Práticas recomendadas de senha

• Use senhas não compostas de palavras ou nomes comuns. Ataques de dicionário usam dicionários com milhões de palavras e são muito rápidos.

• Use senhas longas. Eu costumo usar passar frases . Eu escolho uma frase, uma frase ou uma rima e descubro uma maneira de usar um número razoável de caracteres não alfanuméricos para que minhas palavras não sejam palavras do dicionário.

• Não use a mesma senha para vários serviços de login. Reserve algum tempo para criar uma fórmula para escolher senhas. Isso permite usar muitas senhas diferentes que, se forem esquecidas, você poderá recriar com uma tentativa e erro.

• Se você tiver que, por todos os meios, escreva uma senha boa, longa e segura e a esconda em algum lugar. Pelo menos é melhor do que usar uma senha fraca que seja mais fácil de lembrar.

• Se as sugestões acima se mostrarem incontroláveis, use um gerenciador de senhas com uma senha longa e segura e use senhas de caracteres aleatórios para todo o resto. Carregue o gerenciador de senhas com você em uma unidade flash USB criptografada (com backup, é claro).

Encontrei vários problemas com senhas:

• Muitos sites têm limite máximo para duração da senha - como 20 caracteres - é bobagem, mas o que você pode fazer?
• Outros sites não permitem espaços em senhas.
• Escrever textos longos às cegas é passível de erros - especialmente quando você não é um bom datilógrafo.
• Digitar a senha de 50 caracteres demora um pouco mais do que uma boa senha de 15 caracteres.

Minha solução para esse problema foi usar senhas como um mnemônico para a senha real. Por exemplo, eu poderia escolher algumas linhas de grande poema de William Henry Davies (76 caracteres):

No time to see, when woods we pass,
Where squirrels hide their nuts in grass.

E eu escolheria as primeiras letras de cada palavra, criando a seguinte senha de 16 caracteres:

Nttswwwp,Wshtnig

Usar a poesia é especialmente bom, porque é mais fácil de lembrar e quando você é solicitado a alterar a senha, basta escolher as próximas linhas de um poema.

Ao ditar um regime de senha para outras pessoas, não apenas exija que elas usem exclusivo, mais longo que um limite, contenham maiúsculas e minúsculas, caracteres especiais etc. mas também instrua o usuário sobre gerenciadores de senhas ou esquemas para construir / lembrar aqueles senhas ... se você não fizer isso, os usuários escreverão as senhas ou encontrarão outras maneiras inseguras de "lembrá-las".

Não use uma senha, é aí que você está errando em primeiro lugar. Use uma coleção aleatória de caracteres (mínimo 8) ou uma senha. Você pode criar uma fórmula para gerar uma senha diferente para cada site, por exemplo, ILikeStackOverflowOnions ou ILikeServerFaultOnions; isso mantém você seguro contra pessoas de fora, mas ainda pode causar problemas se o site for invadido e as senhas não forem salgadas, ou se o administrador estiver corrompido em primeiro lugar.

Se você tiver problemas para lembrar senhas, use um texto bem conhecido. Escolha uma frase, use n ^th letra de cada palavra como senha, mantenha a pontuação. (por exemplo, a senha gerada a partir de 1 ^st letras da primeira frase desta resposta pode ser "Iyhtrp, uswkt."). Você pode torná-lo mais strong alterando alguns para maiúsculas e adicionando alguns caracteres especiais.

Altere sua senha regularmente. Onde eu trabalho, é um ciclo de 30 dias. É um PITA, mas reduz o valor das senhas hackeadas para uma janela de tempo limitada. Isso, além de uma política complexa de senha do AD, exige que ele tenha pelo menos 8 caracteres, contendo símbolos superior, inferior, numérico e simbólico.

Para complementar, usamos um serviço de gerenciador de senhas de autoatendimento. Ele fornece um Windows GINA personalizado que fornece funcionalidade para permitir que o usuário redefina sua senha, caso a esqueça, ou desbloqueie-a, caso ela tenha sido perdida várias vezes. O aplicativo gerenciador de senhas requer que o usuário se inscreva no serviço, forneça um monte de informações pessoais que só eles saberiam que são usadas posteriormente como perguntas quando o usuário precisar redefinir a senha / desbloquear sua conta.

Qualquer coisa diferente de (fonte dailywtf.com):

texto alternativo http://img.thedailywtf.com/images/200907/s/IMG00004.jpg

Acredito que as senhas devam ser geradas, em vez de serem inventadas pelo usuário. Isso evita todos esses problemas tolos com senhas fáceis de adivinhar.

Eu gosto de usar o pwgen , que gera listas de senhas como

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

mas realmente qualquer programa de geração de pw irá fazer. Uma vantagem do pwgen é que ele tenta tornar as senhas (um pouco) memoráveis, incluindo algumas vogais.

1. Use senhas strongs.
2. Não reutilize senhas.
3. Considerando o nº 2, use uma ferramenta como o PwdHash em face de contas diferentes e opressivas.

Fique longe destas Top 500 piores senhas .

Palavras-passe longas e complexas oferecem uma boa segurança, basicamente palavras-passe seguras , mas definitivamente use senhas diferentes para todas as contas de usuários.

Use uma ferramenta como SuperGenPass para gerar senhas exclusivas para quaisquer sites para os quais você tenha um login.

Hak5 acabou de fazer um episódio demonstrando uma ferramenta de Remote Exploit que usa várias strings e gera um dicionário com todas as combinações, upper, lower, leet spelling, etc. Assim, você fornece informações como o nome do alvo, os nomes dos filhos, datas de nascimento ou outras informações que você conhece sobre o alvo. O dicionário que ele gera pode ser usado como entrada para a força bruta de uma senha fraca.

Moral: evite usar informações pessoais em sua senha

Se você souber palavras ou frases em um idioma não inglês , poderá usá-las como parte de sua senha. Por exemplo, eu costumo usar palavras japonesas como parte de minhas senhas, o que evita ataques de dicionário e ainda me permite lembrar delas (em oposição a senhas geradas aleatoriamente).

Eu comecei a usar o Password Safe , que foi originalmente criado por Bruce Schneier, para armazenar qualquer senha da web. Eu tenho uma senha muito strong na senha, e todas as outras senhas são geradas automaticamente e nunca são reutilizadas em sites.

O software também possui recursos como expirar senhas e afins.

Eu considero isso (dada a strong senha segura) como a melhor abordagem segura e mais segura para senhas de sites.

Para familiares e amigos, costumo dizer que é legal usar coisas como nomes de animais de estimação e nome de solteira das mães, desde que as duas coisas seguintes aconteçam:

• concatena pelo menos dois nomes (ex: nome de solteira das mães + nome dos animais de estimação)
• incorpore caracteres maiúsculos e especiais.

Ao instituir o período de expiração obrigatório da senha, escolha um fator de 7, em vez de um bloco de dias (por exemplo, 30 ou 60 dias).

O resultado da expiração de 30 dias pode ser que o usuário precise alterar sua senha em um feriado ou fim de semana, e pode ter uma surpresa quando chegar ao trabalho no dia seguinte.

Se você tivesse que definir a escala de expiração para um fator de 7, isso garantiria que a data de alteração da senha caísse no mesmo dia da semana da alteração anterior.

Se você tiver vários sites para a mesma base de usuários, devo sugerir uma forma de logon único (como o Shibboleth). Quando os usuários têm senhas diferentes para sites múltiplos, eles tendem a ter problemas para lembrar de todos eles. Uma ou duas senhas são facilmente lembradas pela maioria das pessoas, três as quais o usuário pode anotá-las em um local secreto. Se mais de quatro pessoas, o usuário pode muito bem, apenas anotá-las em um post e anotá-las na mesa ou no monitor.

As senhas não precisam ser excessivamente complexas, embora precisem ser complexas o suficiente para evitar tentativas de primeira ou segunda tentativa. Desde que o seu sistema / sites tenha algum tipo de medida de segurança que limite o número de tentativas de login, as senhas não precisam ser complexas demais.

Por exemplo, se seus sistemas tiverem um limite de três tentativas de logon por hora, uma senha básica, como "Cindy65", será mais complexa do que isso. Enquanto o hacker pode saber que o nome real dos usuários é Cindy, ele realmente nunca saberia que ela nasceu em 1965. Suas tentativas seriam naturalmente "cindy", " l astname", "Cindy", L astname ", embora a essa altura ele esteja bloqueado.

Embora isso possa ser um caso simplista e uma senha simples, é tudo o que é realmente necessário se o administrador configurou tudo do lado do servidor correto. Também podemos pedir senhas um pouco mais complexas, fáceis de lembrar, como uma combinação aleatória de chaves. Símbolos e letras maiúsculas também ajudam muito.

Precisamos apenas lembrar, quanto mais difícil o usuário, mais provável é que ele seja escrito em público.

Uma coisa que eu sempre gosto de pedir aos meus usuários que façam é escrever seu nome concatenado com o nome de um remédio, comida favorita, nome de melhor amigo, etc. Essa combinação de palavras de dicionário, embora simplista, é quase impossível .

Exemplos: CindyProzac, WilliamCodene, JoePetertherabbit

Boa sorte.

Não escreva isso. E se você fizer isso, coloque-o em um cofre. E não escreva esse combo abaixo.

Se os requisitos de segurança forem realmente restritos, tentarei evitar o uso de senhas sempre que possível. Pense em usar a autenticação baseada em chave ssh, certificados de cliente em cartões inteligentes, etc. É preciso muita habilidade e orçamento para que o trabalho funcione corretamente, portanto, uma avaliação de risco adequada deve ser feita.

Se você decidir ficar com senhas, eu seguiria o conselho de capar e lexu.

Restrições no tamanho da senha são bobas. (Restringir senhas entre 6-8 caracteres é comum, mas não faz sentido em sistemas modernos).

A exigência de alterações frequentes de senha incentiva os usuários a anotar suas senhas e escolher as mais simples. Essa é uma troca de ameaças e você deve considerar qual ameaça é mais relevante.

Exigir que um usuário contenha "caracteres especiais" em uma senha de exatamente 8 caracteres, em vez de permitir uma senha de 30 caracteres composta apenas de letras, não faz sentido.

Não forneça aos usuários uma senha óbvia e peça que eles a alterem. Eles não vão. Exija que eles o modifiquem no primeiro login, escolha uma senha strong para eles, sabendo que eles serão anotados, ou faça com que escolham um strong à sua frente.

Nós treinamos nossos usuários para escolher senhas e usar a primeira letra de cada palavra.
WTOUTPPAUTFLOEW - adicione um zero ou 3 (leetifying), varie o capslock algumas vezes e você terá algo que nenhum dicionário escolherá, mas ainda é fácil de lembrar.

no entanto - apenas certifique-se de não alterar sua senha para uma senha com base no slogan da empresa / declaração de visão, etc.

Para ajudar a evitar o que aconteceu com o administrador desse site, e supondo que você tenha acesso a um shell Unix ou ao Cygwin, é possível usar

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

e verifique esse valor em relação a um banco de dados MD5, como o link . Certifique-se de que não apareça lá.

Além disso, aqui está um exemplo de um dicionário MD5 mais cru que eu consegui pesquisando o valor de hash (aviso: arquivo grande): link