跳转ESP,跳转!:定期更换密码——误区与谎言,别被骗了(第二部分)
在之前的博客文章中,我已经介绍了需要保护的不同密码类型、攻击者及其攻击方法。现在让我们来看看如何解决这个问题。
密码要求
到目前为止,我们了解到必须使用长、复杂、真正随机的密码。理论上,这很容易。
以下是我对2014年的密码建议:
密码字符类别
在一般情况下,使用大写字母-小写字母-数字-特殊字符。
如果你不明白我刚才写的是什么,请从以下字符中选择:
qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM0123456789-=[];'\,./<>?:"|{}_+!@#$%^&* ()~`
如果你是一名CISO,并且说:使用4种字符类别中的3种,那么每个人都会使用Password12或Welcome12作为他们的密码(在第12次强制密码更改之后)。
密码长度
这基本上是决定密码属于极高/高/中/低级别的唯一因素。有关极高/高/中/低级别的详细信息,请查看之前的博客文章。
密码长度:极高级别(包括工作相关/企业密码) 15个字符(如果你真的偏执,可以使用20个字符)。即使在高安全性场景(例如军事、间谍机构等)中,使真正随机密码超过20个字符通常也没有任何意义。在Windows环境中,15个字符是一个正确的选择,因为LM哈希与15个字符的密码不兼容,因此一种(有效的)攻击将无效。注意,使用15个字符的密码可能存在错误,但概率很低。
密码长度:高级别 12个字符,大写字母-小写字母-特殊字符
密码长度:中级别 10个字符,大写字母-小写字母-特殊字符,仍然是真正随机
密码长度:低级别 9个字符。为什么更少?
PIN码
始终选择提供的最长长度,但最多为8位。通常,更多位非常不实用。
密码随机性
真正随机,由(本地)计算机生成。避免使用Debian。避免由大脑生成的随机密码。不要使用l33tsp33k。不要在当前单词后附加或前附当前月份、季节或年份。不要使用《星球大战》《星际迷航》(你最喜欢的电影/系列)中的角色或术语。通常,避免任何类似上述的模式。真正随机密码生成器生成SkyWalker12的几率非常非常低。相信我,破解这些密码并不难。你能想到的每一种算法;坏蛋们早就想到了。使用真正随机的密码。让计算机为你完成。详见本文后续内容。
密码历史记录
永远不要重复使用密码。永远不要!
密码更改周期
如果没有其他强制要求,一年内更改两次密码就足够了。但是!检查密码破解速度是否使您当前的密码过时。如果是,请更改过时的密码。如果您收到通知说您使用的服务已遭入侵,请立即更改密码。如果您怀疑计算机上运行了恶意软件,请立即更改所有最近使用的密码(在已知干净的计算机上执行此操作)。如果您在非自有计算机上使用了密码,或者该计算机上可能存在恶意软件,请立即更改密码。如果您真的不得不将密码告诉别人,请更改密码。否则,告别定期密码更改。我们会想念你的…
如果您是CISO,并且正在编写安全策略,您应该根据以下因素强制执行密码更改周期:您是否允许LM哈希?用户和管理员的密码长度要求是什么?当前的哈希破解速度以及未来2年的预测是什么?我认为,如果人们不被强制频繁更改密码(例如每月一次),他们会乐意将密码增加1-2个字符。
现在,在我如此聪明地给出了人们仍然讨厌实施的建议之后,让我们看看实际实施。至少有些人可能会喜欢我,因为我告诉他们不要定期更改密码。下次有人告诉你定期更改所有重要密码时,给他戴上测谎仪,检查他是否定期更改所有密码。如果他在撒谎,请随意使用扳手算法破解他的密码。如果他没有撒谎,请拨打911,给他穿上约束衣。在现实中,只有疯狂的偏执狂才会这样做。其他人只是太害怕说"到目前为止大家推荐的都是在胡说八道"。欢迎评论;) 其他人可能会因为我告诉他们使用真正随机的密码而讨厌我。不要惊慌,继续阅读。
不要忘记使用双因素认证。一开始可能看起来有点过分,但几个月后,你就不会注意到在使用它了。
(坏的和好的)解决方案
我将在所有地方使用相同的密码
这是一个相当糟糕的主意。如果其中一个密码被泄露,攻击者可以访问您的其他网站,或者您必须更改所有密码。有比更改所有密码更好的方式来度过您在地球上的生命。
我会记住它
祝你好运记住250个不同的复杂密码。别忘了定期更换它们!;)
我会一直使用密码恢复功能
这不是一个非常用户友好的解决方案。而且因为安全答案必须和密码本身一样复杂,问题并没有解决。
我会把它写在我的超级秘密笔记本上并放在抽屉里
虽然在某些情况下可能有效,但在其他情况下无效。我不推荐它。
我会使用一种算法,比如一个基础密码,并将网站的首字母添加到密码末尾
仍然比在所有地方使用相同的密码要好,但相信我,如果这是针对性攻击,猜出你的密码生成算法并不难。
我会使用XKCD的建议,使用密码correcthorsebatterystaple
仍然比简单密码好很多,但不幸的是,人们仍然不擅长选择随机顺序的随机单词,所以这不是最好的解决方案。再次强调,你无法记住250个不同的密码…甚至10个都是不可能的。仅在特殊角落案例中使用此方法(详见后文),并使用密码短语生成器!
我会使用密码管理器
这是第一个好主意。它解决了记住250个不同复杂随机密码的问题。有些人可能会抱怨使用密码管理器,以下是那些抱怨。以及我的回答:
如果某人获得了这个密码存储库的访问权限,一切就都完了。 回答:如果有人访问了你的密码存储库和主密码,你可以非常确定你的大部分密码已经被盗。对于特别偏执的人,你可以使用多个密码存储库,一个用于日常使用,一个用于罕见情况。注意不要忘记第二个的密码;)
如果我在需要时无法访问密码存储库怎么办? 回答:在廉价笔记本电脑、平板电脑和智能手机的时代,在99%的情况下,你不应在非自有设备上使用那个重要密码。在极少数情况下必须使用时,你可以使用智能手机获取密码,或者使用像Password hasher这样的浏览器扩展,用一个密码为不同网站生成不同的密码。对于特别偏执的人,你可以为不同安全级别设置不同的主密码。并且不要忘记在回到自己的计算机后更改密码。
如果我忘记了密码存储库的那个密码怎么办? 回答:如果你每天使用密码管理器,忘记那个密码的几率与忘记你每一个密码的几率相同。
密码管理器使钓鱼攻击更容易。 回答:谁开始这种胡说八道?好的密码管理器降低了钓鱼攻击的风险。
密码管理器具有与其他网站或软件相同的漏洞。 回答:嗯,这部分是正确的。密码管理器至少有3种类型,从最安全到最不安全:离线、浏览器内置、在线。在线密码管理器提供更好的用户体验,但牺牲了安全性。但如果你选择领先的密码管理器之一,并且你是一个简单的家庭用户,风险可以忽略不计。如果你试图将工作密码存储在在线密码库中,你可能违反了内部安全策略。对于偏执者,请使用离线密码管理器,并定期备份。如果你选择在线密码管理器,至少使用双因素认证。别忘了,你的Chrome密码可以轻松同步到云端,将其转移到在线类别。
在某些情况下,如全盘加密、操作系统登录、智能手机登录或密码管理器登录,密码管理器的自动输入功能不可用,因此选择真正随机的密码非常麻烦。
回答:确实。在这些角落案例中,生成可发音的密码或密码短语,例如使用Linux工具apg可以生成可发音的密码。为了轻松快速地输入,不要在原始密码中使用大写字母(仅使用小写字母-数字-特殊字符),但增加密码长度。因为不使用大写字母而增加1个额外字符,因为它是可发音的密码而再增加3个字符,这样就可以了。对于特别偏执的人,可以方便地将一两个字母改为大写。
apg -M SNL -m 15 是你的朋友。
如果你想检查我在这里写的内容(总是一个好主意),测试一个包含所有字符类别的真正随机10字符密码的熵,并与14个字符、无大写的密码进行比较。我推荐KeePass来做这个。如果你评论说"KeePass无法测量它是可发音的密码,因此实际熵较低",我的回答是:“查看用户当前使用的密码和当前的密码建议,然后告诉我这个密码是否好得多…"。你已被警告。
对于高级密码类别,我不推荐任何由大脑生成的东西。也有合适的离线密码短语生成器。对于密码短语,至少使用5-6个单词。
密码管理器不用户友好,登录需要更多时间。 回答:如果你设置了自动输入/自动填充,并且密码管理器每天打开一次(并且在你离开时锁定计算机),在这种情况下,登录所需的时间比输入密码的时间少!使用它比每次输入密码更方便。
我喜欢在每次创建新帐户时创建新的唯一密码,密码管理器剥夺了其中的乐趣。 回答:从来没有人这么说过!“38%的人认为处理家务——从叠衣服到刷马桶——比想出另一个新的用户名或密码听起来更有吸引力。”
总结一下。使用密码管理器。
一般建议
永远不要在其他计算机上使用你的重要密码。它们可能感染了密码窃取程序。如果你真的必须使用,请尽快在受信任的(你的)计算机上更改密码。
不要被钓鱼网站愚弄。如果你去当地的跳蚤市场,有一个看起来奇怪的家伙头上顶着"超级银行存款处"的标识,你会把钱给他吗?
保护自己免受恶意软件侵害。使用最新的操作系统,即使你使用OSX或Linux,安装防病毒软件作为"最后一道防线"也不是坏事。或者检查你的U盘是否有Windows USB蠕虫。
永远不要使用在线网站来"生成你的密码”、“测量密码的复杂性"或"检查是否已被泄露”。永远不要!(除非是你的密码管理器:) … )
更新:在https://haveibeenpwned.com/上注册,以便在您的电子邮件出现在泄露中时收到通知。
频繁更改密码是坏建议。它没有效果。将更多精力放在其他正确的密码建议上。