跳转ESP,跳转!:定期更换密码——误区与谎言,别被骗了,第二部分
在之前的博客文章中,我已经涵盖了您需要保护的不同密码、攻击者以及攻击方法。现在让我们看看如何解决这个问题。
密码要求
到目前为止,我们已经了解到必须使用长、复杂、真随机的密码。理论上,这很容易。
以下是我对2014年的密码建议:
密码字符类
在一般情况下,使用大写-小写-数字-特殊字符。
如果您不明白我刚刚写的内容,请从以下选择:
qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM0123456789-=[];’,./<>?:"|{}_+!@#$%^&* ()`~
如果您是CISO,并且说:使用4个字符类中的3个,每个人都会使用Password12或Welcome12作为他们的密码(在第12次强制密码更改之后)。
密码长度
这基本上是唯一改变密码是否处于非常高/高/中/低级别的东西。有关非常高/高/中/低级别的详细信息,请查看之前的博客文章。
密码长度:非常高级别(包括工作相关/企业密码)
15个字符(或者如果您真的偏执,20个字符)。即使在高安全场景(例如军事、间谍机构等)中,使真随机密码超过20个字符通常也没有任何意义。在Windows环境中,15个字符是一个正确的选择,因为LM哈希与15个字符密码不兼容,因此一种(有效的)攻击将不起作用。注意,使用15个字符密码可能存在错误,但概率很低。
密码长度:高级别
12个字符,大写-小写-特殊字符
密码长度:中级别
10个字符,大写-小写-特殊字符,仍然是真随机
密码长度:低级别
9个字符。为什么更少?
PIN码
始终选择提供的最长长度,但最多8个。通常,更多是非常不切实际的。
密码随机性
真随机,由(本地)计算机生成。避免Debian。避免由您的大脑生成的随机。不要使用l33tsp33k。不要在当前月份、季节或年份前后附加单词。不要使用《星球大战》《星际迷航》(您最喜欢的电影/系列)中的角色或术语。一般来说,避免任何类似上述的模式。真随机密码生成器生成SkyWalker12的可能性非常非常低。相信我,破解这些并不难。您能想到的每一种算法;坏家伙已经想到了。使用真随机。让计算机为您做。稍后在此帖子中查看详细信息。
密码历史
永远不要重复使用密码。永远!
密码更改周期
如果没有其他强制要求,不要一年更改两次。但是!检查密码破解速度是否使您当前的密码过时。如果是,更改过时的密码。如果您被告知您使用的服务已受损,请立即更改密码。如果您怀疑计算机上运行了恶意软件,请立即更改所有最近使用的密码(在已知干净的计算机上执行此操作)。如果您在不拥有的计算机上使用了密码,或者存在恶意软件运行的小概率,请立即更改密码。如果您真的必须将密码提供给某人,请更改它。否则,告别定期密码更改。我们会想念你的…
如果您是CISO,并且正在编写安全策略,您应该根据以下内容强制执行密码更改周期:您是否允许LM哈希?用户和管理员的密码长度要求是什么?当前的哈希破解速度是多少,以及未来2年的预测?我认为,如果人们不被强制频繁更改密码(例如每月),他们会乐意将密码增加1-2个字符。
现在,在我如此聪明地给出人们仍然讨厌实施的建议之后,让我们看看实际实施。至少有些人可能会喜欢我,因为我告诉他们不要定期更改密码。下次有人告诉您定期更改所有重要密码时,给他戴上测谎仪,检查他是否定期更改所有密码。如果他说谎,请随意使用扳手算法破解他的密码。如果他没有说谎,拨打911,给他穿上约束衣。只有疯狂的偏执狂在现实中这样做。其他人只是太害怕说“到目前为止每个人推荐的都是废话”。欢迎评论;)其他人可能会讨厌我告诉他们使用真随机密码。不要惊慌,继续阅读。
不要忘记使用双因素认证。一开始可能有点过分,但几个月后,您就不会注意到在使用它。
(坏和好)解决方案
我将在各处使用相同的密码
这是一个相当糟糕的主意。如果其中一个密码受损,攻击者可以访问您的其他网站,或者您必须更改所有密码。有更好的方式在地球上度过生命,而不是更改所有密码。
我会记住它
祝您好运记住250个不同的复杂密码。不要忘记定期更改它们!;)
我将一直使用密码恢复
不是一个非常用户友好的解决方案。而且因为安全答案必须与密码本身一样复杂,问题尚未解决。
我将把它写进我的超级秘密笔记本并放在抽屉里
尽管在某些情况下可能有效,但在其他情况下无效。我不推荐它。
我将使用一种算法,比如基础密码,并将网站的首字母添加到密码末尾
仍然比在各处使用相同的密码好,但相信我,如果这是有针对性的攻击,猜测您的密码生成算法并不难。
我将使用XKCD的建议,并使用密码correcthorsebatterystaple
仍然比简单密码好很多,但不幸的是,人们仍然不擅长选择随机顺序的随机单词,所以这不是最好的解决方案。再次,您无法记住250个不同的密码…甚至10个也不可能。仅在特殊角落情况下使用此方法(稍后查看详细信息),并使用密码短语生成器!
我将使用密码管理器
这是第一个好主意。它解决了记住250个不同复杂和随机密码的问题。有些人可能会抱怨使用密码管理器,以下是那些抱怨。以及我的回答:
如果有人访问了这个密码存储,一切都完了。
回答:如果有人访问了您的密码存储和主密码,您可以非常确定您的大部分密码已经被盗。对于额外的偏执狂,您可以使用多个密码存储,一个用于日常使用,一个用于罕见情况。注意不要忘记第二个的密码;)
如果我在需要时无法访问密码存储怎么办?
回答:在廉价笔记本、平板电脑和智能手机的时代,在99%的情况下,您不应该在您自己的设备以外的任何设备上使用那个重要密码。在罕见情况下,您必须使用时,可以使用智能手机获取密码,或使用像Password hasher这样的浏览器扩展,用一个密码为不同网站生成不同密码。对于额外的偏执狂,您可以为不同安全级别使用不同的主密码。并且不要忘记在回到自己的计算机后更改密码。
如果我忘记了密码存储的一个密码怎么办?
回答:如果您每天使用密码管理器,忘记那个一个密码的几率与忘记每一个密码的几率相同。
密码管理器使网络钓鱼攻击更容易。
回答:谁开始这种胡说?好的密码管理器降低网络钓鱼风险。
密码管理器具有与其他网站或软件相同的漏洞。
回答:嗯,这部分是正确的。至少有3种类型的密码管理器,从最安全到最不安全:离线、浏览器内置、在线。在线密码管理器提供更好的用户体验,但牺牲安全性。但如果您选择领先的密码管理器之一,并且您是简单的家庭用户,风险可以忽略不计。如果您尝试将工作密码存储在在线密码存储中,您可能违反内部安全策略。对于偏执狂,使用离线密码管理器,并定期备份。如果您选择在线密码管理器,至少使用双因素认证。不要忘记,您的Chrome密码可以轻松同步到云,将其转移到在线类别。
在某些情况下,如全盘加密、操作系统登录、智能手机登录或密码管理器登录,密码管理器的自动键入不可用,因此选择真随机密码是一件痛苦的事。
回答:确实。在这些角落情况下生成可发音密码或密码短语,例如使用Linux工具apg生成可发音密码。为了轻松快速键入,不要在原始密码中使用大写字母(仅小写字母-数字-特殊),但增加密码长度。因为您不使用大写字母,增加1个额外字符,因为它是可发音密码,增加3个其他字符,您就可以了。对于额外的偏执狂,在方便的地方将一两个字母改为大写。
apg -M SNL -m 15是您的朋友。
如果您想检查我在这里写的内容(总是一个好主意),测试一个真随机10字符密码与所有字符类的熵,并与14个字符无大写字母的密码进行比较。我推荐KeePass。如果您评论“KeePass无法测量它是可发音密码,因此熵实际上较低”,我的回答是:“查看用户当前使用的密码和当前的密码建议,告诉我这个密码是否好很多…” 。您已被警告。
对于高级密码类,我不推荐任何您大脑生成的东西。也有合适的离线密码短语生成器。对于密码短语,至少使用5-6个单词。
密码管理器不用户友好,登录需要更多时间。
回答:如果您设置自动键入/自动填充,并且密码管理器每天打开一次(并且您在离开时锁定计算机),在这种情况下,登录比键入花费更少时间!使用它比每次键入密码更方便。
我喜欢在每次创建新帐户时创建新的唯一密码,密码管理器剥夺了其中的乐趣。
回答:没有人曾经说过!“38%的人认为处理家务——从叠衣服到刷厕所——比想另一个新用户名或密码听起来更有吸引力。”
总结一下。使用密码管理器。
一般建议
永远不要在其他计算机上使用您的基本密码。它们可能感染了密码窃取器。如果您真的必须使用它,请尽快在受信任的(您的)计算机上更改密码。
不要被网络钓鱼网站愚弄。如果您去当地的跳蚤市场,有一个看起来奇怪的家伙头上挂着“超级银行存款处”的标志,您会放钱吗?
保护自己免受恶意软件侵害。使用最近的操作系统,即使您使用OSX或Linux,拥有AV作为“最后一道防线”也不是坏事。或者检查您的U盘是否有Windows USB蠕虫。
永远不要使用在线网站“生成您的密码”、“测量密码复杂性”或“检查是否已被泄露”。永远!(除非是您的密码管理器:)…)
更新:在https://haveibeenpwned.com/注册,以便在您的电子邮件在泄漏中找到时收到通知。
频繁更改密码是坏建议。它无效。将更多精力放在其他正确的密码建议上。