Was ist eine vernünftige und sichere Passwortanforderung für die Benutzerregistrierung?

10

Dies ist die Passwortrichtlinie, die ich gerade von UPS erhalten habe (nur zur Überprüfung des Paketstatus):

Ihr Passwort muss zwischen 8 und 26 Zeichen lang sein. Es muss mindestens drei der folgenden Zeichentypen enthalten: Kleinbuchstaben, Großbuchstaben, Ziffern, Sonderzeichen oder Leerzeichen. Das Passwort enthält möglicherweise nicht Ihre Benutzer-ID, Ihren Namen oder Ihre E-Mail-Adresse. (SSO_1007)

Ich muss mein Gehirn tatsächlich etwas erschüttern, um dieses Passwort zu generieren, aber nicht nur das, vor allem bin ich mir sicher, dass ich nach 3 Tagen vergessen werde, was dieses Passwort ist. Benutzer werden nicht so glücklich sein. Das Zurücksetzen des Passworts kann häufig sein. Ich denke, Benutzer werden versuchen, die Nutzung der Website zu vermeiden, es sei denn, sie müssen.

Was ist eine vernünftige und sichere Passwortrichtlinie beim Einrichten einer Website? Ich denke, einige Unternehmen befürchten möglicherweise, dass einige Hacker Millionen Mal oder öfter Passwörter versuchen, und fügen daher all diese Anforderungen für "Sonderzeichen, Kleinbuchstaben, Großbuchstaben" hinzu, aber es ist nicht sinnvoll, das Konto zu deaktivieren oder einfach das zu deaktivieren Passwort und erfordern ein Zurücksetzen des Passworts, wenn ein Benutzer 30 Mal oder 100 Mal versucht hat? Oder fügen Sie jedes Mal eine Verzögerung von 5 Sekunden hinzu, nachdem der Benutzer es 30 Mal versucht hat? Wenn ja, werden diese Sonderzeichen nicht so dringend benötigt.

Unpolarität
quelle
1
Wenn Sie das Passwort nach 30 Versuchen zurücksetzen, geben Sie den schlechten Leuten (Hackern / Script-Kiddys) eine großartige Möglichkeit, andere Benutzer zu ärgern, was alles noch schlimmer machen würde.
Oezi
@oezi du meinst, Hacker können die guten Leute ärgern, indem sie sich nur 30 Mal mit gefälschten Passwörtern anmelden? Was ist mit der Verzögerung von 5 Sekunden nach 30 Versuchen, die ich gerade hinzugefügt habe?
Unpolarität
14
Ganz zu schweigen davon, dass ich die maximale Länge eines Passworts nicht ernst nehmen kann, wenn es nicht "Korrekte Heftklammer für Pferdebatterien" zulässt.
David Thornley
6
Wie wäre es mit der zweiten Methode unten in diesem Xkcd-Comic ?
Robert Harvey
6
Hallo 動靜 能量, dies ist wahrscheinlich eine bessere Frage für eine Schwestersite, IT Security , aber sie wurde dort in verschiedenen Formen gestellt und beantwortet. Schauen Sie sich Fragen wie diese an oder werfen Sie einen Blick auf diese Frage, um weitere Informationen zum Kontext von Robert Harveys Kommentar zu erhalten .

Antworten:

15

Um ehrlich zu sein, empfinde ich strenge Passwortanforderungen als Ärger und nicht als Vorteil. Ich würde in der Regel sagen, dass es am sinnvollsten ist, nur eine Länge anzugeben, möglicherweise Sonderzeichen + alphanumerische Zeichen. Alles andere fordert die Leute auf, ihr Passwort aufzuschreiben, was den ganzen Zweck, sichere Passwörter zu haben, zunichte macht. Ich hasse es auch, Ihr Passwort alle x Tage mit den üblichen lächerlichen Regeln ändern zu müssen (z. B. können die letzten 25 Passwörter nicht wiederverwendet werden) - wieder ist alles, was die Leute dazu zwingt, das Ding aufzuschreiben, damit sie es nicht vergessen An diesem Punkt können Sie genauso gut gar nicht nach einem Passwort fragen.

Wayne Molina
quelle
4
Das Aufschreiben von Passwörtern macht den Zweck nicht zunichte. Wenn ich ein wirklich kompliziertes Passwort auf einem Post-It auf meinem Monitor habe, kann jemand nur dann auf mein Konto zugreifen, wenn er in mein Haus eingebrochen ist und in meinem Arbeitszimmer an meinem Schreibtisch sitzt. In dieser Situation habe ich ein weitaus größeres Problem als jemand, der meine UPS-Lieferungen verfolgen kann.
Qwerky
2
Was ist, wenn es sich um eine Unternehmensrichtlinie handelt und ein Mitarbeiter das Passwort einer Person findet? Es kann immer noch zu Schäden kommen, und die angeblich sichere Kennwortrichtlinie hilft wenig, wenn sie so komplex ist, dass die meisten Leute sie einfach auf ihren Monitor posten, damit jeder, der vorbeikommt, sein Kennwort für Unternehmensdaten finden kann.
Wayne Molina
2
+1, ich stimme Wayne vollkommen zu. Ein großer, wenn nicht der größte Teil der Sicherheitsbedrohungen kommt von innen. Richtlinien, die Benutzer dazu zwingen, Passwörter aufzuschreiben, machen den Zweck völlig zunichte.
Großmeister
1
Ganz zu schweigen von der Tatsache, dass Sie Benutzer nerven können, wenn sie an ein übermäßig kompliziertes Passwort denken müssen, das den Regeln entspricht.
Mavrik
1
@mouviciel Ich vertraue darauf genug, um Dinge wie meine Brieftasche und mein Telefon dort unterzubringen, was ich mehr schätze als fast jedes Online-Konto, das ich habe.
Qwerky
13

Meiner Meinung nach sollten Passwörter nur eine Längenanforderung haben. Sie möchten nicht, dass jemand "a" als Passwort eingibt. Und wie die xkcd-Antwort zeigt, ist ein extrem schwer zu merkendes Passwort nicht immer so sicher. Erlauben Sie immer, dass Personen auch ihr Passwort ändern. Und vergessen Sie den Mist "Sie können keine der Zeichen verwenden, die in Ihrem vorherigen Passwort enthalten sind".

Das Erstellen einer obszönen Kennwortrichtlinie kann mehr schaden als nützen. Am College ging ich zu der Passwortrichtlinie, die der UPS-Richtlinie ähnlich war UND die Sie alle 2 Wochen ändern mussten UND die Sie zuvor nicht verwenden konnten. Meine Lehrer haben uns daher beim Einrichten von Konten empfohlen, unser reguläres Passwort zu verwenden, das den Regeln entspricht, und am Ende einen Zähler hinzuzufügen und in Ihr Passwort einen Hinweis auf die Zählernummer einzugeben.

Außerdem wird eine strenge Kennwortrichtlinie nichts tun, wenn Ihre Nur-Text-Datenbank von einem SQL-Injection-Fehler gehackt wird ... oder wenn Sie Kennwörter per E-Mail an Ihre Benutzer senden und diese abgefangen werden.

Machen Sie Ihr Passwortsystem für Ihre Benutzer grundsätzlich nicht zu einem Problem, da es sie sonst dazu ermutigt, unsichere Dinge zu tun, damit sie es umgehen können. Wenn mein Unternehmen beispielsweise einen dedizierten Server aus einem Rechenzentrum bezieht, hat es uns Kennwörter mit einer Länge von 20 Zeichen eingerichtet. Sie waren zu sicher, um per E-Mail an uns gesendet zu werden, und mussten gefaxt werden. Wir konnten die Passwörter nicht ändern, sondern nur die Generierung eines neuen 20-stelligen Passworts anfordern. Und das war für jeden Benutzer so. Am Ende haben wir also nur ein Textdokument mit dem Passwort auf unseren Desktops erstellt. Außerdem verwenden wir sie nicht mehr, weil sie bei aller "Sicherheit" wirklich ziemlich unsicher waren.

Earlz
quelle
Ganz zu schweigen davon, dass sich Ihre Benutzer an den Notizblock auf ihrem Schreibtisch wenden, wenn Sie sich ein Passwort schwer genug merken. Ein "sicheres" Passwort, das alle für Social Engineering erbärmlich offen lässt, ist nicht sicher.
Fomite
4

Stellen Sie sicher, dass Leerzeichen vorhanden sind. Jeder, den ich kenne, kann kurze Phrasen schneller eingeben als den ersten Buchstaben jedes Wortes in der Phrase. Versuchen Sie zB zu tippen Bird in a Treeund dann BiaT. Dies hat den Vorteil, dass es sich nicht offensichtlich um ein Passwort handelt , wenn Sie einen vage funktionierenden Satz wie pick Up milkoder Meetings all dayauf eine Haftnotiz schreiben .

Ich bin kein großer Fan der Regeln "Sie müssen Zahlen und Symbole haben", aber wenn Sie sie konsequent anwenden (z. B. ich bin immer 1, a ist immer @), können Sie trotzdem die englische Phrase auf den Sticky schreiben, anwenden Geben Sie die Regeln ein, die nur Ihnen bekannt sind, und geben Sie sie B1rd in @ treein das Kennwortdialogfeld ein. Aus Sicherheitsgründen fügen die Zahlen und Symbole nicht viel hinzu, aber sie müssen Sie als Benutzer nicht verrückt machen.

Websites mit maximaler Passwortlänge machen mich nervös, wenn meine nette Phrase als "zu lang" eingestuft wird. 26 scheint vernünftig. Ich verstehe, dass jemand die Breite der Säule entwerfen muss, aber 12 ist einfach nur dumm kurz.

Kate Gregory
quelle
1
Das ist sehr klug. Verwenden Sie eine räumliche Phrase für jeden Tag ... Clever. Obwohl ich mich an mein System eines gemeinsamen sicheren Passworts mit zusätzlicher Nummer und Buchstaben halten werde, abhängig von dem Dienst, bei dem ich mich anmelde. Nur ich weiß, wie man diese bildet, und es ist immer das gleiche, aber das resultierende Passwort ist sehr wahrscheinlich anders (nicht immer anders, aber mir sind diese seltenen Duplikate egal).
Robert Koritnik
1
Die Breite welcher Spalte? Textfelder haben normalerweise einen internen Bildlauf, und wenn Sie das Klartextkennwort in der Datenbank speichern, machen Sie es falsch.
Peter Taylor
Dbs sind jetzt billig. Wenn Sie auch 50 Zeichen lange Passwörter zulassen, beträgt die Breite in db maximal 110 110 (um genau zu sein 102). Aber ich würde es 150 varchar machen ... gutes DB-Design sollte bedeuten, dass keine Tabelle mehr als 20 Spalten hat, so dass dies kein großes Problem darstellt.
Tgkprog
2

Sicher gegen bequem

Die Sicherheitsrichtlinie eines Kennworts sollte den Kompromisskosten angemessen sein. Wenn Ihre Website vor meinem Finanzkonto liegt, möchte ich einen strengen Passwortschutz. Wenn es sich um eine Nischen-Fanseite über Autobots handelt, brauchen Sie nicht viel Schutz.

Die USV-Regeln sind angemessen mit Ausnahme von:

  • Die maximale Länge ist viel zu klein. Sie sollten die Verwendung von Passphrasen erleichtern, die leichter zu merken und sicherer sind.

Ich habe das Zurücksetzen nach X Versuchen in den angegebenen Regeln nicht gesehen. Ich denke, das ist in den meisten Fällen albern. Ich denke, Sie sind besser dran, jemanden für einen bestimmten Zeitraum auszusperren, als einen Reset zu erzwingen. Dies setzt ein gewisses Maß an Sicherheit voraus. Wenn dies nicht erforderlich ist, ist dies nicht der Fall und das Sperren / Zurücksetzen ist ein strittiger Punkt.

Es gibt viele Kennwortrichtlinienregeln, die bestenfalls marginale Sicherheitsvorteile bieten. Es gibt jedoch auch Regeln, die echte, greifbare Vorteile für die Sicherheit Ihres Passworts haben.

Regeln (und die Gründe):

  • minimale Länge

Verhindert einen kombinatorischen Versuch und Irrtum, bei dem sehr kurze Passwörter schnell beschädigt werden.

  • Verbot der Verwendung eines einzelnen englischen Wortes (oder einer anderen Sprache)

Dies verhindert Wörterbuchangriffe.

  • erzwungene Aufnahme verschiedener Kategorien (dh gemischter Fall, Zahlen, Interpunktion)

Dies erhöht den durchschnittlichen Angriffsraum.

All diese Gründe lassen sich auf die Minimierung der Vorurteile des Benutzers bei der Auswahl von Passwörtern zurückführen. Die meisten Benutzer sind voreingenommen, kürzere, leicht zu merkende Passwörter zu erstellen. Leider ist das Passwort dadurch normalerweise leichter anzugreifen. Was die meisten Benutzer benötigen, sind Anweisungen zum Erstellen sicherer, einprägsamer Kennwörter oder einer längeren Passphrase.

Sichere einprägsame Passwörter

Wenn ich ein Passwort mit einer Längenbeschränkung erstellen muss, beginne ich immer mit einer Phrase, damit ich eine eingebaute Mnemonik habe. Ich nehme die Phrase und bekomme von jedem Wort das gleiche Positionszeichen. Ich habe jetzt eine Folge von nur Zeichen. Ich wähle dann die Großschreibung, einige basierend auf Eigennamen in der Phrase oder nach Muster (erster und letzter, jeder zweite Buchstabe usw.). Ich füge dann Interpunktion und Zahlen hinzu, die auf einer beliebigen Regel oder einem beliebigen Muster basieren. (dh alle 'j' s sind 7, wobei '&' verwendet wird, wobei die Phrase ein 'und' enthält, usw.).

Mama, habe gerade einen Mann getötet. Lege eine Waffe gegen seinen Kopf. Ich habe meinen Abzug gedrückt, jetzt ist er tot.

Satz von Königin zur Verfügung gestellt

  1. mjkampagahhpmtnhd - erster Buchstabe jedes Wortes
  2. MjkamPagahhPmtnhd - Das Gehäuse entspricht dem Gehäuse der Phrase
  3. Mjk0mP0g0hhPmtnhd - 'a' in 0 geändert
  4. Mjk0mP0g0 () Pmtnhd - hat 'seinen Kopf' in () geändert

Nachdem ich es ein paar Mal eingegeben habe, wenn ich an den Satz denke, werde ich nie Probleme haben, mich daran zu erinnern.

Dietbuddha
quelle
1
Das eigentliche Problem ist, dass das UPS-Konto von einem Dutzend Mitarbeitern des Unternehmens verwendet wird. Wenn Sie sie alle aussperren, weil Fred in der Schifffahrt falsch getippt hat, werden 1, Chaos 2, Leute zu Fedex wechseln
Martin Beckett
2
Ich denke, das Problem ist, dass widerwärtige Passwortrichtlinien die realSicherheit nicht erhöhen (sie erhöhen nur die Wahrnehmung der Sicherheit) und tatsächlich die Sicherheit beeinträchtigen können.
Martin York
@ Martin Beckett: 1) In Umgebungen, in denen eine Sperrrichtlinie verwendet wird, sollte es alternative Möglichkeiten zum sofortigen Entsperren Ihres Kennworts geben. 2) Jede Person sollte über ein eigenes Konto verfügen. 3) Die B2B-Sicherheit wird normalerweise besser durch Systeme mit öffentlichen Schlüsseln wie PKCS erreicht die keine Passwörter verwenden müssen.
Dietbuddha
@Loki Astari: Ja, das gilt für eine abscheuliche Richtlinie. Die Frage ist, welche Regeln die Richtlinie angesichts ihres Kontexts abscheulich machen. Zum Beispiel denke ich, dass wir uns beide darauf einigen können, dass eine Mindestlängenanforderung angemessen ist. Ich bin definitiv damit einverstanden, dass jede Anforderung, die das Aufbewahren des Verlaufs Ihrer Passwörter umfasst, unerträglich ist, da dies die Sicherheit nicht erhöht.
Dietbuddha
3
Ihre obigen Ideen scheinen logisch, aber in Wirklichkeit besiegen Sie sich selbst xkcd.com/936 . Ich bin mit drei Ihrer 4 Punkte grundsätzlich nicht einverstanden und würde vorschlagen, dass diese alle dazu führen, dass Passwörter leichter zu knacken sind. (Länge ist das einzig Positive). Das beste Passwort wäre:Mama, just killed a man.
Martin York
1

Ihr Passwort muss zwischen 8 und 26 Zeichen lang sein

Das Mindestkennwort mit einer Länge von 8 Zeichen ist ein Erbe von Lan Manager. Lan Manager hat Passwörter gehasht, indem er sie in zwei Zeichenfolgen mit 7 Zeichen aufgeteilt und dann gehasht hat. Indem sie mindestens 8 Zeichen benötigten, stellten sie sicher, dass das 2. Wort nicht mit einem leeren Passwort identisch war (es gab kein Salz, sodass jede Instanz von 7 Leerzeichen zum gleichen Ergebnis führte).

Ich bin sicher, dass ich nach 3 Tagen vergessen werde, was dieses Passwort ist.

Ich habe aufgegeben, die Regeln sind so albern und lächerlich, dass ich sie jetzt aufschreibe. Alle außer den wenigen, die ich für Websites verwende. Mein aktueller Arbeitgeber verfolgt auch die letzten 24 verwendeten Passwörter, damit sie nicht recycelt werden können, und das Passwort kann kein englisches Wort mit mehr als 3 Zeichen (vorwärts oder rückwärts) enthalten. Es stellt auch sicher, dass Sie kein vorheriges Wort verwenden und eine Zahl als Teil davon erhöhen (wenn Sie also P4ssw0rd1verwendet würden, könnten Sie weder verwenden P4ssw0rd2noch P4ssw0rd0).

Ich habe meine Lektion auf die harte Tour im Büro gelernt, als ich ein Passwort ändern musste. Es dauerte 45 Minuten, bis das System einen Ersatz akzeptierte. Dann vergaß ich sofort, was ich mir ausgedacht hatte, und musste es zurücksetzen und weitere 45 verschwenden Minuten, in denen ich versuchte, etwas zu bekommen, an das ich mich erinnern konnte, das komplex genug war, um die Anforderungen zu erfüllen (einige der Anforderungen sind oben aufgeführt, andere nicht und andere nicht). Es macht nicht viel Spaß, etwas zu finden, das Regeln entspricht, die Sie nicht kennen dürfen. Zumindest bei Spielen wie Mastermind erhalten Sie Hinweise darauf, wie nahe Sie kommen. Im Büro dürfen einige Leute eine Smartcard benutzen , ich bin keiner von ihnen.

Tangurena
quelle
1

Die Verwendung von bcrypt beim Speichern des Passworts ist ein guter erster Start, einfach weil es Brute-Force-Hacking-Versuche unmöglich macht.

Ameise
quelle
0

Vernünftig und sicher schließen sich gegenseitig aus. Sie sind zwei Enden einer Stange. Am besten ist es, ein Gleichgewicht in der Mitte zu finden. Zu weit in Richtung Sicherheit und Leute schreiben die Passwörter auf oder verwenden die völlig unsichere Funktion zum Entsperren von Passwörtern.

Das obige Beispiel scheint eher sicher als vernünftig zu sein. Ich habe schlimmer gesehen.

Ich neige lieber zum Vernünftigen. Der Schlüssel ist, sich in Richtung der Sicherheit in Ihrem Back-End zu lehnen. Speichern Sie so wenig wie möglich, verwenden Sie Salze usw. Die neuesten empfohlenen Methoden zum Codieren der Kennwörter in Ihre Datenbank und zum Codieren in eine Richtung. Bewahren Sie dann Ihre Datenbank und Ihren Code sicher auf. Trainieren Sie auch alle Personen mit Administratorrechten für Ihr System, die ein eindeutiges sicheres Kennwort verwenden müssen. Kürzlich wurde gezeigt, dass das Aneinanderreihen mehrerer Wörterbuchwörter sicherer ist als das Ziehen von Sonderzeichen und Groß- / Kleinschreibung. Es erforderte zusammengesetzte Wörterbuchübereinstimmungen, die sich für Hacker wirklich zeitlich summieren, diese waren jedoch für Benutzer immer noch einprägsam.

Bill Leeper
quelle
1
Vernunft und Sicherheit sind keine gegensätzlichen Konzepte. Sie können Konflikte verursachen, aber es ist normalerweise möglich, etwas zu finden, das einigermaßen sicher und vernünftig verwendbar ist. Es erfordert möglicherweise ein wenig kreatives Denken und kann auf einer Checkliste nicht angemessen gemessen werden, weshalb es möglicherweise an vielen Orten nicht so gesehen wird.
David Thornley
Es gibt eine Menge Geschichte, in der Vernünftigkeit und Sicherheit an entgegengesetzten Enden stehen. Sie können Benutzern entweder erlauben, angemessene Passwörter zu haben (keine Überprüfungen, alles geht), und das ist wahrscheinlich das am wenigsten sichere oder vielleicht kein Passwort, das noch weniger sicher ist. Microsoft hat das auf die harte Tour gelernt. Die Leute wollten bessere E-Mails, also beschlossen sie, Skripte wie in Word zuzulassen, und dann kamen die E-Mail-Viren. Seitdem ist es eine Schlacht. Sie können keine webfähigen E-Mails (vernünftig) haben, ohne sich Sicherheitsrisiken auszusetzen
Bill Leeper
Sicher, es ist einfach, Benutzerfreundlichkeit und Sicherheit diametral entgegengesetzt zu haben, wenn Sie keine guten Entscheidungen treffen. Viele Microsoft-Entscheidungen wurden möglicherweise im Jahr 2005 und früher getroffen, anscheinend ohne Rücksicht auf die Sicherheit.
David Thornley
Bitte geben Sie ein Beispiel, in dem Sie Benutzerfreundlichkeit UND Sicherheit haben. Ich habe an vielen Orten gearbeitet und viele sichere Systeme implementiert und muss dies noch sehen. Und dies wäre eine normale Web-App, nicht so etwas wie die Verwendung eines SSH-Schlüssels für den Zugriff auf ein Remote-System. Meine Großmutter muss dies auf ihrem Windows Vista-System tun können :-)
Bill Leeper
Betrachten Sie Passphrasen wie die aktuelle xkcd. Sicherer als die meisten Passwörter, in der Regel leichter zu merken als die guten und häufig über 26 Zeichen, die die Site zulässt.
David Thornley
0

Kein Wörterbuchwort oder eine triviale Variation davon. Das ist es. Ein Bündel von zwei Wörterbuchwörtern ist so gut wie unknackbar. Ein Einzelbuchstabenersatz für ein Zeichen, das kein offensichtlicher Ersatz ist (0-O, 1-I, 5-S).

Wenn Sie die Antwortzeit begrenzen - das Kennwort wird nach 1s akzeptiert / verweigert und keine zwei parallelen Versuche für dieselbe Anmeldung zulässig sind - muss einer beendet werden (OK oder Fehler), bevor Sie einen anderen versuchen Es dauert 9 Jahre, bis das Passwort für Sonderzeichen gebrochen ist.

SF.
quelle
0

Die Komplexität der Kennwortanforderungen sollte mit dem Inhalt Ihrer Websites in Einklang gebracht werden. Eine Bank sollte ein hochkomplexes Passwort benötigen (Groß-, Klein-, Zahlen- und Sonderzeichen). Wenn der Inhalt jedoch trivial ist, wie gespeicherte Suchanfragen und Tracking-Nummern, sollte die Kennwortanforderung gelockert werden. Die Mindestlänge von 6 Zeichen sollte ausreichen. Andernfalls wird Ihr Publikum einfach gestört und davon abgehalten, ein Login zu erstellen.

Jeson Martajaya
quelle