Каковы рекомендации по созданию безопасных паролей?

У Брюса Шнайера есть хорошая статья об этом, основанная на том, что компания должна быть обычной практикой в ​​выборе паролей людьми.

РЕДАКТИРОВАТЬ: О, чтобы сгенерировать пароль. Вы можете использовать такие инструменты, как KeePass или Password Safe, чтобы автоматически генерировать и хранить разные надежные пароли для ваших логинов. Смотрите этот вопрос для получения дополнительной информации.

Лично я пытаюсь сделать для паролей относительно длинную запоминающуюся фразу и выполнить следующую трансформацию:

• Включите все однозначные знаки препинания и первую букву каждого слова
• Выполните заглавную букву в немецком стиле (первое слово и все существительные / имена в заглавных буквах) или обратное...
• Заменить некоторые слова или буквы цифрами, O -> 0, for / fore / four -> 4, one, an -> 1, так далее.

В большинстве случаев это приводит к получению довольно безопасного и не угадываемого пароля, который я могу легко восстановить самостоятельно, основываясь на этих правилах и запомнив фразу.

Например:

What are the guidelines for creation of a secure passwords?

становится:

WatG4co1sP?

Обратите внимание, что эта схема может использоваться для создания паролей, которые в значительной степени соответствуют любым правилам, которые может иметь компания в отношении минимальной длины, требуемых включенных символов и т. Д. Она также имеет дополнительное преимущество, если вы выбираете схему кодирования, которую вы можете применять последовательно поскольку это имеет смысл для вас (для заглавных букв, специальных символов и цифр), вам не нужно записывать что-либо на бумаге, чтобы избежать проблемы, когда хакер может найти ваши пароли, просто осмотрев ваше рабочее пространство.

На grc.com есть хорошая страница, где вы можете получить надежные пароли.

Когда безопасность является основным фактором, я всегда включаю некоторые символы высокого ASCII.

Например, 154 - это Ü. Эти персонажи не только значительно увеличивают количество времени, необходимое для атаки грубой силой, но большинство атак даже не сканируют этот диапазон символов и иногда даже не способны на это.

Также очевидно:

• Чем дольше, тем безопаснее.
• Смешайте строчные и прописные буквы, цифры, символы.
• Не основывайте его на каких-либо словарных словах, собственных именах или общеизвестных значениях (например, аббревиатурах).

Обсуждение в Diceware - интересное чтение.

Для создания дорогостоящих паролей и парольных фраз метод словаря, подобного diceware, и хорошего рандомизатора, такого как кучка игральных костей, является довольно хорошим выбором.

Лично я использую PasswordSafe, заблокированный сильной парольной фразой, сгенерированной техникой diceware. Я позволяю PasswordSafe генерировать любой другой пароль, который мне нужен, и, как правило, не знаю, какими они могут быть через несколько минут. У меня есть копии безопасного файла в нескольких системах, поэтому я не слишком беспокоюсь о том, что все яйца находятся в одной корзине. Большим преимуществом является то, что я никогда не использую один и тот же пароль для двух целей.

Для личного пользования я рекомендую хранить разборчивую копию парольной фразы сейфа в безопасном месте, где его могут найти ваши наследники...

На сайте SecurityStats есть страница, где вы можете попробовать свой пароль
Это дает вам рекомендации по улучшению паролей тоже.

• Microsoft также имеет аналогичную страницу проверки пароля
• Еще один похожий измеритель паролей
• Предложения поддержкиGoogle - выбор пароля и секретного вопроса
  • Однако мне никогда не нравился угол вопроса безопасности

Внимательно прочитайте в блоге Google Enterprise по отслеживанию безопасности паролей,
Вы можете сохранить учетную запись для себя, где вы проверяете надежность своих паролей.

Поскольку система аутентификации аккаунта Google постоянно видит новые варианты парольных атак со всего мира, мы можем оценить надежность пароля в режиме реального времени и помочь администраторам определить пароли, которые в прошлом были относительно безопасными и более уязвимыми к последним моделям атак.

Что касается прочности против грубого взлома, лучше всего увеличить длину, а количество возможных комбинаций увеличится в геометрической прогрессии (буквально). Конечно, все еще хорошая идея ввести некоторые случайные символы и символы, чтобы сделать атаки по словарю более сложными. Или, может быть, использовать пару слов из разных языков - бонусные баллы для не-ASCII символов!

Более подробный анализ доступен здесь.

И хотя мы рассматриваем рекомендации по паролям xkcd, никогда не используйте пароли повторно.

На этом сайте хорошо изложены рекомендации, и вы сможете проверить его безопасность. Я думаю, что придумать свой собственный будет более запоминающимся, чем сгенерированный.

Смотрите также Password Maker. При этом используется информация, которую вы предоставляете, включая начальное число, чтобы вы могли создать уникальный пароль. Затем все, что вам нужно сделать, это запомнить начальное число и определить те же значения данных, и Password Maker сгенерирует тот же пароль для вас позже.

Мои проблемы с такими паролями заключаются в том, что их трудно набирать и труднее запомнить. Лично у меня есть программа gpw, которая генерирует пароли из слогов, в результате чего пароль обычно "почти" произносимый. Если вы его добавите, а затем добавите немного заглавных букв и знаков пунктуации, вы получите нечто, что немного легче запомнить, чем шум линии, но достаточно надежно защищено от грубой силы.

Так, например, я бы сделал это:

$ gpw
ompartiz
tocycedt
psyllicu
doggiedu

Я бы выбрал тот, который мне нравится, а затем превратил бы его в что-то вроде?D0ggid00