Wikipedia hat eine schöne Zusammenfassung zu diesem Thema
Allgemeine Kennwortpraxis Kennwortrichtlinien enthalten häufig Hinweise zur ordnungsgemäßen Kennwortverwaltung, z. B.:
- Niemals ein Computerkonto teilen
- Verwenden Sie niemals dasselbe Passwort für mehr als ein Konto
- Niemals jemandem ein Passwort mitteilen, auch nicht Personen, die behaupten, vom Kundendienst oder der Sicherheit zu stammen
- Schreiben Sie niemals ein Passwort auf
- Übermitteln Sie niemals ein Passwort per Telefon, E-Mail oder Instant Messaging
- Achten Sie darauf, sich abzumelden, bevor Sie einen Computer unbeaufsichtigt lassen
- Ändern von Passwörtern, wenn der Verdacht besteht, dass sie kompromittiert wurden
- Betriebssystemkennwort und Anwendungskennwörter sind unterschiedlich
- Das Passwort sollte alphanumerisch sein
- Machen Sie Passwörter VOLLSTÄNDIG zufällig, aber leicht zu merken
Vorschläge der TU Delft :
Merkmale akzeptabler Passwörter
- Ein Passwort enthält mindestens acht Zeichen und
- es enthält mindestens einen Großbuchstaben und
- es enthält mindestens einen Kleinbuchstaben und
- Es enthält mindestens eine Ziffer oder ein anderes Zeichen wie! @ # $% ^ & () {} [] <> ... und
- es ist kein Begriff in einer vertrauten Sprache oder Fachsprache, und
- es ist nicht identisch mit oder abgeleitet von dem zugehörigen Kontonamen, von persönlichen Merkmalen oder von Informationen aus dem eigenen familiären / sozialen Umfeld und
- es ist leicht zu merken, zum Beispiel durch einen Schlüsselsatz, und
- es kann fließend eingegeben werden.
Best Practices zum Schutz von Passwörtern
- Vermeiden Sie die Verwendung des gleichen Passworts für Beruf und Privatleben.
- Betrachten Sie alle Passwörter als vertrauliche Informationen und geben Sie sie nicht an die Konten von Kollegen, Familienmitgliedern oder anderen Bekannten weiter.
- Geben Sie keine Passwörter an Kollegen, den Chef oder andere Bekannte weiter, weder unter normalen Umständen noch im Falle von Urlaub oder Krankheit.
- Erwähnen Sie kein Passwort in der Öffentlichkeit, per Telefon oder in unverschlüsselter Kommunikation.
- Notieren Sie niemals ein Passwort an einem frei zugänglichen Ort.
- Geben Sie keine Hinweise auf die Mnemonik, mit der Sie sich Ihr Passwort merken.
- Geben Sie niemals Informationen zu einem Passwort in Fragebögen oder Sicherheitsformularen an.
- Wenn ein Missbrauch vermutet wird, melden Sie dies der Sicherheitsorganisation und ändern Sie sofort alle beteiligten Passwörter.
- Wenn jemand ein Passwort wissen möchte, verweisen Sie ihn auf diese Richtlinie.
Für persönliche Sachen benutze ich
quelle
Sie müssen eine "vernünftige" Frequenz für die Häufigkeit wählen, mit der sie geändert werden sollen. Zu schnell und die Leute degenerieren in
<old_password>+<number>
(oder ähnliches), so langsam und Sie erhöhen das Risiko, dass das Passwort kompromittiert wird. Es könnte sich lohnen zu untersuchen, ob es eine Regel gibt, die Sie einrichten können, um sich dagegen zu schützen.Ebenso müssen Sie eine Regel haben, die besagt, dass ein Passwort nicht für so viele Änderungen (vielleicht 10) wiederverwendet werden kann, damit die Benutzer nicht nur zwischen zwei (oder drei) Passwörtern für ihr Konto wechseln.
Machen Sie das Passwort mindestens alphanumerisch mit mindestens einem Großbuchstaben. Um es etwas sicherer zu machen, muss mindestens ein nicht alphanumerisches Zeichen vorhanden sein.
quelle
Sie könnten so etwas wie einen Passwortgenerator wie SuperGenPass haben . Sie könnten also ein schwaches Passwort haben, aber die generierte Zeichenfolge wäre extrem stark. Das wäre aber mehr für Website-Logins.
Andere Optionen wären:
quelle
Am Freitag musste ich mein Passwort bei meinem Kunden ändern. Die Regeln, die sie haben, sind lächerlich. Sie sind alle Standard-Großbuchstaben, Satzzeichen, Mindestlängen usw. sowie.
Das Problem ist, dass sie so komplex sind, dass es fast unmöglich ist, eine zu finden, zumal die Fehlermeldung nicht die zusätzlichen Anforderungen angibt, die sie haben.
Ich rief den Helpdesk an und sie sagten, verwenden Sie einfach eine wie diese Pa5word # (nicht das echte Passwort) und erhöhen Sie dann die Nummer weiter ....
Ich finde diese Systeme völlig verrückt, da sie Sie davon abhalten, Passphrasen zu verwenden, zum Beispiel "thisismypasswordforjanurary" ist sehr leicht zu merken und sehr sicher, aber die meisten Systeme lassen diese Arten von Passphrasen nicht zu.
Ich würde also für eine hohe Mindestlänge stimmen, sagen wir 15 bis 20 Zeichen, damit die Leute nicht nur Wörter verwenden können und keine Passwörter im l33t-Stil erforderlich sind.
Was auch immer Sie wählen, ich würde sicherstellen, dass Sie dokumentieren, welche Einschränkungen bestehen und warum sie vorhanden sind, und einige Beispiele für Benutzer, mit denen sie sichere generieren können.
quelle
Die meisten Antworten hier gehen direkt auf Richtlinienvorschläge ein. Was die Frage beantwortet, das ist gut. Aber meiner Meinung nach müssen Sie sich zuerst fragen: Wie wichtig sind die Informationen, die Sie schützen?
Beispielsweise unterscheidet sich die Kennwortrichtlinie für das Verteidigungsministerium zum Schutz vertraulicher Informationen wahrscheinlich erheblich von der Richtlinie, die Sie für Wegwerf-E-Mail-Konten verwenden.
quelle
Kurzfassung:
Der Admin-Teil von mir sagt 12-16-stellige Passwörter mit Klein- und Großbuchstaben und Zahlen. Sollte auch einen zufälligen Textteil haben, der in keinem Wörterbuch enthalten ist. Sollte ausreichen, um netzwerkbasierte Brute-Force-Angriffe zu verhindern.
Als Benutzer mag ich Passwörter, die leicht zu merken sind, auch wenn sie lang sein können (ab 16 Zeichen). Sobald ich es auswendig gelernt habe, kann ich es schnell genug eingeben. Anstatt nur eine Richtlinie durchzusetzen, sollten Sie möglicherweise clevere Methoden finden, um Ihren Benutzern beizubringen, sichere und leicht zu merkende Kennwörter zu wählen, nicht nur zufällige Zeichen.
quelle