert, dass etwa 20 Bit Entropie für Webkennwörter ausreichen, solange die Kennwortüberprüfungssoftware angemessen aufgebaut ist, und dass Kennwörter mit höherer Entropie nur einen geringen Nutzen haben. Siehe das Papier für die detaillierte Analyse. In der Schlussfolgerung des Papiers heißt es: "Wir kommen zu dem Schluss, dass es falsch erscheint, Benutzer zur Auswahl sicherer Passwörter zu zwingen." In diesem Dokument erfahren Sie, warum.

  • Kosten-Nutzen-Analyse. Es ist wichtig, die Kosten und den Nutzen des Mechanismus zu bewerten und sicherzustellen, dass die Kosten werden durch den Nutzen gerechtfertigt. In diesem Fall sind die Kosten Benutzer Ärger. Die Sicherheitsvorteile dieser Einschränkungen im Vergleich zu einigen weniger strengen Einschränkungen sind unklar und wahrscheinlich geringfügig.

    Ich empfehle Ihnen, Cormac Herleys wirtschaftliche Analyse der Passwortsicherheit zu lesen. Er weist darauf hin, dass der Rat, den Sicherheitsexperten Benutzern zu Passwörtern geben, irrational ist: Die Kosten für Benutzer, diesen Rat zu befolgen (z. B. ihre Zeit, die beim Auswählen, Speichern, Verwalten und Eingeben komplexer Passwörter verschwendet wird), übersteigen wahrscheinlich die Vorteile (bei reduzierten Sicherheitsverletzungen) mit großem Abstand. Er argumentiert, dass jede Einschränkung, die mehr als ein paar Minuten der Zeit des Benutzers pro Jahr in Anspruch nimmt, mit ziemlicher Sicherheit einen Nettoverlust darstellt, und in der Praxis vermute ich, dass sie wahrscheinlich mindestens eine Größenordnung niedriger sein muss als Das. Jemand fragte nach Daten; er hat es.

    In einem ähnlichen Zusammenhang hat Cormac Herley auch eine Studie zu den Kennwortrichtlinien auf 75 verschiedenen Websites durchgeführt. Er fand eine breite Palette von Einschränkungen. Er stellte außerdem fest, dass der Grad der Restriktivität nicht mit der Sicherheitsempfindlichkeit der Website korreliert, und schlägt vor, dass "die Websites mit den restriktivsten Kennwortrichtlinien keine größeren Sicherheitsbedenken haben, sondern lediglich besser gegen die Folgen einer schlechten Benutzerfreundlichkeit isoliert sind. "" Dies sollte einen zweimal über den Vorschlag nachdenken lassen, dass strengere Kennwortbeschränkungen besser sind.

Wenn Sie nach konkreteren Schritten suchen, können Sie Ihre Benutzer schützen und die Anzahl erhöhen Hier sind einige Ideen, die Sie berücksichtigen könnten:

  • Fügen Sie eine Kennwortstärkeleiste ein. Auf dem Formular, auf dem der Benutzer sein muss Wählen Sie ein Passwort aus und fügen Sie etwas Javascript hinzu, um eine dynamisch aktualisierte Leiste bereitzustellen, die anzeigt, wie stark das Passwort des Benutzers ist. Sie können Rot, Gelb, Grün für unsicher, grenzwertig und gut verwenden.

  • Fügen Sie einen vorgenerierten Kennwortvorschlag hinzu. Auf dem Formular, auf dem die Benutzer muss ein Passwort auswählen, Sie können zufällig ein Passwort für sie generieren und vorschlagen, dass sie es verwenden. Vielleicht werden einige es verwenden!

  • Helfen Sie Benutzern, beliebte Passwörter zu vermeiden. Ein aktuelles Forschungspapier schlägt eine interessante Idee vor: Sie schlagen vor, dass Benutzer in der Lage sein sollten, ein beliebiges Passwort zu wählen, solange nicht zu viele andere Benutzer es zuvor ausgewählt haben. Anschließend wird beschrieben, wie diese Richtlinie durchgesetzt wird, ohne dass Kennwörter im Klartext auf dem Server gespeichert werden.

  • Verwenden Sie sichere, dauerhafte Cookies für die Benutzerauthentifizierung. Wenn Sie die Häufigkeit verringern, mit der Benutzer Kennwörter eingeben müssen, sind Benutzer möglicherweise eher bereit, selbst komplexe Kennwörter auszuwählen Übereinstimmung, und vielleicht werden Benutzer weniger wahrscheinlich von Phishing-Angriffen getäuscht. Ich schlage vor, dass Ihre Site ein sicheres, dauerhaftes Cookie im Browser des Benutzers setzt, wenn sich der Benutzer zum ersten Mal anmeldet. Wenn Sie dieses Cookie bei zukünftigen Besuchen erkennen, behandeln Sie den Benutzer sofort als authentifiziert und leiten Sie es ohne Benutzerinteraktion an sein endgültiges Ziel weiter erforderlich, damit Benutzer angemeldet sind, ohne ihr Kennwort eingeben zu müssen.

  • Konzentrieren Sie sich mehr auf den Schritt zur Kennwortüberprüfung. Warum sollen Benutzer dies tun? Wählen Sie in erster Linie Passwörter mit hoher Entropie? Über welche Angriffe sind wir besorgt? Eine Art von Angriff ist ein gezielter Angriff, bei dem der Angreifer einen bestimmten Benutzernamen im Sinn hat und in das Konto dieses Benutzers eindringen möchte. Eine andere Art von Angriff ist ein breiter Angriff, bei dem der Angreifer eine Menge Benutzernamen hat und einen finden möchte, einen beliebigen, dessen Passwort er erraten kann. Was ist die größte Bedrohung für den SO OpenID-Anbieter? Ich vermute, dass Sie sich am meisten um gezielte Angriffe sorgen sollten, da ich vermute, dass ein Angreifer eher motiviert ist, in einen Moderator oder hochrangigen Benutzer einzudringen, als ein durchschnittlicher Benutzer.

    • Stoppen gezielter Angriffe. Es gibt effektive Möglichkeiten, gezielte Angriffe auf die Passphrase eines einzelnen Benutzers zu verhindern. Eine sehr einfache Möglichkeit besteht darin, zu zählen, wie viele falsche Passwörter am letzten Tag oder so eingegeben wurden. Wenn diese Anzahl einen bestimmten Schwellenwert überschreitet, wechseln Sie in den Modus "Oh Scheiße, ich werde möglicherweise angegriffen". In diesem Modus können Sie vom Benutzer die Eingabe eines CAPTCHA zusammen mit jedem Kennwort verlangen oder nach jedem Versuch eine Verzögerung hinzufügen oder Anmeldeversuche mit Ratenbegrenzung durchführen oder den Benutzer zwingen, eine Proof-of-Work-Herausforderung zu lösen (z. B. dem Benutzer Javascript-Code bereitstellen und ihn zwingen, 20 Sekunden zu berechnen, bevor Sie die nächste Kennwortschätzung akzeptieren) oder eine Teilmenge davon. Es gibt viele mögliche Schemata.

    • Stoppen breiter Angriffe. Wenn Sie sich gegen breit angelegte Angriffe verteidigen möchten, z. B. wenn der Angreifer versucht, ein Kennwort zu erraten Für jedes von Zehntausenden von Konten benötigen Sie unterschiedliche Verteidigungen. Es gibt aber auch Pläne, um dieses Problem zu lösen. Eine mögliche Gegenmaßnahme besteht darin, die Gesamtrate falscher Passwörter zu verfolgen und in den Modus "Ich werde möglicherweise angegriffen" zu wechseln, wenn diese Rate anfängt, hoch zu werden.

    eine reichhaltige Literatur zur Verteidigung gegen solche Angriffe. Insgesamt denke ich, dass es für Angreifer besser ist, es schwieriger zu machen, Angriffe zum Erraten von Passwörtern durchzuführen (z. B. sie langsamer laufen zu lassen), als den Benutzerkennwörtern zusätzliche Einschränkungen aufzuerlegen. Ich denke, da gibt es mehr für den Geldbeutel.

Meistens gut, aber auch ein paar schlechte Punkte. Eine Sache, mit der ich nicht einverstanden bin, ist, die Wiederverwendung von Passwörtern zu dulden und aufgeschriebene Passwörter zu verurteilen. Für Passwörter, die auf einer Website, insbesondere SE, verwendet werden sollen, ist dies genau umgekehrt. Die Verwendung des gleichen Passworts auf verschiedenen Websites [wird Sie schließlich erhalten] (http://www.codinghorror.com/blog/2009/05/i-just-logged-in-as-you-how-it-happened.html) . Wenn andererseits die in der Datei oder zwischengespeicherte Kopie Ihres Passworts gestohlen wird, ist dies höchstwahrscheinlich auch Ihr SE-Cookie.
Stimmen Sie mit @Giles, überein. Viele gute Punkte dort. @D-W und ich haben Ihnen eine positive Bewertung gegeben. Schlagen Sie jedoch vor, einen Punkt für ein dauerhaftes Sitzungscookie herauszunehmen. Es verstößt gegen die bewährte Vorgehensweise von OWASP: "Im Allgemeinen wird nicht empfohlen, eine SSO-Lösung (Single Sign On) mithilfe von Cookies zu implementieren. Sie waren niemals für eine solche Verwendung vorgesehen." Https://www.owasp.org/index.php/Reviewing_Code_for_Session_Integrity_issues . Beim Schreiben von Sicherheitsanforderungen stelle ich normalerweise sicher, dass Entwickler dies nicht tun.
@Rakkhi, Was ist falsch daran, sichere dauerhafte Cookies für diesen Zweck zu verwenden? Die OWASP-Webseite bietet keine Erklärung oder Begründung für ihre Empfehlung. (Die Aussage "Sie wurden nicht dafür entwickelt" ist weder überprüfbar noch überzeugend.)
@D-W Das Hauptproblem, selbst wenn es korrekt implementiert ist, d. H. Über http nicht auf sichere Cookies zugreifen kann, ist das Vertrauen in das Gerät, das das Cookie speichert. Wenn der Benutzer nicht weiß, dass dies geschieht, oder ein normaler Benutzer, wenn er die SE-Anmeldung in einem Internetcafé, einem gemeinsam genutzten Familiencomputer, einem Mobiltelefon ohne PWD usw. verwendet, lässt er sich effektiv angemeldet. Sie könnten kurze Zeitüberschreitungen haben, aber was ist der Vorteil davon? der hartnäckige Keks? Wenn es als Kompromiss zwischen Benutzerfreundlichkeit und Sicherheit angeboten wird, sollte es über eine optionale Option zum Anmelden (dies ist keine öffentliche Vergütung) erfolgen
@Rakkhi, guter Punkt. Gleichzeitig erscheint es plausibel, dass dies beherrschbar ist. Wenn sich der Benutzer zum ersten Mal von einem neuen Computer aus anmeldet, kann die Site dem Benutzer möglicherweise eine Option anzeigen ("Angemeldet bleiben / dies ist kein öffentlicher Computer") oder dem Benutzer eine Frage stellen ("Sind Sie es?) Zugriff von einem öffentlichen Computer? "). Sie haben Recht, dass ich in meiner Antwort etwas zu glitschig war; Vielleicht ist der umfassendere Punkt, dass es angesichts der Unzulänglichkeiten von Passwörtern sinnvoll erscheint, nach Alternativen zu suchen - darunter sichere, dauerhafte Cookies.
nealmcb
2011-05-18 20:14:34 UTC
view on stackexchange narkive permalink

In der Frage wird ausdrücklich auf die Anforderung einer "engen Integration mit Websites von Drittanbietern" hingewiesen. Alle Argumente darüber, wie unwichtig SE-Konten sind, stehen außer Frage.

Beachten Sie auch, dass niemand jemanden zwingt, diesen bestimmten OpenID-Dienst zu verwenden. Es gibt viele zur Auswahl. Eine Differenzierung auf der Grundlage einer guten Sicherheit scheint eine gute Idee für einen Authentifizierungsdienst zu sein.

Falsche Passwörter sind ein großes Problem auf der Welt. Benutzer können das gleiche Passwort möglicherweise an anderer Stelle wiederverwenden. Die Aufklärung der Benutzer über das Erstellen eines guten Passworts ist ein sehr wertvoller Dienst für das Internet. Die Kosten für den Benutzer, ein gutes Passwort zu verwenden, sind gering, insbesondere angesichts der Bequemlichkeit guter und sicherer Agenten (in Browsern oder anderswo), sich diese zu merken.

Websites mit wertvollen Informationen wie Passwörtern sollten kompromittiert werden und planen Sie, wie Sie den Schaden minimieren können. Selbst mit einem guten Hashing-Algorithmus wie bcrypt können Passwörter mit geringer Entropie brutal erzwungen werden. Gute Passwörter bleiben also eine gute Idee.

Welche Richtlinie ist die beste? Wir haben alle Meinungen, aber es gibt tatsächlich Daten da draußen. Ein interessantes neues Papier ist Wiederverwendbare Sicherheit: Neues Papier zu Kennzahlen zur Passwortsicherheit. (Update :) Es wird darauf hingewiesen, wie wichtig es ist, die vorgeschlagenen Passwörter mit einer schwarzen Liste gängiger Passwörter zu vergleichen (einschließlich Zeilen mit Tastaturtasten). Es schwebt auch die Idee einer interessanten neuen Funktion zum Zurückweisen von Passwörtern vor, die auch Änderungen des vorgeschlagenen Passworts vorschlägt, die das vom Benutzer gewählte Grundmuster verwenden, das Passwort jedoch ungewöhnlicher und damit schwerer zu knacken machen:

[zuerst] bewerten Sie die Wahrscheinlichkeit eines vom Menschen generierten Passworts, indem Sie es mit einer Grammatik analysieren, die auf zuvor offenbarten Passwortlisten trainiert wurde. Auf diese Weise können wir im Vergleich zu einer einfachen Blacklist eine robustere Ablehnungsfunktion erstellen und gleichzeitig versuchen, bei der Auswahl ihrer Kennwörter angesichts der Sicherheitsbeschränkungen des Systems die größtmögliche Benutzerfreiheit zu gewährleisten.

Auf der Grundlage des oben Gesagten scheint die vorgeschlagene Richtlinie sicherlich die Art von Unterscheidungsmerkmal für die Sicherheit zu sein, nach der ich als Drittanbieter-Site suchen würde, die an der Einführung des Stack Exchange OpenID-Anbieters interessiert ist, wenn ich das Risiko von Kennwörtern verringern möchte geknackt.

(Update :) Wenn Sie jedoch Benutzer für Ihren OpenID-Dienst gewinnen möchten, ist ein Schema, das sie weniger frustriert (wie D.W. beschreibt), möglicherweise eine bessere Geschäftsentscheidung. Letztendlich sind Ihre Ziele wahrscheinlich vielfältig und die Kompromisse komplex.

+1 Auch wenn nur für Ihren ersten Absatz. Aber der Rest der Sachen hier ist auch gut. Ich muss das Papier irgendwann lesen - klingt interessant.
+1, auch wenn nur für den letzten Satz komplexe Kompromisse bestehen.
Kyle Cronin
2011-05-18 07:46:03 UTC
view on stackexchange narkive permalink

Komplexe Kennwörter werden häufig von der IT-Abteilung eines Unternehmens erzwungen, um sicherzustellen, dass die Benutzerkonten der Mitarbeiter nicht extern gefährdet werden. Sie werden auch in Situationen erzwungen, in denen einem Benutzer vertraut wird, dass er Zugriff hat, der in den falschen Händen schädlich sein kann.

In diesem Fall gilt keine der beiden Situationen. Stack Exchange speichert keine privaten Daten und reguläre Benutzerkonten können keinen Schaden anrichten. Der einzige Fall, in dem diese Kennwortanforderungen sinnvoll sein könnten, besteht darin, dass die Stack Exchange-Systeme kompromittiert wurden, alle Kennwort-Hashes offengelegt wurden, leicht geknackt werden konnten und Benutzer die Kennwörter an anderer Stelle verwendeten. Kein anderes Szenario ist sinnvoll - Stack Exchange kann Brute-Force-Angriffe drosseln. Wenn das Anmeldesystem beeinträchtigt ist, ist die Kennwortstärke nutzlos. und selbst wenn das Kennwort des Benutzers kompromittiert wird, ist der Schaden, den es bei Stack Exchange anrichten kann, ziemlich begrenzt. In allen Fällen wird Stack Exchange also nicht von der Stärke der Kennwörter ihrer Benutzer beeinflusst.

Auf der anderen Seite werden die starken Kennwortanforderungen wahrscheinlich dazu führen, dass viele Benutzer die Nutzung des Dienstes vermeiden und dabei bleiben ihre Google- oder Facebook-Konten, die beide weitaus weniger Einschränkungen hinsichtlich des Passworts haben.

Dies ist eine Frage des Grades - wie sicher können Sie Menschen dazu zwingen, zu sein, bevor sie entweder Ihren Dienst meiden oder Ihre Versuche, sie zu "sichern", sabotieren. Zum Beispiel kann jemand ein Passwort haben, das er verwenden möchte, aber es kann nicht 8 eindeutige Zeichen haben, also verwenden sie stattdessen "Pas $ word". Oder sie erfinden ein Passwort, wissen aber, dass sie sich nicht daran erinnern, und schreiben es an einer Stelle auf, an der jeder in ihrer Nähe es sehen kann.

Um eine Perspektive zu bieten, werden hier die Passwortbeschränkungen untersucht Die anderen OpenID-Anbieter, die auf den Stack Exchange-Anmeldeseiten prominent vorgestellt werden, haben:

enter image description here

  • Google: Mindestens 8 Zeichen, darf auch kein "schwaches" Passwort sein, obwohl der genaue Mechanismus, mit dem ein "schwaches Passwort" ermittelt wird, unklar ist. ("abcdefgh" und "abcdefg1" sind schwach, während "Abcdefgh" ausreichend stark ist). Sie bieten eine Seite mit Tipps für ein stärkeres Passwort.

  • Yahoo: mindestens 6 Zeichen. Es gibt eine ähnliche Grafik wie bei Google, die zeigt, wie stark Ihr Passwort ist, aber nichts verhindert die Erstellung eines Kontos mit einem schwachen Passwort.

  • MyOpenID: Mindestens 1 Zeichen, keine weiteren Einschränkungen. Ähnlich wie bei Yahoo gibt es eine Grafik, die zeigt, wie stark das Passwort ist ( Quellcode), aber nichts verhindert die Erstellung eines Kontos mit einem schwachen (oder sogar 1 Zeichen) Passwort.

  • AOL: Mindestens 6 Zeichen, darf auch nicht "zu unsicher" sein. Es gibt ein Kennwortstärkemessgerät ( Quellcode), und es scheint, dass jedes Kennwort, dessen Punktzahl unter 34 liegt, als "zu unsicher" eingestuft wird.

  • Facebook: mindestens 6 Zeichen.

Im Vergleich dazu sind die Einschränkungen für das Stack Exchange OpenID-Kennwort weitaus strenger. Unnötig, meiner Meinung nach, da der größte reine OpenID-Anbieter, MyOpenID, überhaupt keine Passwortbeschränkungen hat.

@Iszi Wenn der Benutzer sein SE OpenID-Konto mit anderen Websites mit vertraulichen Informationen verknüpfen möchte, kann er jederzeit sicherstellen, dass sein Kennwort sicherer ist. Selbst dann sind die Umstände, unter denen ein schwaches Passwort zu Kompromissen führen würde, wenn ein starkes Passwort nicht vorhanden wäre, praktisch nicht vorhanden.
Was ist mit Karrieren in Bezug auf "private Daten"? Was ist mit anderen Sites, die SO als OpenID-Anbieter verwenden? Während "reguläre Benutzerkonten keinen [dauerhaften] Schaden anrichten können", können Benutzer mit hohen Wiederholungszahlen oder Diamantmoderatoren viel vorübergehenden Schaden anrichten.
@Iszi Ich gebe zu, dass Moderatorkonten sicherer sein müssen, aber die Anzahl der Moderatoren ist im Vergleich zur Anzahl der Benutzer verschwindend gering.
@KyleCronin - Stimmt, aber hier sind Moderatoren einfach nur Benutzer, die befördert wurden. Sie unterliegen denselben Kennwortsicherheitsanforderungen (oder deren Fehlen) wie Joe User. Außerdem haben Sie immer noch nicht für Karrieren geantwortet. Ich qualifiziere mich nicht für eine Einladung, um dies mit Sicherheit zu sagen, aber es scheint, dass eine Website zur Jobsuche / -vermittlung eine Menge Informationen mit höherer Sensibilität als der Rest des SE-Netzwerks enthalten wird. Natürlich könnte argumentiert werden, dass Menschen auch bei strengeren Anforderungen andere OpenID-Anbieter auf SE nutzen könnten, wenn SEI diese Position nicht ändert.
FTR: Die Abwertung war nicht meine, aber es scheint, dass jemand meinem Standpunkt zu Karrieren zustimmt. SO- und / oder Mod-Level-Accounts.
@Iszi * "Außerdem haben Sie noch nicht für Karrieren geantwortet. SO." * In meinem ersten Kommentar wird Folgendes angesprochen: "Wenn der Benutzer sein SE OpenID-Konto mit anderen Websites mit vertraulichen Informationen verknüpfen möchte, kann er jederzeit sicherstellen, dass sein Kennwort lautet sicherer."
@KyleCronin - Ich nehme an, Sie sehen hier nicht den Unterschied, den ich bin. Ich könnte dieser Aussage zustimmen, wenn solche Websites * nur * Websites von Drittanbietern wären. Da es sich jedoch um einen von SEI angebotenen Service handelt, ist die Situation etwas anders. Trotz aller SEI-Maßnahmen zur Implementierung der Durchsetzung sicherer Kennwörter könnte der Benutzer (in der aktuellen Implementierung) einfach einen anderen OpenID-Anbieter auswählen und weiterhin "Kennwort" als Authentifikator für Karrieren verwenden.
@Iszi Es ist ziemlich offensichtlich, wer mich herabgestimmt hat - Sie erhalten -1 Wiederholung, wenn Sie herabgestimmt haben, und Kevin fehlt 1 Wiederholung.
"Stack Exchange ... Benutzerkonten können keinen Schaden anrichten". Ich bin absolut anderer Meinung. Meine Online-Persönlichkeit ist etwas, das mir wichtig ist. Sie knüpft an On- und Offline-Freundschaften, professionelle Netzwerke, Karrieremöglichkeiten und viele andere Dinge an. Ich möchte absolut nicht, dass meine Stack-Konten kompromittiert werden. Ob strenge Kennwortrichtlinien tatsächlich zur Sicherheit beitragen, ist eine andere Frage.
@Jesper Nun, ich meinte, dass ein kompromittiertes Benutzerkonto Stack Exchange keinen Schaden zufügen kann. Und wenn Sie Ihr SE-Konto schätzen, hindert Sie nichts daran, ein sehr, sehr sicheres Passwort zu verwenden. Der Kern meiner Argumentation ist, dass strenge Anforderungen, die Stack Exchange keinen Vorteil bieten und es dem Benutzer auch erschweren, kontraproduktiv sind.
Ich stimme diesem Argument grundsätzlich nicht zu, es läuft darauf hinaus, dass "andere es schlecht machen, also können Sie es genauso gut auch schlecht machen".
@Kevin Glauben Sie wirklich, dass Sie mehr über die Sicherheit von Benutzerkonten wissen als über Facebook oder Yahoo? Weil ich Ihnen garantiere, dass es in diesen Unternehmen Teams gibt, deren Aufgabe es ist, sicherzustellen, dass die Benutzerkonten und Passwörter sicher bleiben.
@Kyle - nein, ich denke nur, dass ein Appell an die Autorität ein Müllargument ist.
@Kyle,, nur weil es sich um große Unternehmen handelt, auch wenn sie Teams von Menschen haben, heißt das nicht, dass sie unbedingt wissen, was sie tun. Facebook war in der Vergangenheit dafür berüchtigt, schlechte Sicherheitsentscheidungen getroffen zu haben.
Sklivvz
2011-05-18 15:55:32 UTC
view on stackexchange narkive permalink

Es hängt alles vom Kontext ab

Mein Baseline-Rat lautet:

Machen Sie es wie Google stark>

Wenn sie die OpenId-Sicherheit von Google gefährden können, werden sie sich wahrscheinlich nicht um Sie kümmern. Alles, was sicherer als dieses ist, muss durch ein sehr starkes Mehrwertversprechen abgesichert werden. :

  • Wir möchten sicherer sein als Google, weil ____________________
  • Für unsere Nutzer ist es wertvoller, einen weniger bequemen Service als Google zu haben, da wir ______________________ als Mehrwert

anbieten Zweitens kann ich diese realen Daten anbieten:

10% der Benutzer verwenden denselben Benutzernamen und dasselbe Passwort , gemessen an einigen von mir erstellten Websites, mit 50.000 bis 500.000 Benutzer.

ZB Benutzername Foobar123 und Passwort Foobar123 .

Im Allgemeinen ist es nur dann sinnvoll, das Passwort sicherer zu machen, wenn Sie den Authentifizierungsmechanismus korrekt implementieren:

  • Der Benutzername ist nicht geheim, aber Sie geben nicht bekannt, ob er in Ihrem System vorhanden ist.
  • Das Passwort ist stark genug.
  • Die beiden Informationen sind völlig unabhängig:
    • anders
    • Nie zusammen gespeichert oder gesendet ( Sie werden es lieben - auch an anderen Standorten, an denen sie möglicherweise verwendet werden).
@Sklivvz - "Nie zusammen gespeichert oder gesendet"? Ich würde gerne mehr darüber erfahren, wie das gemacht wird, oder liegt der Trick darin, den Begriff "zusammen" zu definieren?
@isz: Benutzer + Hash (Passwort) würde das erste Bit erfüllen. Der zweite ist zufriedenstellend, wenn Sie keine E-Mail senden "Danke für die Registrierung, Ihr Benutzername ist diese E-Mail-Adresse und das Passwort ist xxx" (zum Beispiel). Es ist wirklich unmöglich festzustellen, dass dieselbe Kombination nicht an anderer Stelle verwendet wird - das ist ein bekanntes Sicherheitsproblem, mit dem alle Websites konfrontiert sind (nicht vermeiden zu können bedeutet nicht, dass es nicht vorhanden ist :-))
Ich würde sagen, wir machen ungefähr das, was Google macht. Gleiche Mindestkennwortlänge mit einer "Stärke" -Prüfung (Google ist undurchsichtig, aber vermutlich entropiebasiert; unsere ist für den Endbenutzer klarer und verwendet eine eindeutige Zeichenanzahl- und Zeichenklassenprüfung als Proxy für Entropie). Würdest du zustimmen?
@Kevin, Ich würde nicht zustimmen. Ich habe zwar keine Daten oder Analysen zum Sichern, aber ich vermute, dass Ihre vorgeschlagenen Einschränkungen restriktiver sind als die von Google. Ich würde auch fragen, ob ein komplexer Satz von Einschränkungen für den Benutzer klarer ist als ein dynamisch aktualisierter Stärkebalken.
@D.W. - Wir haben das dynamische Feedback. Der Unterschied zwischen uns und Google besteht darin, dass wir dem Nutzer mitteilen, was ihm fehlt, anstatt "Nein, muss besser sein (und Sie können sich vorstellen, wie)!".
@Kevin, Ich weiß es einfach nicht. Es ist nicht offensichtlich, dass dies für die Benutzer klarer sein wird. Um das herauszufinden, müssten Sie einige Benutzertests durchführen. Aber es scheint mir plausibel, dass Googles Schema leichter zu verstehen sein könnte: "Fügen Sie Ihrem Passwort weiterhin Zeichen hinzu, bis die Anzeige grün wird" ist ziemlich intuitiv und leicht zu verstehen, plausibel leichter zu verstehen, als herauszufinden, was ich tun muss, um es zu machen Ihre Website glücklich.
john
2011-05-18 16:17:29 UTC
view on stackexchange narkive permalink

Die 8 eindeutigen Zeichen sind etwas übertrieben. Nur überprüft und es gibt weniger als 1500 Wörter in englischen Wörterbüchern mit 8 oder mehr Buchstaben, die alle eindeutig sind, also was Sie sind Außerdem werden keine Wörter aus dem Wörterbuch akzeptiert. Nicht, dass dies eine schlechte Idee wäre, aber Sie könnten einfach sagen, dass "Wörterbuchwörter nicht erlaubt sind".

Dies wird natürlich die Benutzer frustrieren und viele von ihnen dazu bringen, erkennbare Tastaturmuster , wie jeder Buchstabe in einer Reihe. Diese Muster sind in den Wörterbüchern jedes guten Crackers enthalten.

Bearbeiten: Ich konnte mir nicht helfen, musste dies hier posten: http://popstrip.com/password-validation/ :-)

Erstens möchten wir Wörterbuchwörter entmutigen! Zweitens müssen nicht alle Zeichen eindeutig sein. Es erfordert, dass es 8 einzigartige gibt. Wenn Sie also 8 Zeichen und einen Dup haben, fügen Sie einfach ein weiteres Zeichen hinzu. Jedes Wörterbuchwort funktioniert also, aber Sie müssen möglicherweise mehr hinzufügen.
In dem Moment, in dem Sie Zahlen benötigen, verbieten Sie Wörterbuchwörter bereits als Passwörter :-)
@nealmcb: Sie haben Recht, ich habe nicht vorgeschlagen, sie zu ermutigen, ich habe es nicht klar geschrieben, also habe ich die Antwort bearbeitet. Wie auch immer, es war nur ein Vorschlag über die erkennbaren Muster, hat nicht verstanden, dass Passwörter beim ersten Lesen nicht alle eindeutig sein sollten. @sklivvz: Die meisten Cracker verwenden Permutationen, damit sie leicht ein Wörterbuchwort mit einer hinzugefügten Nummer finden können.
Ich denke, der wichtigere Punkt, den John gemacht hat, ist, dass diese Einschränkungen viele Benutzer dazu bringen, erkennbare Tastaturmuster einzugeben (z. B. "zxcvbnm").
@D.W. Wie das Papier, auf das ich in meiner Antwort verweise, deutlich macht, sollte jedes gute Schema auch eine schwarze Liste enthalten, um zu verhindern, dass solche Tastaturmuster ausgewählt werden. Und @john,, das über 1500 "alle eindeutigen" Wörter spricht, hat keinen Einfluss auf diese Frage - das ist hier keine Voraussetzung.
Rakkhi
2011-05-18 19:18:07 UTC
view on stackexchange narkive permalink

Ich liebe es, wie wir diese Debatte noch im Jahr 2011 führen. Ich frage mich, ob wir in weiteren 10 Jahren noch über die am besten geeignete Passwortrichtlinie diskutieren werden.

Ich stimme @ Kyle-Cronin zu, dass dies richtig ist Um dies zu erreichen, müssen Sie das Risiko untersuchen:

  • Was ist der Wert? Für Standardbenutzer ist nur das Stack Exchange (SE) -Konto von geringem Wert. mäßiger Wert. Es ist kein Wegwerfabonnement, Reputation und Online-Profil sind wichtig, aber weniger als E-Mail, soziale Netzwerke, Online-Banking, Zahlungssysteme. Moderatoren könnten etwas mehr Wert haben, aber immer noch nicht hoch. @Iszi wirft eine interessante Frage auf, ob als Federated Identity-Anbieter die Verantwortung oder Sorgfaltspflicht besteht, mehr Sicherheit zu bieten, als die ursprüngliche Site garantiert, nur weil sie von wertvolleren Sites verwendet werden könnte. Sie können sich darauf verlassen, dass der Benutzer ein stärkeres Kennwort festlegt, wenn er SE Open-ID auf wertvolleren Websites verwendet. Dies ist jedoch möglicherweise nicht der Fall. Alternativ können Sie das Maximum für den Fall festlegen, dass die ID beispielsweise für das Internet-Banking verwendet wird. Wahrscheinlich würden diese Websites den Kontext berücksichtigen, in dem SE verwendet wird, und es ist unwahrscheinlich, dass sie SE Open-ID anbieten, daher können sie rabattiert werden. Die wahrscheinlichsten Sites, die die SE Open-ID verwenden, sind soziale Netzwerke und Start-up-Sites, die eine Vielzahl von Verbundanmeldungen unterstützen und die verschiedenen SE-Communities als Kunden ansprechen möchten.

  • Bedrohungen und Motivationen? Die Hauptbedrohungen für SE-Konten sind wahrscheinlich Spammer. Sie sind motiviert, verwenden jedoch einen Dragnet-Ansatz, um die größtmögliche Abdeckung mit dem geringsten Widerstand zu erreichen. Potenziell verärgerte oder böswillige Benutzer, die Berechtigungen an Moderatoren weitergeben, andere Benutzer in den Papierkorb werfen usw. möchten, haben jedoch wahrscheinlich keine sehr hohe Motivation, grundlegende Kennwortkontrollen zu untergraben. Soziale Netzwerke und andere Start-ups, die SE Open-ID verwenden, werden zumindest zu Beginn wahrscheinlich nicht mit hochmotivierten Angreifern konfrontiert sein. Wenn sie später ein höheres Risiko wahrnehmen, würden sie wahrscheinlich ihre Unterstützung für SE Open-ID überdenken oder zusätzliche Kontrollen hinzufügen, z. Adaptive Authentifizierungs- oder Betrugsüberwachungssysteme.

  • Sicherheitslücken? Die Hauptangriffe, gegen die eine Kennwortrichtlinie verteidigt, sind das brutale Erzwingen oder Erraten eines Kennworts. Bei einem exponentiellen Back-Off oder einer kurzen Kontosperrung kann sogar ein 6-stelliges Passwort einen angemessenen Schwierigkeitsgrad für Brute-Force oder Vermutungen bieten. Insbesondere gegen die Art der Bedrohungen und Motivationsniveaus, die wir erwarten. Größere und komplexere Passwörter würden sich wirklich nur gegen jemanden verteidigen, der die vollständige oder teilweise Datenbank mit Passwörtern erhält. Unter der Annahme einer vernünftigen Multi-Round-Hash- und Seed-Methode mit bcrypt usw. sowie einer vernünftigen Infrastrukturkontrolle ist die Wahrscheinlichkeit für die SE-Bedrohungen so gering, dass sich der Kompromiss zwischen Benutzerfreundlichkeit

  • Risikoübersicht: Insgesamt ist das Risiko für einen Standardbenutzer gering, wenn ein grundlegender Satz von Kennwortrichtlinien festgelegt wird. Moderatoren sind einem etwas höheren Risiko ausgesetzt, und Benutzer, die die SE Open-ID für vertraulichere Websites verwenden, sind dem höchsten Risiko von allen ausgesetzt.

Daher empfehle ich einen segmentierten Satz von Kennwortkontrollen Um das beste Gleichgewicht zwischen Risiko und Benutzerfreundlichkeit zu erzielen:

Standardbenutzer:

  • Mindestlänge 6 Zeichen. Obwohl MyOpenID 1 Zeichen bietet, sind die meisten Benutzer jetzt an ein Kennwort mit etwa 6 Zeichen gewöhnt. Dies sollte nicht viele Benutzer davon abhalten, der Site beizutreten und sie zu nutzen, und unvergesslich genug sein. Wie bereits erwähnt, wird dies von Facebook und Yahoo verwendet.
  • Zeigt die einfache Kennwortstärkeanzeige an, die während der Eingabe aktualisiert wurde, aber keine weiteren Anforderungen erfüllt. Es ist auch eine gute Idee, einen Benutzer zu ermutigen, hier auf der Benutzeroberfläche einen Kennwort-Tresor zu verwenden, um das Kennwort zu generieren >

    Moderatoren (zusätzlich):

    • Muss 3 enthalten: Kleinbuchstaben, Großbuchstaben, Zahlen, Sonderzeichen
    • Darf kein Feld für ein öffentliches Konto enthalten.
    • Mindestkennwortlänge 8 Zeichen

    Wenn ein Benutzer Moderator wird, kann er aufgefordert werden, sein Kennwort mit den neuen Anforderungen zu ändern.

    Authentifizierung für andere Sites (zusätzlich):

    Jeder Benutzer, der die SE zur Authentifizierung bei x anderen Sites verwendet (x kann konfigurierbar sein 3), ist wahrscheinlich eine gute Nummer wenn sich das Risiko erhöht, um eine ausreichende Sicherheit zu gewährleisten). Da ich nicht der Meinung bin, dass es eine gute Möglichkeit gibt, das Risiko der Websites zu beurteilen, für die SE Open-ID verwendet wird, ohne eine manuelle Liste zu führen und das Risikoprofil des Benutzers zu kennen, ist eine grundlegende Anzahl verknüpfter Websites ausreichend. Dies sollte auch für höhersensible SE-Websites wie careers.stackoverflow.com gelten, da hier personenbezogene Daten gespeichert werden.

    • Bieten Sie eine Zwei-Faktor-Option an, z. SMS pünktlich Passwort, Soft Token wie Google Authenticator. Nicht sicher, ob dies von SE kostengünstig entwickelt und unterstützt werden kann.

    Wenn ein Benutzer zusätzliche Websites verknüpft, kann er aufgefordert werden, sein Kennwort mit den neuen Anforderungen zu ändern.

    8 Einzigartige Charaktere sind ein Albtraum für die Benutzerfreundlichkeit und das Anbieten von zwei Faktoren wäre eine viel bessere Option für diese Risikostufe. Das Ablaufen des Passworts ist eher schädlich als vorteilhaft, daher bin ich froh, dass dies nicht vorgeschlagen wurde.

Beachten Sie, dass die Rolle der Benutzer in der offenen ID vollständig delegiert ist. Sie bieten nur einen Authentifizierungsdienst an, keinen Autorisierungsdienst. In der Praxis können Sie nie wissen, ob der Benutzer "Standard", "Moderator" ist ...)
Intern innerhalb von SE kennen Sie jedoch die Autorisierungsrolle. Für Federated stimme ich zu, deshalb habe ich die Zählnummer vorgeschlagen
Das Erhöhen der Kennwortanforderungen durch Ändern von Rollen oder Berechtigungen ist nicht möglich. Wir können nicht darauf vertrauen, dass Partner uns w.r.t. "Weitere Berechtigungen für {account}" (Ich bin dagegen, Stack Exchange speziell beim Anbieter zu behandeln, daher können wir uns selbst nicht vertrauen). Dies setzt voraus, dass die beteiligten Websites sogar ordnungsgemäß als Partner registriert sind und nicht nur zufällige OpenID-vertrauende Parteien.
Sie können jederzeit etwas über die Überprüfung der Sicherheit Ihres OpenID-Anbieters und des Kennworts in die Vereinbarung aufnehmen, der die Moderatoren zustimmen, bevor sie mit der Moderation beginnen können. Ein Moderator zu sein bedeutet, dass Sie bereits sehr viel Vertrauen haben. Ich denke, wir können davon ausgehen, dass Moderatoren ihre Passwörter ernst nehmen.
@Rakkhi - Vielen Dank, dass Sie die Frage der Verwendung von SE OpenID auf anderen Websites anerkannt haben. Können Sie bitte auch den anderen Punkt ansprechen, den ich angesprochen habe, nämlich den speziellen Fall, in dem SEI sowohl der OpenID-Anbieter * als auch * der Anbieter eines Onlinedienstes mit höherer Informationssensitivität wie Karrieren ist.
@kevin-montrose Ich habe nur über strengere Richtlinien für die Moderatorrolle gesprochen, über die SE Bescheid wissen wird, nicht über andere Richtlinien für andere Websites, die die SE Open-ID verwenden. Aus diesem Grund wird vorgeschlagen, die Nummer als Proxy für ein erhöhtes Risiko zu verwenden, anstatt sie zur Bereitstellung von Rollen aufzufordern. Einverstanden, dass dies eher dem einzelnen Standort als der SE des Managers obliegt
@Iszi Ich würde vorschlagen, diese höher sensiblen Websites wie im Bereich mit dem höchsten Risiko zu behandeln. Wenn sich ein Benutzer für die Verwendung von careers.so registriert und andere als sensibler eingestufte Websites (z. B. das Speichern von mehr persönlichen Daten), benötigen Sie dann eine strengere Kennwortrichtlinie und bieten 2FA an
Kiviny
2016-05-09 06:19:17 UTC
view on stackexchange narkive permalink

Sie sollten Folgendes hinzufügen:

  • Keine Kennwörter sollten ihre Benutzernamen sein (das ist nur dumm, passiert aber).

  • Keine tatsächlichen Wörter oder zumindest eine Wortkombination, die nicht in Wörterbüchern enthalten ist (ich habe von einer Website über Cyberspace-Probleme erfahren, und eines davon befasste sich mit Problemen. Es heißt, dass Hacker manchmal mit Computern angreifen und hacken, die Wörter finden und dann vorhersagen können Ihr Passwort ist so).

  • Passwörter sollten auch komplex, eindeutig, aber leicht zu merken sein, wie ein Satz, bei dem sich der Anfang jedes Buchstabens irgendwie ändert.

  • Sie können nicht zulassen, dass Personen ihren Anmeldevorgang beenden, es sei denn, sie geben mindestens einige Zahlen und einen Großbuchstaben mit einigen anderen Dingen wie H3110 !: |.

  • Sie können auch einen Checker hinzufügen, um zu sehen, wie sie die Stärke ihres Passworts sehen.

  • Versuchen Sie, das 2. und 3. Passwort mit ihrer Telefonnummer und anderen persönlichen Dingen wie dem Daumen hinzuzufügen drucken (dies ist von Google inspiriert) so auf die Hacker müssen buchstäblich "ihr Opfer" sein, um vorbei zu kommen.

  • Versuchen Sie, ihre Informationen mit einem anderen Passwort zu verschlüsseln, das nur die Person kennt, falls ein Hacker jemals erfolgreich gehackt wurde Daher können sie dieses Passwort auch nicht so einfach durchgehen.

  • Ich weiß, dass es schwierig sein wird, dieses Passwort hinzuzufügen, aber vielleicht fügen Sie einen kleinen Begleiter auf Ihrer Website / Ihrem Ort hinzu / Was auch immer das ihre Persönlichkeit kennt, wenn es eine Veränderung sieht, würde es wahrscheinlich vermuten, dass es ein Hacker wäre, wenn die Person dies nicht zuerst sagte. Ein bisschen wie eine Persönlichkeitssoftware für jeden Benutzer (schließlich ist jeder anders).

  • Benachrichtigen Sie sie auch, wenn jemand anderes als der, den sie kennen, auf ihr Konto wechselt. Wenn sie sagen, dass sie nicht wissen, wer diese Person ist, ist es wahrscheinlich ein Hacker (Google tut dies).

  • Für Phishing-Mails / Dinge / was auch immer versuchen Sie, sie zuerst zu scannen, bevor Sie sie sehen lassen (testen Sie, ob es sicher ist), fragen Sie sie danach, und wenn sie nein sagen, zerstören Sie es, um zu verhindern, dass sie betrogen werden der Hacker.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...