Best Practices für Kennwörter

30

Was können wir angesichts der jüngsten Ereignisse mit einem "Hacker", der Passwörter von Website-Administratoren lernt und erneut abruft , jedem empfehlen , was es mit Best Practices bei Passwörtern auf sich hat?

  • Verwenden Sie eindeutige Passwörter zwischen Websites (dh verwenden Sie ein Passwort nie wieder).
  • Wörter, die im Wörterbuch gefunden werden, sind zu vermeiden
  • Erwägen Sie die Verwendung von Wörtern oder Phrasen aus einer anderen Sprache als Englisch
  • Verwenden Sie Passphrasen und den ersten Buchstaben jedes Wortes
  • Es hilft nicht sehr viel, zu tifizieren

Bitte schlagen Sie mehr vor!

p.campbell
quelle
4
Tipp drei widerspricht Tipp zwei.
Oddmund
@Oddmund: Nicht, wenn Sie sowohl Englisch als auch Nicht-Englisch verwenden. Dh One in Spanisch ist uno, verwenden Sie OneUno. Oder Worttrennung: Die Hälfte des Wortes stammt aus dem Englischen, die andere Hälfte aus einer anderen Sprache. Fußball auf Spanisch ist Fußball, also benutze Fußball. Und dann von dort rekursiv.
Kevin M
@Oddmund: Nein. Die Verwendung von Wörtern aus einer (nicht englischen) Sprache bedeutet nicht, dass sie in einem (nicht englischen) Wörterbuch zu finden sind
user1092608

Antworten:

25
  • Verwenden Sie Passwörter, die nicht aus gebräuchlichen Wörtern oder Namen bestehen. Wörterbuchangriffe verwenden Wörterbücher mit Millionen von Wörtern und sind sehr schnell.

  • Verwenden Sie lange Passwörter. Ich neige dazu , den Ball zu verwenden Phrasen . Ich wähle eine Phrase, einen Satz oder einen Reim aus und finde eine Möglichkeit, eine angemessene Anzahl von nicht alphanumerischen Zeichen zu verwenden, damit meine Wörter keine Wörterbuchwörter sind.

  • Verwenden Sie nicht dasselbe Kennwort für mehrere Anmeldedienste. Nehmen Sie sich etwas Zeit, um eine Formel für die Auswahl von Passwörtern zu finden. Auf diese Weise können Sie viele verschiedene Kennwörter verwenden. Wenn Sie diese vergessen, können Sie sie möglicherweise mit einigem Aufwand neu erstellen.

  • Wenn Sie müssen, schreiben Sie auf jeden Fall ein gutes, langes und sicheres Passwort auf und verstecken Sie es irgendwo. Das ist zumindest besser, als ein schwaches Passwort zu verwenden, an das man sich leichter erinnert.

  • Wenn sich die obigen Vorschläge als nicht verwaltbar erweisen, verwenden Sie einen Passwortmanager mit einem langen, sicheren Passwort und verwenden Sie dann für alles andere Zufallskennwörter. Tragen Sie den Passwort-Manager auf einem verschlüsselten USB-Stick mit sich (natürlich gesichert).

Arnold Spence
quelle
Weiß jemand, warum meine Verwendung von Fettdruck in "Passphrasen" nicht zu funktionieren scheint? In der Vorschau sieht es gut aus, wenn ich mich im Bearbeitungsmodus befinde.
Arnold Spence
Verwenden Sie zwei Sterne oder einen? Versuchen Sie nur eine ...
Mikeage
1
@Mikeage: ein Sternchen = kursiv; zwei = fett. Ich würde vorschlagen, es mit <b> oder <strong> zu versuchen. Ich vermute, dass die Einbettung in ein Wort den Parser von SO verwirrt.
Derobert
1
Ich würde versuchen, direkt nach "pass" ein Leerzeichen einzufügen, damit Sie [ein Leerzeichen] [Sternchen] [Sternchen] -Phrasen haben. Wenn dies nicht funktioniert, versuchen Sie, ein Leerzeichen zwischen dem zweiten Sternchenstapel und dem Punkt einzufügen.
pbz
3
+1, um "ein gutes, langes und sicheres Passwort aufzuschreiben und es zu verbergen". In den 1980er Jahren begann jemand die Benutzer zu warnen, ihre Passwörter NICHT aufzuschreiben, dieses Verhalten blieb hängen, und es geht uns allen deswegen schlechter.
Portman
7

Ich habe mehrere Probleme mit Passphrasen gefunden:

  • Viele Websites haben eine Obergrenze für die Kennwortlänge - wie z. B. 20 Zeichen - es ist albern, aber was können Sie tun.
  • Andere Sites erlauben keine Leerzeichen in Passwörtern.
  • Das blinde Schreiben langer Texte ist fehleranfällig - insbesondere, wenn Sie kein guter Tipper sind.
  • Das Eingeben einer Passphrase mit 50 Zeichen dauert erheblich länger als ein gutes Passwort mit 15 Zeichen.

Meine Lösung für dieses Problem bestand darin, Passphrasen als Mnemonik für das eigentliche Passwort zu verwenden. Zum Beispiel könnte ich ein paar Zeilen eines großartigen Gedichts von William Henry Davies (76 Zeichen) auswählen:

Keine Zeit zu sehen, wann Wälder vorbeiziehen,
wo Eichhörnchen ihre Nüsse im Gras verstecken.

Und ich würde die ersten Buchstaben von jedem Wort auswählen und das folgende ziemlich gute 16-Zeichen-Passwort erstellen:

Nttswwwp,Wshtnig

Die Verwendung von Gedichten ist besonders gut, da Sie sich leichter daran erinnern können, und wenn Sie aufgefordert werden, das Kennwort zu ändern, können Sie einfach die nächsten paar Zeilen eines Gedichts auswählen.

Rene Saarsoo
quelle
3
Außerdem lernst du jedes Mal ein neues Gedicht, wenn sich dein Passwort ändert, und erhältst dadurch einige Kulturpunkte. :)
Jonathan
4
Ich habe mich mit diesem Song selbst in den Fuß geschossen. Erstens meine Neigung, das Lied zu summen. Zweitens, das Lied einen Monat lang in meinem Kopf stecken zu lassen ...
Kara Marfia
4

Wenn Sie anderen Benutzern ein Kennwort-Regime diktieren, müssen sie nicht nur eindeutige, länger als ein Schwellenwert dauernde Zeichen verwenden, gemischte Groß- und Kleinschreibung und Sonderzeichen enthalten usw. Wenn Sie dies nicht tun, werden die Benutzer die Passwörter aufschreiben oder andere, unsichere Wege finden, um sie sich zu merken.

Lexu
quelle
Das Unterrichten von Passwort-Managern ist ein schlechtes Beispiel für den durchschnittlichen nicht-technischen Benutzer. Sie tauschen eine schlechte Praxis (das Aufschreiben von Passwörtern) gegen eine etwas bessere, aber immer noch schlechte Praxis (das elektronische Speichern von Passwörtern). Eine Sicherheitsanfälligkeit in einem Kennwortmanager (z. B. schwaches Hauptkennwort, Remote-Exploit usw.) kann zu einer Katastrophe führen.
Spoulson
Mit anderen Worten, ich würde keine hochwertigen Passwörter in einem Passwort-Manager speichern, wie Bank-Logins usw.
Spoulson
Ich bin mit Ihnen nicht einverstanden, da sogar Bruce Schneier die Verwendung eines Passwort-Managers mit einem starken Passwort gegenüber der Verwendung von schwachen Passwörtern empfiehlt, die zwischen Websites wiederverwendet und / oder gemischt werden.
Martin C.
@spoulson: Blindes Vertrauen in Technologie ist immer gefährlich. Ich persönlich glaube, dass ein hochverschlüsseltes Passwort-Depot (mit einem guten Passwort, wohlgemerkt) genauso sicher ist wie eine Anmeldeaufforderung. Wenn Sie dem Hersteller des Betriebssystems vertrauen, um die Anmeldung abzusichern, können Sie auch dem Autor von Password Managers vertrauen. Paranoia-Regeln ... traue niemandem ... etc ... aber am Ende kommt es immer auf einen Vertrauenssprung an ...
Lexu
2
Schneier geht so weit, sie aufzuschreiben: schneier.com/blog/archives/2005/06/write_down_your.html
Will M
4

Wenn Sie Probleme haben, sich Kennwörter zu merken, verwenden Sie einen bekannten Text. Wählen Sie einen Satz aus, verwenden Sie den n- ten Buchstaben jedes Wortes als Passwort, und behalten Sie die Zeichensetzung bei. (zB Passwort generiert von 1 st Schreiben ersten Satz dieser Antwort könnte „Iyhtrp, uswkt“ sein . ). Sie können es stärker machen, indem Sie einige in Großbuchstaben ändern und einige Sonderzeichen hinzufügen.

vartec
quelle
Das ist eine wirklich gute Methode!
Techboy
3

Verwenden Sie kein Passwort, da liegen Sie an erster Stelle falsch. Verwenden Sie entweder eine zufällige Sammlung von Zeichen (mindestens 8) oder eine Passphrase. Sie können eine Formel zum Generieren einer anderen Passphrase für jede Site erstellen, z. B. ILikeStackOverflowOnions oder ILikeServerFaultOnions. Dies schützt Sie vor Außenstehenden, kann jedoch weiterhin Probleme verursachen, wenn die eigentliche Site gehackt wird und die Kennwörter nicht gesalzen sind oder wenn der Administrator an erster Stelle beschädigt wurde.

Adam Gibbins
quelle
1+ Aber warum keine Leerzeichen oder Satzzeichen in der Passphrase? Das gibt ihnen imho Kraft, wie "Ich mag Oliven und serverfault.com!" Das sollte ein ziemlich sicheres Passwort sein, aber extrem schnell und einfach zu tippen und sich zu merken ^^ (einige wirklich alte oder undurchsichtige Systeme verbergen Leerzeichen in Passwörtern - sag ihnen, sie sollen zur Hölle fahren;)
Oskar Duveborn
Nun ja, Leerzeichen sind natürlich ein Plus, ebenso wie Interpunktion. Aber ich habe festgestellt, dass es einige sehr ärgerliche, unsichere Websites gibt, die keine Passwörter mit Interpunktion akzeptieren. Ich hatte einmal eine Bank, die nicht :-(
Adam Gibbins,
1
@Oskar Duveborn: Beachten Sie, dass Sie das Kennwort nur verlängern können, anstatt Satzzeichen zu verwenden. Mathematisch ist das Ergebnis (Anzahl der möglichen Passwörter) das gleiche. Sie können PWs auch nur mit Kleinbuchstaben verwenden, wenn Sie sie etwas länger machen.
sleske
Ja, ich bin nur in der Zeichensetzung, um mich leichter an einen Satz für Leute zu erinnern. Die Vorteile eines längeren Passworts sind nur ein Bonus;) Ich hatte vor drei Jahren auch eine Bank, die keine Leerzeichen belegte. In diesen Tagen ist es aber in Ordnung. Ältere Unix-Systeme haben maximal 8 Zeichen, aber da Sie nicht sehen können, was Sie eingeben, können Sie immer so tun, als würden Sie das gesamte 30-Zeichen-Passwort auch dort eingeben;)
Oskar Duveborn
3

Ändern Sie Ihr Passwort regelmäßig. Wo ich arbeite, ist es ein 30-Tage-Zyklus. Es ist ein PITA, aber es reduziert den Wert von gehackten Passwörtern auf ein begrenztes Zeitfenster. Zusätzlich zu einer komplexen AD-Kennwortrichtlinie muss diese mindestens 8 Zeichen lang sein und obere, untere, numerische und Symbole enthalten.

Ergänzend nutzen wir einen Self-Service-Passwort-Manager. Es stellt eine benutzerdefinierte Windows-GINA bereit, mit der der Benutzer sein Kennwort zurücksetzen kann, wenn er es vergisst, oder es entsperren kann, wenn er es zu oft gepatzt hat. Für die Kennwort-Manager-App muss sich der Benutzer beim Dienst anmelden. Geben Sie eine Reihe persönlicher Informationen an, von denen er nur weiß, dass sie später als Fragen verwendet werden, wenn der Benutzer das Kennwort zurücksetzen oder sein Konto entsperren muss.

Spoulson
quelle
3
Das Erzwingen von zeitbasierten Kennwortänderungen wird im Allgemeinen als eine wirklich schlechte Praxis angesehen. Ich kann fast garantieren, dass die letzten Ziffern der meisten Passwörter den Monat oder das Jahr enthalten, in dem sie zuletzt festgelegt wurden.
Andrew
3

Ich glaube, Passwörter sollten generiert werden, anstatt vom Benutzer ausgedacht zu werden. Dies vermeidet all diese albernen Probleme mit leicht zu erratenden Passwörtern.

Ich benutze gerne pwgen , das wie Passwortlisten generiert

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

Aber wirklich jedes PW-Erzeugungsprogramm wird es tun. Ein Vorteil von pwgen ist, dass es versucht, die Passwörter (etwas) einprägsam zu gestalten, indem es einige Vokale enthält.

sleske
quelle
So mach ich es. Generieren Sie eine Reihe von Passwörtern und wählen Sie eines aus, das keine mehrdeutigen Zeichen enthält, wie z.
B.
3

Etwas anderes als (Quelle dailywtf.com):

Alt-Text

sucuri
quelle
2
  1. Verwenden Sie sichere Passwörter.
  2. Passwörter nicht wiederverwenden.
  3. Verwenden Sie unter Berücksichtigung von Nummer 2 ein Tool wie PwdHash angesichts der überwältigenden Unterschiede zwischen den Konten.
Jldugger
quelle
2

Halten Sie sich von diesen Top 500-Passwörtern fern .

Lange, komplexe Passwörter bieten eine gute Sicherheit, im Grunde genommen starke Passwörter , verwenden aber definitiv unterschiedliche Passwörter für alle Benutzerkonten.

TStamper
quelle
Interessanter Link ...
David Z
2

Verwenden Sie ein Tool wie SuperGenPass , um eindeutige Kennwörter für Websites zu generieren, für die Sie angemeldet sind.

Alex Angas
quelle
+1 nur für das Generieren von Passwörtern, anstatt über eine Million alberner Regeln für das Erstellen von Passwörtern zu verfügen.
sleske
2

Hak5 hat gerade eine Episode gemacht , in der ein Tool von Remote Exploit demonstriert wurde , das eine Reihe von Zeichenfolgen verwendet und ein Wörterbuch mit allen Kombinationen, Groß- und Kleinbuchstaben, Kleinbuchstaben usw. erstellt andere Informationen, die Sie über das Ziel wissen. Das erzeugte Wörterbuch kann als Eingabe verwendet werden, um ein schwaches Kennwort zu erzwingen.

Moral: Vermeiden Sie die Verwendung persönlicher Informationen in Ihrem Passwort

Spoulson
quelle
1
Auf der anderen Seite arbeitete ich vor einiger Zeit an einer Site, bei der eine der Kennwortanforderungen des Kunden lautete: "Kann keine Form eines Wörterbuchworts sein" (leet usw.), also musste ich einen ähnlichen Generator bauen, mit dem sich identifizieren lässt all die verschiedenen Varianten, die verboten waren und schnell genug waren, um innerhalb eines Postback-Zyklus ausgeführt zu werden, als sie ihr Passwort änderten.
GalacticCowboy
Gut, je mehr Auswahlmöglichkeiten Sie einschränken, desto klarer könnten die möglichen Auswahlmöglichkeiten sein.
Spoulson
1
Ich bin mir nicht sicher, ob @spoulson dasselbe impliziert, aber: Wenn Sie aktiv ein Wort aus einem Wörterbuch verbieten, begrenzen Sie dann nicht grundsätzlich die Anzahl der möglichen Passwörter? Und damit es theoretisch einfacher ist, das Passwort zu finden?
Arjan
Die Idee ist, erkennbare Muster in einem Passwort zu entfernen, die entweder vom Wörterbuch angegriffen oder von Dritten leicht gespeichert werden können. Durch das Entfernen der Fähigkeit, schwache Kennwörter zu erstellen, wird das Kennwortschema nicht schwächer.
Spoulson
@Ajran: Ja, Sie haben natürlich Recht, wenn Sie "schwache" Passwörter nicht zulassen, wird die Bitlänge von Passwörtern (mit einer bestimmten maximalen Länge) effektiv verringert. Dies ist jedoch nur dann von Bedeutung, wenn Sie tatsächlich einen nicht zu vernachlässigenden Teil des Kennwortbereichs nicht zulassen, was hoffentlich nicht der Fall ist.
sleske
2

Wenn Sie Wörter oder Ausdrücke in einer anderen Sprache als Englisch kennen , können Sie diese als Teil Ihres Passworts verwenden. Zum Beispiel verwende ich häufig japanische Wörter als Teil meiner Passwörter, um Wörterbuchangriffe abzuwehren und sie dennoch zu speichern (im Gegensatz zu zufällig generierten Passwörtern).

Chris Gillum
quelle
2
Gehen Sie nicht davon aus, dass Personen, die Ihre Passwörter angreifen, nur Englisch sprechen. Gehen Sie nicht davon aus, dass ein Angreifer, der nur Englisch spricht, seinem Passwort-Cracker keine weiteren Sprachwörterbücher hinzufügt.
Seiten
2

Ich habe angefangen, Password Safe , das ursprünglich von Bruce Schneier entwickelt wurde, zum Speichern von Web-Passwörtern zu verwenden. Ich habe eine sehr starke Passphrase im Passwort-Safe, und alle anderen Passwörter werden automatisch generiert und auf Websites nie wieder verwendet.

Die Software hat auch Funktionen wie ablaufende Passwörter und dergleichen.

Ich halte das (angesichts der starken sicheres Passwort) der beste Kompromiss und sicherste Ansatz für Website - Passwörter sein.

Martin C.
quelle
1

Für Familie und Freunde sage ich normalerweise, dass es cool ist, Sachen wie Haustiernamen und Mädchennamen von Müttern und solche Sachen zu verwenden, solange die folgenden zwei Dinge passieren:

  • Verketten Sie mindestens zwei Namen (z. B .: Mädchenname der Mutter + Name des Haustiers)
  • Großbuchstaben und Sonderzeichen einbeziehen.
Christian Hagelid
quelle
OK für Anwendungen mit geringer Sicherheit, denke ich. Das möchten Sie aber zB für eine Online-Banking-Site nicht.
David Z
schlechte Idee Punkt. Es ist zu vorhersehbar und ermutigt überall zu schwachen Passwörtern. Den Familienangehörigen und Freunden sollte derselbe Rat gegeben werden wie den Mitarbeitern.
Judioo
@i-moan Ich stimme eher zu, aber ich benutze es als Schritt in die richtige Richtung. Wenn ich sie dazu bringen kann, diesen Ansatz zu verwenden,
anstatt NUR
Gute Kommentare. Dinge, an die Sie sich leicht erinnern können, die für andere jedoch so unmöglich zu erraten sind
Techboy,
1

Wählen Sie beim Einrichten der obligatorischen Kennwortablaufdauer einen Faktor von 7 anstelle eines Blockes von Tagen (z. B. 30 oder 60 Tage).

Der Ablauf von 30 Tagen kann dazu führen, dass der Benutzer sein Kennwort an Feiertagen oder am Wochenende ändern muss und eine Überraschung erleben muss, wenn er am nächsten Tag zur Arbeit kommt.

Wenn Sie die Gültigkeitsdauer auf den Faktor 7 festlegen, wird sichergestellt, dass das Datum der Kennwortänderung auf den Wochentag der vorherigen Änderung fällt.

p.campbell
quelle
Tatsächlich haben die meisten Systeme mit Ablaufdatum zwei Ablaufdaten: Nach der ersten müssen Sie Ihr Kennwort bei der nächsten Anmeldung ändern. Erst nachdem die Sekunde nur eine PW-Änderung bestanden hat, erfolgt der Ablauf tatsächlich. Dies sollte also normalerweise kein Problem sein.
sleske
1

Wenn Sie mehrere Sites für dieselbe Nutzerbasis haben, muss ich dringend eine Form der einmaligen Anmeldung (wie Shibboleth) vorschlagen. Wenn Benutzer unterschiedliche Kennwörter für mehrere Websites haben, haben sie häufig Probleme, sich an alle zu erinnern. Ein oder zwei Passwörter können sich die meisten Benutzer leicht merken, drei können sie an einem geheimen Ort notieren. Bei mehr als vier kann der Benutzer sie einfach auf einen Post-It-Zettel schreiben und auf den Schreibtisch oder den Monitor auftragen.

Passwörter müssen nicht übermäßig komplex sein, obwohl sie komplex genug sein müssen, um den ersten oder zweiten Versuch zu verhindern. Solange Ihr System / Ihre Standorte über eine Sicherheitsmaßnahme verfügen, die die Anzahl der Anmeldeversuche begrenzt, müssen die Kennwörter nicht zu komplex sein.

Wenn Ihre Systeme beispielsweise maximal 3 Anmeldeversuche pro Stunde ausführen, ist ein grundlegendes Kennwort wie "Cindy65" mehr als komplex genug. Während der Hacker vielleicht weiß, dass der wirkliche Name des Benutzers Cindy ist, würde er wirklich nie wissen, dass sie 1965 geboren wurde. Seine Versuche wären natürlich "Cindy", " l Astname", "Cindy", L Astname ", wenn auch so Mal ist er gesperrt.

Dies mag ein simpler Fall und ein einfaches Passwort sein, aber es ist alles, was wirklich benötigt wird, wenn Sie als Administrator alles auf der richtigen Serverseite eingerichtet haben. Wir können auch nach etwas komplexeren Passwörtern fragen, die leicht zu merken sind, z. B. nach einer zufälligen Tastenkombination. Symbole und Großbuchstaben helfen ebenfalls sehr.

Wir müssen uns nur daran erinnern, je schwerer wir es für den Benutzer machen, desto wahrscheinlicher ist es, dass er es öffentlich aufschreibt.

Eine Sache, zu der ich meine Benutzer immer gerne auffordere, ist, ihren Namen zusammen mit dem Namen eines Medikaments, das sie einnehmen, Lieblingsessen, den Namen der besten Freunde usw. zu schreiben.

Beispiele: CindyProzac, WilliamCodene, JoePetertherabbit

Viel Glück.

Rekursion
quelle
0

Schreib es nicht auf. Und wenn Sie dies tun, legen Sie es in einen Safe. Und schreiben Sie diese Kombination auch nicht auf.

Sophie Alpert
quelle
2
Wann ist das letzte Mal jemand in ein Haus eingebrochen und hat ein Passwort gestohlen? Für Privatanwender ist das Aufschreiben eines Kennworts oftmals das SICHERSTE, da es starke, eindeutige und schwer zu merkende Kennwörter fördert.
Portman
Ich stimme Ben zu - vor allem für ein Arbeitsumfeld
Techboy
0

Wenn die Sicherheitsanforderungen wirklich streng sind, würde ich versuchen, die Verwendung von Passwörtern zu vermeiden, wo immer dies möglich ist. Denken Sie an die Verwendung von SSH-Schlüssel-basierter Authentifizierung, Client-Zertifikaten auf Smartcards usw. Es erfordert jedoch viel Geschick und Budget, damit dies ordnungsgemäß funktioniert. Daher sollte eine ordnungsgemäße Risikobewertung durchgeführt werden.

Wenn Sie sich dazu entschließen, sich an Passwörter zu halten, befolge ich den Rat von capar und lexu.

Vincent De Baere
quelle
0

Einschränkungen der Passwortlänge sind albern. (Das Beschränken von Passwörtern auf 6-8 Zeichen ist üblich, macht aber auf modernen Systemen keinen Sinn.)

Das Erfordernis häufiger Kennwortänderungen ermutigt Benutzer, ihre Kennwörter aufzuschreiben und einfachere zu wählen. Dies ist ein Kompromiss zwischen Bedrohungen, und Sie müssen überlegen, welche Bedrohung relevanter ist.

Es macht keinen Sinn, von einem Benutzer zu verlangen, dass er "Sonderzeichen" in einem Kennwort mit genau 8 Zeichen enthält, anstatt ein Kennwort mit 30 Zeichen zuzulassen, das nur aus Buchstaben besteht.

Geben Sie Benutzern kein offensichtliches Passwort und bitten Sie sie, es zu ändern. Sie werden nicht. Entweder müssen sie es bei der ersten Anmeldung ändern, ein sicheres Passwort für sie auswählen und wissen, dass sie es aufschreiben werden, oder sie müssen ein sicheres Passwort vor sich auswählen.

carlito
quelle
0

Wir schulen unsere Benutzer darin, Passwörter zu wählen und den ersten Buchstaben jedes Wortes zu verwenden.
WTOUTPPAUTFLOEW - fügen Sie eine Null oder eine 3 hinzu (Leetifying), variieren Sie die Feststelltaste ein paar Mal und Sie haben etwas, das kein Wörterbuch jemals herausgreifen wird, an das Sie sich aber trotzdem leicht erinnern können.

Achten Sie jedoch darauf, dass Sie das Kennwort nicht in eine Passphrase ändern, die auf dem Firmenslogan / der Vision usw. basiert.

hellimat
quelle
-1

Um zu verhindern, was mit diesem Website-Administrator passiert ist, und vorausgesetzt, Sie haben Zugriff auf eine Unix-Shell oder Cygwin, können Sie verwenden

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

und überprüfen Sie diesen Wert anhand einer MD5-Datenbank wie http://gdataonline.com/ . Stellen Sie sicher, dass es dort nicht angezeigt wird.

Hier ist auch ein Beispiel für ein reineres MD5-Wörterbuch, das ich durch einfaches Durchsuchen des Hash-Werts (Warnung: große Datei) erhalten habe: https://secure.sensepost.com/sp-hash/jebwy

joev
quelle
1
Ja, richtig, dies ist die perfekte Methode, um neue Hashes in ihre Arbeitswarteschlange zu stellen, sodass zu einem bestimmten Zeitpunkt eine einfache Google-Suche nach dem Hash das Passwort enthüllt. Ich rate dringend davon ab, Hashes an solche Sites zu senden.
Serverhorror
2
Dein Hash ist übrigens "jeffa"
Serverhorror