Como posso ter um login de domínio seguro sem uma senha complexa?

Uma digitalização de impressões digitais NUNCA deve ser considerada como uma substituição de senha. Pode ser usado como um fator adicional, mas nunca deve ser usado sozinho, uma vez que nunca pode ser alterado.

O arranjo melhor, mas mais simples, é criar um padrão que você possa lembrar. Um que permite mudar ao longo do tempo, mas ainda permanece memorável para você.

Na verdade, não é difícil memorizar um padrão de letras, números e símbolos e existem muitos padrões que você pode usar. É o padrão em si que o torna memorável. Isso também vale para as palavras, mas somos condicionados a reconhecer palavras significativas, é claro.

Então, um padrão como:

mhall~ouat<14?05

"Maria teve um cordeirinho ~ Era uma vez < 2014? Maio" - entendeu?

Você pode simplesmente brincar com alguns dos símbolos ou simplesmente os números. Você pode não querer usar algo tão óbvio quanto a base, se você é realmente paranóico, porque uma boa mesa de arco-íris pode ser capaz de captar isso.

Esse exemplo é de 15 caracteres com alfa, numérico e símbolos. Poderia ser melhorado ligeiramente com um capital ou dois, embora, na realidade, seja a possibilidade de superior / inferior / numérico / símbolo que seja mais importante que o seu uso real em todas as senhas.

Essa senha será muito strong mesmo contra as ameaças atuais. A maior ameaça restante é o surfar no ombro ou um dos tópicos mais esotéricos, como a análise de som (da sua digitação).

Você pode ir além, se quiser, por meio do uso de fatores adicionais, como um YubiKey ou um cartão inteligente, mas você realmente deve usá-los como fatores ADICIONAIS e não como substitutos diretos. Se você quiser manter o máximo de segurança,

Pessoalmente, também uso ferramentas para lembrar a maioria das senhas e sou a favor de uma senha do Windows gerada de forma aleatória. Nenhum-a-menos, é apenas uma única senha e, portanto, não é tão difícil de lembrar depois de alguns tipos de prática.

Você também deve observar, no entanto, que se você confiar apenas em uma senha de login do Windows, ainda estará expondo TODOS os dados se alguém se apossar do seu PC. Para uma verdadeira segurança, você precisa de um BIOS UEFI, chip TPM, configurações protegidas do BIOS e criptografia total de disco. Apenas com estes você será capaz de ter uma expectativa razoável de que os invasores não podem se apossar de suas informações se eles se apossarem do PC.

Em seguida, você também deve adicionar proteção adicional ao Windows. Microsoft EMET, pelo menos, de preferência, uma ferramenta de lista branca de aplicativos (como incorporada ao AVAST AV). A lista branca de aplicativos permite que aplicativos específicos sejam executados e é quase certamente a melhor defesa atual contra ataques de dia zero. Com o EMET para fortalecer o Windows e uma boa ferramenta AV / anti-malware, como o AVAST, juntamente com as outras medidas descritas, removendo todo o software não necessário e mantendo atualizados os patches nos restantes, você estará seguro como está. possível estar agora.

UPDATE: percebi que não respondi totalmente à pergunta sobre quais opções estão disponíveis para fazer login em domínios.

Existem muitas ferramentas para isso e o Windows suporta um recurso de login substituível que costumava ser chamado de GINA, não tenho certeza se ainda é. O login com cartões inteligentes é suportado nativamente e há muitas ferramentas de terceiros para complementar (ou substituir) logins padrão de ID / senha no domínio, como geradores de senha única (como tokens RSA) e similares. Você também pode ajustar os requisitos de senha do Windows Domains para impor senhas mais strongs. Eu recomendo dar orientação fácil nesse caso, parece que me lembro de ter visto vários infográficos que explicam o tipo de escolha de senha que mencionei acima.

Uma única senha memorizada pode ser tão segura quanto qualquer senha aleatória armazenada em um gerenciador de senhas. Você precisa de um algoritmo simples que transforme uma palavra ou frase fácil de lembrar (que tenha um significado pessoal para você) em uma senha complexa. Você pode escrever com segurança mais do que o suficiente para lembrar a frase e o algoritmo sem o medo real de que alguém escolha seu bolso e trabalhe.

Digamos que você goste da Disney. Sua frase pode ser tio Walt. Modifique a frase de maneiras novas, como trocar a primeira e a última letra de cada palavra, e envolver cada uma com números e pontuação, enquanto capitaliza letras aparentemente arbitrárias em um padrão (digamos, a segunda do final).

Tio (5 letras) e Walt (4 letras) podem se tornar 4encLu $ taLw5.

Se você fosse realmente paranóico ou se preocupasse em esquecer seu próprio algoritmo, poderia criar uma pequena anotação em algum lugar, como "US $ 45 para uma célula de animação da Disney?", como se estivesse deliberando sobre uma compra.

Quando é hora de alterar sua senha, você pode manter o algoritmo pessoal e criar uma frase diferente e uma nota igualmente "aleatória".

Obtenha um laptop ou teclado com um leitor de cartão inteligente e exija autenticação de cartão inteligente para seu login de domínio.

Devido ao lançamento de vários arquivos grandes de senha em texto simples, agora é possível ter uma ideia muito boa sobre o que as pessoas acham que são senhas complexas - que são fáceis de lembrar. O resultado é que uma senha complexa gerada usando algoritmos simples como

a password that you can remember and then add lots of characters

a simple algorithm that transforms an easy to remember word or phrase

create a pattern that you can remember

- não são mais complexos para gerar. Existem algoritmos de cracking que geram essas senhas, e qualquer outra coisa que você considera inteligente, aprendeu com os milhões de exemplos de senhas agora disponíveis.

Podemos restringir esta questão a - como criar uma senha strong que seja fácil de lembrar.

Eu elaborarei os quadrinhos do xkcd .

Sua senha pode incluir todos os tipos de caracteres (letras, símbolos, letras maiúsculas) e pode usar substituição de símbolo comum, etc. e ser muito complexa. Mas será difícil memorizar.

Ou pode consistir em 4 - 5 palavras aleatórias comuns e ser muito simples para você memorizar. Ao mesmo tempo, ele fornecerá a você uma segurança melhor, pois é mais difícil decifrar senhas mais longas.

Se o banco de dados estiver sendo forçado a brute em velocidade decente, não haverá diferença significativa entre as senhas GordanFreeman e g0rDAn&fr33mNa do ponto de vista de sua quebra se for decidido percorrer todo o caminho até ser quebrado.

Mas haverá diferença entre as senhas g0rDAn&fr33mNa e GordanFreemanIsFightingWallaceBreenInCity17! - posso lembrar essa senha facilmente e, ao mesmo tempo, será muito mais segura do que a primeira senha. Existem até letras maiúsculas, números e símbolos nesta senha - para satisfazer completamente a política de senha de domínio, se houver alguma.

Além disso, aqui está outro conselho - da universidade de Stanford. Eles emitiram nova política de força de senha:

Password rules

Stanford's password rules, based on password length, are:

8-11: mixed case letters, numbers, & symbols
12-15: mixed case letters & numbers
16-19: mixed case letters
20+: no restrictions

It must not be equal to your current password, previous passwords, SUNet ID, or password reset answer.

It must not be a single word that appears in the dictionary (English or non-English)

It must be composed only of characters in the Roman alphabet, numbers, or symbols on the US keyboard. Examples include characters such as # $ % ! @.

Escolha uma opção que você goste e você deve estar seguro.

Para uma senha de domínio segura, o tamanho da senha é o fator principal na quebra da senha.

Steve Gibson fala sobre palheiros de senhas como forma de criar senhas longas. Você pode ler a página dele no link para obter detalhes. A idéia básica é escolher uma senha que você possa lembrar e, em seguida, adicionar muitos caracteres fáceis de lembrar. Por exemplo, escolha seu cão favorito, Snoopy e, em seguida, escolha os dois últimos dígitos (14) do início da Primeira Guerra Mundial (Snoopy lutou contra o Barão Vermelho na Primeira Guerra Mundial). Então você pode ter a seguinte senha (mude os o's para zeros para obter números):

Sn00py>>>>>>>>>>>>>>

O que, de acordo com a calculadora Brute force no site de Steve, levará 11,52 mil trilhões de anos para quebrar, presumindo um enorme conjunto de Cracking que pode fazer 100 trilhões de palpites por segundo (Isso exigiria milhares de crackers de senha habilitados para GPU). Então você pode uma senha simples e fácil de lembrar que também é difícil de decifrar.

Nota histórica, senhas de domínio do Windows com mais de 14 caracteres armazenadas de maneira mais segura que não permitem que a senha seja decodificada em partes, portanto, toda a senha deve ser decodificada em um fragmento.

ATUALIZAÇÃO: O usuário queria uma senha "segura" que não fosse complexa. Se você quer uma senha strong, uma que resista aos crackers de senha hardcore, então você tem que ter uma senha longa e complexa. Dada a restrição de não ser complexa, o comprimento da senha será a única coisa que fornece qualquer segurança (mas ainda precisa ser mais complexa do que apenas um caractere repetido). O uso do > > é estender a senha até o ponto em que uma força bruta não seja efetiva. É isso que os números da página de Steve indicam. O problema é que, se você escolher um esquema que também seja usado por um cracker de senha, a força será muito menor. É por isso que, quando você faz isso de verdade, você precisa escolher uma base e extensores que possam ser lembrados, mas provavelmente não estarão em um banco de dados de um cracker. Se o usuário quiser uma senha com "força real", a restrição "não complexa" terá que ser eliminada.

Seu direito, Steve diz que não é um medidor de força de senha. O que ele diz é que adicionar comprimento a uma senha torna muito mais difícil a força bruta (padrões de execução não são força bruta). A senha dada acima era um exemplo, o usuário final deve alterá-la para o nível de complexidade que é necessário, mantendo uma senha longa (com mais de 15 caracteres).