Práticas recomendadas de senha

30

Dados os eventos recentes com um 'hacker' aprendendo e tentando novamente senhas de administradores de sites , o que podemos sugerir a todos sobre as práticas recomendadas quando se trata de senhas?

  • use senhas exclusivas entre sites (ou seja, nunca reutilize uma senha)
  • as palavras encontradas no dicionário devem ser evitadas
  • considere usar palavras ou frases de um idioma que não seja o inglês
  • use frases secretas e use a primeira letra de cada palavra
  • l33tifying não ajuda muito

Por favor, sugira mais!

p.campbell
fonte
4
A dica três contradiz a dica dois.
Oddmund
@ Oddmund: Não se você usa inglês e não inglês. Ou seja, um em espanhol é uno, então use o OneUno. Ou divisão de palavras: metade da palavra vem do inglês e a outra metade de outro idioma. O futebol em espanhol é fútbol, ​​então use o futball. E depois recuar a partir daí.
Kevin M
@Oddmund: Não. O uso de palavras de um idioma (não inglês) não implica que elas possam ser encontradas em um dicionário (não inglês)
user1092608

Respostas:

25
  • Use senhas que não sejam compostas por palavras ou nomes comuns. Os ataques de dicionário usam dicionários com milhões de palavras e são muito rápidos.

  • Use senhas longas. Eu costumo usar frases secretas . Eu escolho uma frase, frase ou rima e encontro uma maneira de usar um número razoável de caracteres não alfanuméricos para que minhas palavras não sejam do dicionário.

  • Não use a mesma senha para vários serviços de login. Reserve um tempo para criar uma fórmula para escolher frases secretas. Isso permite que você use muitas senhas diferentes que, se esquecidas, poderão recriar com algumas tentativas e erros.

  • Se necessário, escreva uma senha boa, longa e segura e oculte-a em algum lugar. Pelo menos isso é melhor do que usar uma senha fraca e mais fácil de lembrar.

  • Se as sugestões acima forem incontroláveis, use um gerenciador de senhas com uma senha longa e segura e, em seguida, use senhas de caracteres aleatórios para todo o resto. Leve o gerenciador de senhas com você em uma unidade flash USB criptografada (com backup, é claro).

Arnold Spence
fonte
Alguém sabe por que meu uso de negrito em 'senhas' parece não funcionar? Parece bom na visualização quando estou no modo de edição ... estranho.
7609 Arnold Spence
você está usando duas estrelas ou uma? Tente apenas um ...
Mikeage
11
@ Mikeage: um asterisco = itálico; dois = negrito. Eu sugiro tentar <b> ou <strong>; Eu suspeito que incorporá-lo em uma palavra está confundindo o analisador de SO.
Derobert
11
Eu tentaria colocar um espaço logo após "passar" para que você passasse as frases [um espaço] [asterisco] [asterisco]. Se isso não funcionar, tente colocar um espaço entre o segundo lote de asteriscos e o período.
Pbz
3
+1 para "anote uma senha boa, longa e segura e oculte-a". Na década de 1980, alguém começou a avisar os usuários para não escreverem suas senhas, esse comportamento ficou emperrado e todos nós estamos em pior situação por causa disso.
811 Portman
7

Eu encontrei vários problemas com frases secretas:

  • Muitos sites têm limite superior ao tamanho da senha - como 20 caracteres - é bobagem, mas o que você pode fazer.
  • Outros sites não permitem espaços em senhas.
  • Digitar textos longos às cegas é propenso a erros - especialmente quando você não é um bom digitador.
  • Digitar a senha de 50 caracteres leva um pouco mais do que a boa senha de 15 caracteres.

Minha solução para esse problema foi usar senhas como um mnemônico para a senha real. Por exemplo, eu poderia escolher algumas linhas do grande poema de William Henry Davies (76 caracteres):

Não há tempo para ver, quando passamos bosques,
Onde esquilos escondem suas nozes na grama.

E eu escolhia as primeiras letras de cada palavra, criando a seguinte boa senha de 16 caracteres:

Nttswwwp,Wshtnig

O uso de poesia é especialmente bom, porque é mais fácil lembrar e quando você é solicitado a alterar a senha, basta escolher as próximas linhas de um poema.

Rene Saarsoo
fonte
3
Além disso, você aprende um novo poema cada vez que sua senha é alterada e, assim, ganha alguns pontos de cultura. :) #
314 Jonathan
4
Eu me dei um tiro no pé com este usando letras de músicas. Primeiro, minha tendência a cantarolar a música. Em segundo lugar, ficando a música ficou na minha cabeça por um mês seguido ...
Kara Marfia
4

Ao ditar um regime de senha a terceiros, não exija apenas que eles usem caracteres únicos, maiores que um limite, contenham maiúsculas e minúsculas, caracteres especiais etc. caso contrário, os usuários anotarão as senhas ou encontrarão outras maneiras inseguras de "lembrá-las".

lexu
fonte
Ensinar gerenciadores de senhas é um mau exemplo para o usuário não técnico médio. Você está trocando uma prática ruim (anotando senhas) por uma prática um pouco melhor, mas ainda ruim (armazenando-as eletronicamente). Uma vulnerabilidade em um gerenciador de senhas (como senha mestra fraca, exploração remota etc.) pode levar ao desastre.
Spoulson
Em outras palavras, eu não armazenar senhas de alto valor em um gerenciador de senhas, como logins bancários, etc.
spoulson
Eu discordo de você no sentido de que mesmo Bruce Schneier recomenda o uso de um gerenciador de senhas com uma senha forte sobre o uso de senhas fracas que são reutilizadas e / ou embaralhadas entre sites.
Martin C.
@ spoulson: a confiança cega na tecnologia é sempre perigosa. Pessoalmente, acredito que um cofre de senhas altamente criptografado (com um bom código de acesso, lembre-se) é tão seguro quanto um prompt de login. Se você confia no fornecedor do sistema operacional para proteger o logon, também pode confiar no autor do gerenciador de senhas. Regras paranóia .. Não confie em ninguém .. etc ... mas no final ele sempre equivale a um salto de fé ...
lexu
2
Schneier chega ao ponto de recomendar anotá-las: schneier.com/blog/archives/2005/06/write_down_your.html
Will M
4

Se você tiver problemas para lembrar as senhas, use algum texto bem conhecido. Escolha uma frase, use a n- ésima letra de cada palavra como senha, mantenha a pontuação. (por exemplo, senha gerada a partir de 1 st cartas de primeira frase desta resposta poderia ser "Iyhtrp, uswkt."). Você pode torná-lo mais forte alterando algumas para maiúsculas e adicionando alguns caracteres especiais.

vartec
fonte
Esse é realmente um bom método!
21320 Techboy
3

Não use uma senha, é aí que você está errado em primeiro lugar. Use uma coleção aleatória de caracteres (no mínimo 8) ou uma senha. Você pode criar uma fórmula para gerar uma frase secreta diferente para cada site, por exemplo, ILikeStackOverflowOnions ou ILikeServerFaultOnions; isso mantém você protegido contra pessoas de fora, mas ainda pode causar problemas se o site real for invadido e as senhas não forem salgadas ou se o administrador estiver corrompido em primeiro lugar.

Adam Gibbins
fonte
1+ Mas por que não há espaços ou pontuação na senha? Isso está adicionando força a eles, como "Eu gosto de azeitonas e serverfault.com!" que deve ser uma senha muito forte, mas extremamente rápido e fácil de digitar e lembrar ^^ (alguns sistemas realmente velhos ou obscuros desaprovam espaços em senhas - dizer-lhes para ir para o inferno;)
Oskar Duveborn
Bem, é claro que os espaços são um plus, assim como a pontuação. Mas eu descobri há alguns sites inseguros muito chato que não vai tomar senhas com pontuação em, uma vez que eu tinha um banco que não :-(
Adam Gibbins
11
@Oskar Duveborn: Observe que, em vez de usar pontuação na senha, você pode apenas aumentá-la; matematicamente, o resultado (número de senhas possíveis) é o mesmo. Você pode usar PWs apenas com caracteres minúsculos, se os tornar um pouco mais longos.
Sleske
Sim, estou pontuando para facilitar a lembrança de uma frase para as pessoas. Os benefícios de uma senha mais longa são apenas um bônus;) Eu também tinha um banco que não ocupava espaço, três anos atrás. Hoje em dia está tudo bem. E sistemas UNIX mais velhos têm 8 caracteres no máximo, mas, como você não pode ver o que você digita você sempre pode fingir que você está digitando toda a senha de 30 caracteres lá também;)
Oskar Duveborn
3

Mude sua senha regularmente. Onde trabalho, é um ciclo de 30 dias. É uma PITA, mas reduz o valor das senhas hackeadas para uma janela de tempo limitada. Além disso, uma política de senha do AD complexa exige que ele tenha pelo menos 8 caracteres, contenha letras maiúsculas, minúsculas, numéricas e símbolos.

Para complementar, usamos um serviço de gerenciador de senhas de autoatendimento. Ele fornece um Windows GINA personalizado que fornece funcionalidade para permitir que o usuário redefina sua senha, caso a esqueça, ou desbloqueie-a se for enganada muitas vezes. O aplicativo gerenciador de senhas exige que o usuário se inscreva no serviço, forneça um monte de informações pessoais que somente eles saberiam que serão usadas mais tarde como perguntas quando o usuário precisar redefinir a senha / desbloquear sua conta.

Spoulson
fonte
3
A imposição de alterações de senha com base no tempo geralmente é vista como uma prática muito ruim. Quase posso garantir que os últimos dígitos das senhas da maioria das pessoas conterão o mês ou o ano em que foi definido pela última vez.
Andrew
3

Acredito que as senhas devem ser geradas, e não pensadas pelo usuário. Isso evita todos esses problemas tolos com senhas fáceis de adivinhar.

Eu gosto de usar o pwgen , que gera listas de senhas como

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

mas realmente qualquer programa de geração pw serve. Uma vantagem do pwgen é que ele tenta criar as senhas (um pouco) memoráveis, incluindo algumas vogais.

sleske
fonte
É assim que eu faço. Gerar um monte de senhas e escolher um que não tem personagens ambíguas, como a 1, l I, etc.
John Gardeniers
3

Qualquer coisa diferente de (fonte dailywtf.com):

texto alternativo

sucuri
fonte
2
  1. Use senhas fortes.
  2. Não reutilize senhas.
  3. Em consideração ao item 2, use uma ferramenta como o PwdHash em face de contas díspares esmagadoras.
jldugger
fonte
2

Fique longe dessas 500 piores senhas .

Senhas longas e complexas oferecem boa segurança, senhas basicamente fortes , mas definitivamente usam senhas diferentes para todas as contas de usuário.

TStamper
fonte
Ligação interessante ...
David Z
2

Use uma ferramenta como SuperGenPass para gerar senhas exclusivas para qualquer site em que você tenha um login.

Alex Angas
fonte
+1 por gerar senhas, em vez de ter um milhão de regras tolas para criá-las.
Sleske
2

O Hak5 acabou de fazer um episódio demonstrando uma ferramenta do Remote Exploit que pega várias seqüências de caracteres e gera um dicionário de todas as combinações, superior, inferior, ortografia dos leet, etc. outras informações que você conhece sobre o alvo. O dicionário que ele gera pode ser usado como entrada para forçar uma senha fraca.

Moral: Evite usar informações pessoais em sua senha

Spoulson
fonte
11
Por outro lado, um tempo atrás, trabalhei em um site onde um dos requisitos de senha do cliente era "não pode ser qualquer forma de uma palavra do dicionário" (leet, etc.), então tive que criar um gerador semelhante que identificasse todas as várias variações que foram proibidas e rápidas o suficiente para serem executadas em um ciclo de postagem quando elas mudaram sua senha.
GalacticCowboy
Bom ponto, quanto mais opções você limitar, mais claras serão as opções possíveis.
Spoulson
11
Não tenho certeza se @spoulson implica o mesmo, mas: se você proíbe ativamente qualquer palavra de um dicionário, não está basicamente limitando o número de senhas possíveis? E, portanto, em teoria, facilitar a localização da senha?
23909 Arjan
A idéia é remover padrões reconhecíveis em uma senha que possa ser atacada por um dicionário ou facilmente lembrada por terceiros. A remoção da capacidade de criar senhas fracas não torna o esquema de senhas mais fraco.
Spoulson 14/07/2009
@Ajran: Sim, é claro que você está certo, não permitir senhas "fracas" reduz efetivamente o comprimento de bit das senhas (de um determinado tamanho máximo). No entanto, isso só importa se você realmente não permitir uma parte não negligenciável do espaço da senha, o que espero não seja o caso.
Sleske
2

Se você souber palavras ou frases em um idioma que não seja o inglês , poderá usá-las como parte da sua senha. Por exemplo, costumo usar palavras em japonês como parte de minhas senhas, o que evita ataques de dicionário e ainda me permite lembrá-las (em oposição a senhas geradas aleatoriamente).

Chris Gillum
fonte
2
Não presuma que as pessoas que atacam suas senhas só falam inglês. Não assuma que um invasor que fala apenas inglês não adicionará dicionários de outros idiomas ao seu cracker de senhas.
Pg
2

Comecei a usar o Password Safe , projetado originalmente por Bruce Schneier, para armazenar as senhas da web. Eu tenho uma senha muito forte no cofre de senhas e todas as outras senhas são geradas automaticamente e nunca reutilizadas nos sites.

O software também possui recursos como senhas expirando e similares.

Considero que essa senha (dada a senha segura forte ) é a melhor abordagem para troca e segurança das senhas dos sites.

Martin C.
fonte
1

Para familiares e amigos, costumo dizer que é legal usar coisas como nomes de animais de estimação e nome de solteira das mães, desde que as duas coisas a seguir ocorram:

  • concatenar pelo menos dois nomes (ex: nome de solteira das mães + nome dos animais de estimação)
  • incorporar caracteres maiúsculos e especiais.
Christian Hagelid
fonte
OK para aplicativos de baixa segurança, eu acho. Mas você não gostaria de fazer isso, por exemplo, em um site bancário on-line.
7119 David Z
má ideia ponto final. É muito previsível e incentiva senhas fracas em todos os lugares. O mesmo conselho deve ser dado à família e aos amigos que o dado aos funcionários.
Judioo
@ Eu-lamento, tendo a concordar, mas estou usando isso como um passo na direção certa. Se eu conseguir que eles usem essa abordagem, em vez de APENAS usar o nome do animal de estimação ou algo do
gênero
Bons comentários. Coisas que são fáceis de lembrar, mas misturados um pouco tão impossível para os outros adivinharem
Techboy
1

Ao instituir o período de validade obrigatório da senha, escolha um fator 7, em vez de um bloco de dias (por exemplo, 30 ou 60 dias).

O resultado do prazo de 30 dias pode ser que o usuário seja obrigado a alterar sua senha em um feriado ou fim de semana e pode ter uma surpresa quando entrar em trabalho no dia seguinte.

Se você definir a escala de expiração como um fator 7, isso garantiria que a data de alteração da senha caísse no mesmo dia da semana da alteração anterior.

p.campbell
fonte
Na verdade, a maioria dos sistemas com vencimento tem duas datas de vencimento: após o primeiro, você precisa alterar seu senha no próximo login. Somente após o segundo ter passado apenas uma alteração de senha, a expiração realmente ocorre. Portanto, isso normalmente não deve ser um problema.
Sleske 21/05
1

Se você possui vários sites para a mesma base de usuários, devo sugerir alguma forma de logon único (como Shibboleth). Quando os usuários têm senhas diferentes para vários sites, eles tendem a ter problemas para se lembrar de todos. Uma ou duas senhas são facilmente lembradas pela maioria das pessoas; três podem ser anotadas pelo usuário em um local secreto. Se mais de quatro, o usuário pode muito bem escrever todos eles em uma nota de postagem e aplicá-la na mesa ou no monitor.

As senhas não precisam ser excessivamente complexas, embora precisem ser suficientemente complexas para impedir a primeira ou a segunda tentativa. Desde que o seu sistema / sites possua algum tipo de medida de segurança que limite o número de tentativas de logon, as senhas não precisam ser muito complexas.

Por exemplo, se seus sistemas tiverem um limite de 3 tentativas de logon por hora, uma senha básica como "Cindy65" será mais complexa do que suficiente. Embora o hacker saiba que o nome real do usuário é Cindy, ele nunca saberia que ela nasceu em 1965. Suas tentativas seriam naturalmente "cindy", " l astname", "Cindy", L astname ", embora por isso vez que ele é bloqueado.

Embora possa ser um caso simplista e uma senha simples, é tudo o que é realmente necessário se o administrador configurou tudo do lado correto do servidor. Também podemos solicitar senhas um pouco mais complexas e fáceis de lembrar, como uma combinação aleatória de chaves. Símbolos e letras maiúsculas também ajudam bastante.

Só precisamos lembrar que, quanto mais difícil for para o usuário, maior a probabilidade de que eles o escrevam em público.

Uma coisa que eu sempre gosto de pedir aos meus usuários é escrever o nome concatenado com o nome de um medicamento em que eles estão tomando, comida favorita, nome dos melhores amigos etc. Essa combinação de palavras do dicionário, embora simplista, é quase impossível de decifrar.

Exemplos: CindyProzac, WilliamCodene, JoePetertherabbit

Boa sorte.

Recursão
fonte
0

Não escreva. E se o fizer, coloque-o em um cofre. E não escreva essa combinação também.

Sophie Alpert
fonte
2
Quando foi a última vez que alguém invadiu uma casa e roubou uma senha? Para usuários domésticos, escrever uma senha normalmente é a MAIS segura, porque incentiva senhas fortes, únicas e difíceis de lembrar.
Portman
Concordo com Ben - especialmente para um ambiente de trabalho
Techboy
0

Se os requisitos de segurança forem realmente rigorosos, tentarei evitar o uso de senhas sempre que possível. Pense em usar autenticação baseada em chave ssh, certificados de cliente em cartões inteligentes, etc. É necessário muita habilidade e orçamento para que isso funcione corretamente, portanto, uma avaliação de risco adequada deve ser feita.

Se você decidir ficar com as senhas, eu seguiria o conselho de capar e lexu.

Vincent De Baere
fonte
0

Restrições no tamanho da senha são tolas. (Restringir senhas entre 6 e 8 caracteres é comum, mas não faz sentido nos sistemas modernos).

A exigência de alterações freqüentes de senha incentiva os usuários a anotarem suas senhas e escolherem as mais simples. Essa é uma troca de ameaças, e você deve considerar qual ameaça é mais relevante.

Exigir que um usuário contenha "caracteres especiais" em uma senha de exatamente 8 caracteres, em vez de permitir uma senha de 30 caracteres composta apenas por letras, não faz sentido.

Não dê aos usuários uma senha óbvia e peça que eles a alterem. Eles não vão. Exija que eles a alterem no primeiro login, selecione uma senha forte para eles, sabendo que a escreverão ou faça com que eles selecionem uma senha forte na sua frente.

Carlito
fonte
0

Treinamos nossos usuários para escolher senhas e usar a primeira letra de cada palavra.
WTOUTPPAUTFLOEW - adicione zero ou 3 (leetificando), varie o capslock algumas vezes e você terá algo que nenhum dicionário jamais escolherá, mas ainda é fácil de lembrar.

no entanto - apenas certifique-se de não alterar a senha deles para uma senha baseada no slogan da empresa / declaração de visão etc.

hellimat
fonte
-1

Para ajudar a impedir o que aconteceu com o administrador desse site, e supondo que você tenha acesso a um shell Unix ou Cygwin, você pode usar

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

e verifique esse valor em um banco de dados MD5, como http://gdataonline.com/ . Verifique se ele não aparece lá.

Além disso, aqui está um exemplo de um dicionário MD5 mais bruto que obtive pesquisando simplesmente esse valor de hash (aviso: arquivo grande): https://secure.sensepost.com/sp-hash/jebwy

joev
fonte
11
Sim, certo, essa é a maneira perfeita de enviar novos hashes para sua fila de trabalho, para que, em algum momento, uma simples pesquisa no google pelo hash revele a senha. Aconselho vivamente a não enviar hashes para esses sites.
serverhorror
2
O seu hash é "jeffa" btw ...
serverhorror