Tähän kysymykseen on jo annettu vastauksia :

Kommentit

  • Jos käyttäjät ovat rajoitettu ryhmä ihmisiä talossa (saan sen vaikutelman , mutta saattaa olla väärin), suosittelen, että keskitätte energianne ihmisten opettamiseen salasanahallinnoista sen sijaan, että saisitte kaikki lisäämään 1 salasanansa loppuun.
  • Valitettavasti sovellus on asiakkaan edessä heikossa tietämyksessä.
  • Pidä mielessä, että hienostunut vastustaja, joka kohdistaa ja käyttää raakajoukkomenetelmiä (mukaan lukien sanakirjat), käyttää kaikkea mahdollista tietoa rajoittaa hakutilaa. Joten kaikki salasanavaatimukset ovat heille erittäin hyödyllisiä, kuten tietäminen etukäteen, että sen on oltava tietyn pituinen, vaativat erityisehtoja (kuten täytyy aloittaa numerolla tai tietää, että sen on oltava sekoitus isoja ja pieniä kirjaimia, tai vaatia erityisiä merkkiä) palaa. Hyökkääjälle antamasi lisätiedot auttavat heitä vain heidän etsinnöissään.

Vastaa

On olemassa kaksi tekijät tässä.

Ensinnäkin, olet oikeassa, entropia on sama. Tärkeää on osoiteavaruus, ei sen käyttö. Joten niin kauan kuin käyttäjät voivat käyttää symboleja jne., Se on tärkeätä ensisijaisesti.

Toinen tekijä on kuitenkin arvaus tai hajoavuus. Voiko salasanan arvata sateenkaaripöydillä? Voidaanko salasana pakottaa raaasti (esim. Kaikki merkit samat). Esimerkkisi 123456789012 on tämän vastainen, koska se on varmasti missä tahansa kunnollisessa sateenkaaripöydässä, koska se on yksinkertainen ja yleinen.

Joten nykyinen paras salasanojen käytäntö on että sallit pidennetyt merkit, mutta et noudata erityisiä sääntöjä (jotka joka tapauksessa vähentävät osoitetilaa). Kannustat pitempiä salasanoja – ”koodit” -merkintää, poistamalla ”sanojen” korostaminen – hyvät salasanat voivat olla mieleenpainuvia, mutta eivät Ja lopuksi, koska kannustat monimutkaisuuteen, et pakota 30, 60 tai jopa 90d salasanamuutoksia. Ainakin yksilöllisillä tunnuksilla jaetut / järjestelmänvalvojien tunnukset voivat olla hieman erilaiset.

Minusta tuntuu, että tämä lähestymistapa on hyvä tasapaino käytettävyyden ja parannetun turvallisuuden kanssa. Mutta mielestäni sinun pitäisi ihannetapauksessa tarkastaa pääsykooditietokannat säännöllisesti metsästääksesi heikkoja salasanoja.

Kommentit

  • Kyllä, mainitsin, että 123456789012 on helppo " arvailla ", mutta onko sillä merkitystä, kun raahautus on halpaa ja helppoa? >
  • Kyllä, kun käytetään pitkiä salasanoja. Koska mahdollisten koodien määrä kasvaa kerralla osoitetilaa koodin jokaiselle lisämerkille.
  • Kyllä: Olen täysin samaa mieltä: Kun kyseessä on " pitkät " salasanat (= tunnuslauseet), ennustettavuudella on merkitystä. Tämä topsecretpasswordijustmadeup!"§$%&/()= ei ole enää hyvä salasana, kun se lisätään sanakirjaan, vaikka se olisi voinut olla aiemmin. Mutta vain se tosiasia, että se on nyt tiedossa, tekee siitä nyt huonon valinnan tulevaisuutta varten?
  • Voisit väittää, että se on joukko tunnettuja malleja, jotka saattavat ole vähemmän turvallinen – mutta luulen, että olemme hieman esoteerisia täällä. Yksi salasanojen ongelmista on se, että ajattelet, että olet ' luonut jotain ainutlaatuista, joka osoittautuu todella melko yleiseksi. Olisi mielenkiintoista etsiä tuo lause hyvässä sateenkaaripöydässä 🙂
  • Pitkät salasanat ovat erittäin hyödyllisiä kohdattaessa vastustajaa, joka käyttää raakaa voimaa. Mutta ihmettelen, voisiko se todella johtaa arvaamattomuuteen, koska jos käyttäjän on muistettava se, he saattavat vain käyttää sanoja, jotka löytyvät sanakirjasta, ellei käytetä jotain Lastpassia, joka voi tuottaa satunnaisia salasanoja. Onneksi XKCD on vastannut tähän kysymykseen: xkcd.com/936

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *