Práticas recomendadas de senha

Dados os eventos recentes com um 'hacker' aprendendo e tentando novamente senhas de administradores de sites , o que podemos sugerir a todos sobre as práticas recomendadas quando se trata de senhas?

• use senhas exclusivas entre sites (ou seja, nunca reutilize uma senha)
• as palavras encontradas no dicionário devem ser evitadas
• considere usar palavras ou frases de um idioma que não seja o inglês
• use frases secretas e use a primeira letra de cada palavra
• l33tifying não ajuda muito

Por favor, sugira mais!

• Use senhas que não sejam compostas por palavras ou nomes comuns. Os ataques de dicionário usam dicionários com milhões de palavras e são muito rápidos.

• Use senhas longas. Eu costumo usar frases secretas . Eu escolho uma frase, frase ou rima e encontro uma maneira de usar um número razoável de caracteres não alfanuméricos para que minhas palavras não sejam do dicionário.

• Não use a mesma senha para vários serviços de login. Reserve um tempo para criar uma fórmula para escolher frases secretas. Isso permite que você use muitas senhas diferentes que, se esquecidas, poderão recriar com algumas tentativas e erros.

• Se necessário, escreva uma senha boa, longa e segura e oculte-a em algum lugar. Pelo menos isso é melhor do que usar uma senha fraca e mais fácil de lembrar.

• Se as sugestões acima forem incontroláveis, use um gerenciador de senhas com uma senha longa e segura e, em seguida, use senhas de caracteres aleatórios para todo o resto. Leve o gerenciador de senhas com você em uma unidade flash USB criptografada (com backup, é claro).

Eu encontrei vários problemas com frases secretas:

• Muitos sites têm limite superior ao tamanho da senha - como 20 caracteres - é bobagem, mas o que você pode fazer.
• Outros sites não permitem espaços em senhas.
• Digitar textos longos às cegas é propenso a erros - especialmente quando você não é um bom digitador.
• Digitar a senha de 50 caracteres leva um pouco mais do que a boa senha de 15 caracteres.

Minha solução para esse problema foi usar senhas como um mnemônico para a senha real. Por exemplo, eu poderia escolher algumas linhas do grande poema de William Henry Davies (76 caracteres):

Não há tempo para ver, quando passamos bosques,
Onde esquilos escondem suas nozes na grama.

E eu escolhia as primeiras letras de cada palavra, criando a seguinte boa senha de 16 caracteres:

Nttswwwp,Wshtnig

O uso de poesia é especialmente bom, porque é mais fácil lembrar e quando você é solicitado a alterar a senha, basta escolher as próximas linhas de um poema.

Ao ditar um regime de senha a terceiros, não exija apenas que eles usem caracteres únicos, maiores que um limite, contenham maiúsculas e minúsculas, caracteres especiais etc. caso contrário, os usuários anotarão as senhas ou encontrarão outras maneiras inseguras de "lembrá-las".

Se você tiver problemas para lembrar as senhas, use algum texto bem conhecido. Escolha uma frase, use a n- ^ésima letra de cada palavra como senha, mantenha a pontuação. (por exemplo, senha gerada a partir de 1 ^st cartas de primeira frase desta resposta poderia ser "Iyhtrp, uswkt."). Você pode torná-lo mais forte alterando algumas para maiúsculas e adicionando alguns caracteres especiais.

Não use uma senha, é aí que você está errado em primeiro lugar. Use uma coleção aleatória de caracteres (no mínimo 8) ou uma senha. Você pode criar uma fórmula para gerar uma frase secreta diferente para cada site, por exemplo, ILikeStackOverflowOnions ou ILikeServerFaultOnions; isso mantém você protegido contra pessoas de fora, mas ainda pode causar problemas se o site real for invadido e as senhas não forem salgadas ou se o administrador estiver corrompido em primeiro lugar.

Mude sua senha regularmente. Onde trabalho, é um ciclo de 30 dias. É uma PITA, mas reduz o valor das senhas hackeadas para uma janela de tempo limitada. Além disso, uma política de senha do AD complexa exige que ele tenha pelo menos 8 caracteres, contenha letras maiúsculas, minúsculas, numéricas e símbolos.

Para complementar, usamos um serviço de gerenciador de senhas de autoatendimento. Ele fornece um Windows GINA personalizado que fornece funcionalidade para permitir que o usuário redefina sua senha, caso a esqueça, ou desbloqueie-a se for enganada muitas vezes. O aplicativo gerenciador de senhas exige que o usuário se inscreva no serviço, forneça um monte de informações pessoais que somente eles saberiam que serão usadas mais tarde como perguntas quando o usuário precisar redefinir a senha / desbloquear sua conta.

Acredito que as senhas devem ser geradas, e não pensadas pelo usuário. Isso evita todos esses problemas tolos com senhas fáceis de adivinhar.

Eu gosto de usar o pwgen , que gera listas de senhas como

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

mas realmente qualquer programa de geração pw serve. Uma vantagem do pwgen é que ele tenta criar as senhas (um pouco) memoráveis, incluindo algumas vogais.

Qualquer coisa diferente de (fonte dailywtf.com):

1. Use senhas fortes.
2. Não reutilize senhas.
3. Em consideração ao item 2, use uma ferramenta como o PwdHash em face de contas díspares esmagadoras.

Fique longe dessas 500 piores senhas .

Senhas longas e complexas oferecem boa segurança, senhas basicamente fortes , mas definitivamente usam senhas diferentes para todas as contas de usuário.

Use uma ferramenta como SuperGenPass para gerar senhas exclusivas para qualquer site em que você tenha um login.

O Hak5 acabou de fazer um episódio demonstrando uma ferramenta do Remote Exploit que pega várias seqüências de caracteres e gera um dicionário de todas as combinações, superior, inferior, ortografia dos leet, etc. outras informações que você conhece sobre o alvo. O dicionário que ele gera pode ser usado como entrada para forçar uma senha fraca.

Moral: Evite usar informações pessoais em sua senha

Se você souber palavras ou frases em um idioma que não seja o inglês , poderá usá-las como parte da sua senha. Por exemplo, costumo usar palavras em japonês como parte de minhas senhas, o que evita ataques de dicionário e ainda me permite lembrá-las (em oposição a senhas geradas aleatoriamente).

Comecei a usar o Password Safe , projetado originalmente por Bruce Schneier, para armazenar as senhas da web. Eu tenho uma senha muito forte no cofre de senhas e todas as outras senhas são geradas automaticamente e nunca reutilizadas nos sites.

O software também possui recursos como senhas expirando e similares.

Considero que essa senha (dada a senha segura forte ) é a melhor abordagem para troca e segurança das senhas dos sites.

Para familiares e amigos, costumo dizer que é legal usar coisas como nomes de animais de estimação e nome de solteira das mães, desde que as duas coisas a seguir ocorram:

• concatenar pelo menos dois nomes (ex: nome de solteira das mães + nome dos animais de estimação)
• incorporar caracteres maiúsculos e especiais.

Ao instituir o período de validade obrigatório da senha, escolha um fator 7, em vez de um bloco de dias (por exemplo, 30 ou 60 dias).

O resultado do prazo de 30 dias pode ser que o usuário seja obrigado a alterar sua senha em um feriado ou fim de semana e pode ter uma surpresa quando entrar em trabalho no dia seguinte.

Se você definir a escala de expiração como um fator 7, isso garantiria que a data de alteração da senha caísse no mesmo dia da semana da alteração anterior.

Se você possui vários sites para a mesma base de usuários, devo sugerir alguma forma de logon único (como Shibboleth). Quando os usuários têm senhas diferentes para vários sites, eles tendem a ter problemas para se lembrar de todos. Uma ou duas senhas são facilmente lembradas pela maioria das pessoas; três podem ser anotadas pelo usuário em um local secreto. Se mais de quatro, o usuário pode muito bem escrever todos eles em uma nota de postagem e aplicá-la na mesa ou no monitor.

As senhas não precisam ser excessivamente complexas, embora precisem ser suficientemente complexas para impedir a primeira ou a segunda tentativa. Desde que o seu sistema / sites possua algum tipo de medida de segurança que limite o número de tentativas de logon, as senhas não precisam ser muito complexas.

Por exemplo, se seus sistemas tiverem um limite de 3 tentativas de logon por hora, uma senha básica como "Cindy65" será mais complexa do que suficiente. Embora o hacker saiba que o nome real do usuário é Cindy, ele nunca saberia que ela nasceu em 1965. Suas tentativas seriam naturalmente "cindy", " l astname", "Cindy", L astname ", embora por isso vez que ele é bloqueado.

Embora possa ser um caso simplista e uma senha simples, é tudo o que é realmente necessário se o administrador configurou tudo do lado correto do servidor. Também podemos solicitar senhas um pouco mais complexas e fáceis de lembrar, como uma combinação aleatória de chaves. Símbolos e letras maiúsculas também ajudam bastante.

Só precisamos lembrar que, quanto mais difícil for para o usuário, maior a probabilidade de que eles o escrevam em público.

Uma coisa que eu sempre gosto de pedir aos meus usuários é escrever o nome concatenado com o nome de um medicamento em que eles estão tomando, comida favorita, nome dos melhores amigos etc. Essa combinação de palavras do dicionário, embora simplista, é quase impossível de decifrar.

Exemplos: CindyProzac, WilliamCodene, JoePetertherabbit

Boa sorte.

Não escreva. E se o fizer, coloque-o em um cofre. E não escreva essa combinação também.

Se os requisitos de segurança forem realmente rigorosos, tentarei evitar o uso de senhas sempre que possível. Pense em usar autenticação baseada em chave ssh, certificados de cliente em cartões inteligentes, etc. É necessário muita habilidade e orçamento para que isso funcione corretamente, portanto, uma avaliação de risco adequada deve ser feita.

Se você decidir ficar com as senhas, eu seguiria o conselho de capar e lexu.

Restrições no tamanho da senha são tolas. (Restringir senhas entre 6 e 8 caracteres é comum, mas não faz sentido nos sistemas modernos).

A exigência de alterações freqüentes de senha incentiva os usuários a anotarem suas senhas e escolherem as mais simples. Essa é uma troca de ameaças, e você deve considerar qual ameaça é mais relevante.

Exigir que um usuário contenha "caracteres especiais" em uma senha de exatamente 8 caracteres, em vez de permitir uma senha de 30 caracteres composta apenas por letras, não faz sentido.

Não dê aos usuários uma senha óbvia e peça que eles a alterem. Eles não vão. Exija que eles a alterem no primeiro login, selecione uma senha forte para eles, sabendo que a escreverão ou faça com que eles selecionem uma senha forte na sua frente.

Treinamos nossos usuários para escolher senhas e usar a primeira letra de cada palavra.
WTOUTPPAUTFLOEW - adicione zero ou 3 (leetificando), varie o capslock algumas vezes e você terá algo que nenhum dicionário jamais escolherá, mas ainda é fácil de lembrar.

no entanto - apenas certifique-se de não alterar a senha deles para uma senha baseada no slogan da empresa / declaração de visão etc.

Para ajudar a impedir o que aconteceu com o administrador desse site, e supondo que você tenha acesso a um shell Unix ou Cygwin, você pode usar

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

e verifique esse valor em um banco de dados MD5, como http://gdataonline.com/ . Verifique se ele não aparece lá.

Além disso, aqui está um exemplo de um dicionário MD5 mais bruto que obtive pesquisando simplesmente esse valor de hash (aviso: arquivo grande): https://secure.sensepost.com/sp-hash/jebwy