Quais são as diretrizes para criação de senhas seguras?

Em sistemas Unix, o PAM, ou Módulo de autenticação plugável é um boa ferramenta administrativa que vem com uma biblioteca de crack que você pode testar contra senhas.

Depois de fazer um trabalho de segurança recente, sei que os padrões do governo geralmente têm essas diretrizes quando se trata de uma senha:

• Comprimento mínimo de 14 caracteres
• Pelo menos 2 caracteres especiais
• Pelo menos 2 caracteres minúsculos
• Pelo menos 2 caracteres maiúsculos
• Pelo menos 2 dígitos
• Deve ser alterado a cada 60 dias
• Sem palavras de dicionário ou nomes de usuário

O senso comum sugere que você não deve colocar os 2 números e caracteres especiais no início ou no final, mas intercalados. Enquanto trabalhava nessas diretrizes, levantou-se a questão de se ter senhas complexas realmente valeria a pena. Com senhas tão complexas, parece que elas têm uma maior probabilidade de serem armazenadas como texto simples em algum lugar pelo usuário ou escritas em algum lugar.

No uso pessoal, eu normalmente sou menos rigoroso do que essas diretrizes, mas definitivamente nenhuma palavra do dicionário ou L33t fala.

Bruce Schneier tem um artigo interessante , baseado no que uma empresa tem tem que ser uma prática comum na escolha de senhas pelas pessoas.

EDITAR: Ah, para gerar senha. Você pode usar ferramentas como KeePass ou Senha Segura para gerar e armazenar automaticamente uma boa senha para seus logins. Veja esta pergunta para mais informações.

grc.com tem uma boa página onde você pode obter senhas strongs.

Pessoalmente, o que tento fazer para as senhas é pensar primeiro em uma frase relativamente longa e memorável e realizar a seguinte transformação:

• Inclua toda a pontuação não ambígua e a primeira letra de cada palavra
• Execute a capitalização em estilo alemão (primeira palavra e todos os substantivos / nomes como maiúsculas) ou o inverso ...
• Substitua algumas palavras ou letras por dígitos, O - > 0 , for / fore / four - > 4 , one , an - > 1 , etc.

Na maioria dos casos, isso resulta em uma senha bastante segura e não questionável, que eu posso facilmente me reconstruir com base nessas regras e lembrar a frase.

Por exemplo:

What are the guidelines for creation of a secure passwords?

Torna-se:

WatG4co1sP?

Observe que esse esquema pode ser usado para criar senhas que se encaixam em praticamente todas as regras que uma empresa pode ter em relação ao comprimento mínimo, símbolos incluídos necessários etc. Também tem o benefício adicional de que, desde que você escolha um esquema de codificação pode aplicar de forma consistente, porque faz sentido para você (para maiúsculas e caracteres especiais e dígitos), então você não deve precisar escrever nada no papel, evitando o problema onde um hacker pode encontrar suas senhas apenas dando uma olhada seu espaço de trabalho.

Quando a segurança é um fator importante, sempre incluo alguns caracteres ASCII altos.

Por exemplo, 154 é Ü. Esses caracteres não apenas aumentam muito a quantidade de tempo necessária para um ataque de força bruta, mas a maioria dos ataques nem sequer verifica esse intervalo de caracteres e, às vezes, nem sequer são capazes disso.

Além disso, o óbvio:

• Mais tempo é mais seguro.
• Misture letras maiúsculas e minúsculas, números, símbolos.
• Não baseie-o em palavras do dicionário, nomes próprios nem significados conhecidos (por exemplo, acrônimos).

A discussão no Diceware é uma leitura interessante.

Para criar senhas e senhas de alto valor, a técnica de um dicionário como o diceware e um bom randomizador, como um punhado de dados, é uma boa escolha.

Pessoalmente, eu uso o PasswordSafe bloqueado por uma senha strong gerada pela técnica de diceware. Deixei PasswordSafe gerar todas as outras senhas que eu preciso, e geralmente não tenho idéia do que elas podem ser depois de alguns minutos. Eu tenho cópias do arquivo seguro em vários sistemas, então não estou muito preocupado com todos os ovos que estão em uma cesta. A grande vantagem é que eu nunca uso intencionalmente a mesma senha para dois propósitos.

Para uso pessoal, eu recomendo armazenar uma cópia legível da frase secreta do cofre em um local seguro onde possa ser encontrado por seus herdeiros ...

Este site descreve bem as diretrizes e permitirá que você teste sua segurança. Acho que inventar o seu próprio será mais memorável do que um gerado também.

O site SecurityStats tem uma página onde você pode tentar sua senha fu
Também fornece orientações sobre senhas melhores.

• A Microsoft também tem uma verificação de senha página li>
• Outro medidor de senhas semelhante
• Sugestões de suporte do Google - Como escolher uma senha e pergunta de segurança
  • No entanto, nunca gostei do ângulo da pergunta de segurança

Boa leitura no blog do Google Enterprise no rastreamento de segurança de senha,
Você pode manter uma conta para você mesmo onde verificar os pontos strongs de suas senhas .

because the Google Account authentication system continuously sees new variations of password attacks from around the world, we can assess password strength in real-time and help administrators spot passwords that were relatively secure in the past that are more vulnerable to the latest patterns of attacks

No que diz respeito à força contra a quebra de força bruta, a melhor coisa a fazer é aumentar o comprimento e o número de combinações possíveis aumentar exponencialmente (literalmente). É claro que ainda é uma boa idéia introduzir alguns caracteres e símbolos aleatórios para tornar os ataques de dicionário mais difíceis. Ou talvez use algumas palavras de diferentes idiomas - pontos de bônus para personagens não-ASCII!

Uma análise mais completa está disponível aqui

E enquanto estivermos observando os conselhos de senha do xkcd, nunca reutilize as senhas .

Veja também Criador de senhas . Isso usa as informações fornecidas, incluindo uma semente, para que você possa gerar uma senha exclusiva. Então tudo o que você precisa fazer é lembrar a semente e descobrir os mesmos valores de dados, e o Password Maker gerará a mesma senha para você mais tarde.

Meus problemas com senhas assim são difíceis de serem digitados e difíceis de lembrar. Pessoalmente eu tenho um programa chamado gpw que gera senhas de partes de sílabas, resultando em uma senha que geralmente é " quase "pronunciável. Se você adicionar um pouco de maiúscula e pontuação, acabará com algo um pouco mais fácil de lembrar do que o ruído da linha, mas está razoavelmente seguro de forçadores brutos.

Por exemplo, eu faria isso:

$ gpw
ompartiz
tocycedt
psyllicu
doggiedu

Eu escolheria um que eu gostasse e depois transformaria em algo como? D0ggid00