Was sind die Richtlinien für die Erstellung eines sicheren Passworts?

940
Axxmasterr

Was sind die besten Methoden zum Erstellen sicherer Kennwörter? Ich möchte, dass sie mit rauen Werkzeugen härter zu knacken sind.

Teil II

Gibt es Werkzeuge, die diese Passwörter generieren können, so dass ich mir keine Gedanken darüber machen muss?

6
Hier ist ein starkes Passwort: hD7 [lm3A8jGR Wenn Sie mehr benötigen, fragen Sie einfach. John Fouhy vor 15 Jahren 9
Wikipedia bietet wie immer gute Ratschläge: http://en.wikipedia.org/wiki/Password akf vor 15 Jahren 0
nicht so stark, dass es jetzt öffentlich ist; D John T vor 15 Jahren 3
Jetzt muss ich nur noch Google nach "Axxmasterr" durchsuchen und hD7 [lm3A8jGR für alle gefundenen Konten ausprobieren. Travis vor 15 Jahren 2

10 Antworten auf die Frage

8
Evan

Auf Unix-Systemen ist PAM oder Pluggable Authentication Module ein schönes Verwaltungstool, das mit einer Crack-Bibliothek geliefert wird, mit der Sie Kennwörter testen können.

Nach einigen Sicherheitsarbeiten in letzter Zeit weiß ich, dass für staatliche Richtlinien normalerweise folgende Richtlinien gelten, wenn es um ein Kennwort geht:

  • Mindestlänge von 14 Zeichen
  • Mindestens 2 Sonderzeichen
  • Mindestens 2 Kleinbuchstaben
  • Mindestens 2 Großbuchstaben
  • Mindestens 2 Ziffern
  • Muss alle 60 Tage geändert werden
  • Keine Wörterbuchwörter oder Benutzernamen

Der gesunde Menschenverstand legt nahe, dass Sie die 2 Zahlen und Sonderzeichen nicht am Anfang oder Ende einfügen sollten, sondern dazwischen liegen. Bei der Arbeit an diesen Richtlinien wurde die Frage aufgeworfen, ob sich solche komplexen Passwörter wirklich gelohnt haben. Mit so komplexen Passwörtern scheint es, als würden sie mit höherer Wahrscheinlichkeit vom Benutzer als Klartext gespeichert oder irgendwo niedergeschrieben.

Im persönlichen Gebrauch bin ich normalerweise weniger streng als diese Richtlinien, aber definitiv keine Wörterbuchwörter oder L33t sprechen.

6
KTC

Bruce Schneier hat einen schönen Artikel darüber, basierend auf dem, was ein Unternehmen bei der Auswahl von Passwörtern üblich sein muss.

EDIT: Oh, um ein Passwort zu generieren. Sie können Tools wie KeePass oder Password Safe verwenden, um automatisch ein gutes Passwort für Ihre Anmeldungen zu generieren und zu speichern. Weitere Informationen finden Sie in dieser Frage .

5
Jeff Leonard

grc.com hat eine schöne Seite, auf der Sie sichere Passwörter erhalten können.

Steve Gibson ist der Papa. Charles Roper vor 15 Jahren 1
Ich habe gelegentlich PWD = `curl https://www.grc.com/passwords.htm | verwendet openssl sha1` in Skripts, bei denen ich ein schnelles Passwort benötige (mit Fehlerprüfung der Curl-Antwort) devstopfix vor 10 Jahren 0
5
jerryjvl

Was ich persönlich für Passwörter zu tun versuche, ist zunächst an eine relativ lange einprägsame Phrase zu denken und die folgende Transformation darauf auszuführen:

  • Fügen Sie alle eindeutigen Satzzeichen und den ersten Buchstaben jedes Wortes ein
  • Führen Sie die Großschreibung nach deutscher Art aus (erstes Wort und alle Substantive / Namen als Hauptstädte) oder die umgekehrte ...
  • Ersetzen Sie einige Wörter oder Buchstaben mit Ziffern, O-> 0, for/ fore/ four-> 4, one, an-> 1usw.

In den meisten Fällen führt dies zu einem ziemlich sicheren und nicht zu erlassenden Kennwort, das ich auf der Grundlage dieser Regeln und des Erinnerns an den Satz leicht rekonstruieren kann.

Zum Beispiel:

What are the guidelines for creation of a secure passwords? 

Wird:

WatG4co1sP? 

Beachten Sie, dass dieses Schema zum Erstellen von Kennwörtern verwendet werden kann, die so gut wie allen Regeln entsprechen, die ein Unternehmen in Bezug auf Mindestlänge, erforderliche eingeschlossene Symbole usw. hat. Es hat außerdem den zusätzlichen Vorteil, dass Sie ein Kodierungsschema wählen, das Sie konsistent anwenden können Da es für Sie sinnvoll ist (für Großbuchstaben und Sonderzeichen und Ziffern), sollten Sie nichts zu Papier bringen und das Problem vermeiden, dass ein Hacker Ihre Kennwörter finden kann, indem Sie sich einfach in Ihrem Arbeitsbereich umsehen.

+1, weil ich diese Technik auch für Passwörter verwende, die tatsächlich von Bedeutung sind. Ich könnte es auch einen Schritt nach vorne machen und den Buchstaben durch '$' und ähnliches ersetzen. Sasha Chedygov vor 15 Jahren 1
3
tsilb

Wenn Sicherheit ein Hauptfaktor ist, füge ich immer einige hohe ASCII-Zeichen ein.

Zum Beispiel ist 154 Ü. Diese Charaktere erhöhen nicht nur erheblich die Zeit, die für einen Brute-Force-Angriff erforderlich ist, sondern die meisten Angriffe scannen nicht einmal diesen Charakterbereich und sind manchmal auch nicht dazu in der Lage.

Auch das Offensichtliche:

  • Länger ist sicherer.
  • Mischen Sie Groß- und Kleinbuchstaben, Zahlen und Symbole.
  • Nicht auf Wörterbüchern, Eigennamen oder bekannten Bedeutungen (z. B. Akronyme) stützen.
+1 guter Tipp. kann Probleme mit älteren Systemen haben. quack quixote vor 15 Jahren 0
2
RBerteig

Die Diskussion bei Diceware ist eine interessante Lektüre.

Für die Erstellung hochwertiger Kennwörter und Passphrasen ist die Technik eines Wörterbuchs wie der von Diceware und eines guten Randomizers wie einer Handvoll Würfel eine gute Wahl.

Persönlich verwende ich PasswordSafe, das durch eine starke Passphrase gesperrt ist, die von der Diceware-Technik generiert wird. Ich lasse PasswordSafe jedes andere Passwort generieren, das ich brauche, und habe im Allgemeinen keine Ahnung, was es sein könnte, nachdem einige Minuten vergangen sind. Ich habe Kopien der sicheren Datei auf mehreren Systemen, also mache ich mir nicht allzu viele Sorgen, dass alle Eier in einem Korb liegen. Der große Vorteil ist, dass ich das gleiche Passwort niemals wissentlich zu zwei Zwecken benutze.

Für den persönlichen Gebrauch empfehle ich, eine leserliche Kopie der Passphrase des Safes an einem sicheren Ort aufzubewahren, an dem Ihre Erben sie finden könnten.

1
John T

Diese Seite beschreibt die Richtlinien gut und ermöglicht Ihnen, die Sicherheit zu testen. Ich denke, dass es Ihnen einprägsamer sein wird, wenn Sie sich Ihre eigenen vorstellen.

Obwohl der Test interessant ist, kann ich nicht sagen, dass ich mit seinem Algorithmus einverstanden bin. Als zufälliger Test tippe ich in Kombination von niedrigen / niedrigen Buchstaben und Zahlen. An einem Punkt hatte ich 86%, dann reduzierte das Hinzufügen weiterer Buchstaben meinen Score auf 46%. Huh KTC vor 15 Jahren 0
KTC, es verringert Ihre Punktzahl, wenn Sie wiederkehrende Zeichen, fortlaufende Groß- / Kleinbuchstaben / Zahlen, fortlaufende Buchstaben / Zahlen usw. haben. Aber ich stimme Ihnen zu, dass sogar das unsicherste Kennwort zum Ende eines bereits sicheren Kennworts hinzugefügt werden kann. t reduziert die Qualität. Travis vor 15 Jahren 0
1
nik

Die SecurityStats- Site enthält eine Seite, auf der Sie Ihr Kennwort ausprobieren können.
Sie enthält außerdem Richtlinien für bessere Kennwörter.


Gute Lektüre im Google Enterprise Blog zum Verfolgen
der Kennwortsicherheit . Sie können für sich ein Konto einrichten, in dem Sie die Stärken Ihrer Kennwörter überprüfen .

Da das Authentifizierungssystem des Google-Kontos ständig neue Varianten von Kennwortangriffen aus aller Welt erkennt, können wir die Kennwortstärke in Echtzeit ermitteln und Administratoren dabei helfen, Kennwörter zu finden, die in der Vergangenheit relativ sicher waren und die den neuesten Angriffsmustern ausgesetzt sind

1
Bob

xkcd: Password Strength

In Bezug auf die Festigkeit gegen Brute-Force-Cracking ist es am besten, die Länge zu erhöhen und die Anzahl möglicher Kombinationen exponentiell (wörtlich) zu erhöhen. Natürlich ist es immer noch eine gute Idee, einige zufällige Zeichen und Symbole einzuführen, um Wörterbuchangriffe zu erschweren. Oder verwenden Sie ein paar Wörter aus verschiedenen Sprachen - Bonuspunkte für Nicht-ASCII-Zeichen!

Eine ausführlichere Analyse finden Sie hier.

Und während wir uns den xkcd-Passworthinweis ansehen, verwenden Sie niemals Passwörter .

+1 Ich mag dieses auch über Passwörter: http://xkcd.com/792/ Kevin Fegan vor 11 Jahren 0
0
David Mackintosh

Siehe auch Password Maker . Hierbei werden die von Ihnen bereitgestellten Informationen, einschließlich eines Startwerts, verwendet, um ein eindeutiges Kennwort zu generieren. Dann müssen Sie sich nur noch an den Ausgang erinnern und die gleichen Datenwerte ermitteln. Password Maker generiert später dasselbe Kennwort.

Meine Probleme mit solchen Passwörtern sind, dass sie schwer einzugeben und schwieriger zu merken sind. Ich persönlich habe ein Programm namens gpw, das Passwörter aus Silbenblöcken generiert, was zu einem Passwort führt, das normalerweise "fast" ausgesprochen werden kann. Wenn Sie dies tun, fügen Sie etwas Großschreibung und Zeichensetzung hinzu. Am Ende erhalten Sie etwas, das leichter zu merken ist als Leitungslärm, aber es ist einigermaßen sicher vor Brute-Forcern.

So würde ich zum Beispiel folgendes tun:

$ gpw ompartiz tocycedt psyllicu doggiedu 

Ich würde einen auswählen, den ich mag, und dann in etwas wie? D0ggid00 verwandeln