Kommentare
- Wenn die Benutzer eine begrenzte Gruppe von Personen im Haus sind (ich habe diesen Eindruck , aber möglicherweise falsch), würde ich Ihnen empfehlen, Ihre Energie darauf zu konzentrieren, Menschen über Passwortmanager zu unterrichten, anstatt alle dazu zu bringen,
1am Ende ihres Passworts hinzuzufügen. - Leider ist die Anwendung für Kunden mit geringen IT-Kenntnissen verfügbar.
- Beachten Sie, dass ein hoch entwickelter Gegner, der speziell auf Brute-Force-Methoden (einschließlich Wörterbücher) abzielt und diese anwendet, alle möglichen Informationen verwendet ihren Suchraum zu begrenzen. Daher sind Kennwortanforderungen für sie sehr hilfreich, z. B. im Voraus zu wissen, dass sie eine bestimmte Länge haben müssen, besondere Bedingungen erfordern (z. B. mit einer Ziffer beginnen müssen oder wissen müssen, dass es sich um eine Mischung aus Groß- und Kleinschreibung handeln muss oder besondere Anforderungen erfordern) Zeichen) wird nach hinten losgehen. Je mehr Informationen Sie dem Angreifer zur Verfügung stellen, desto besser können Sie ihn bei der Suche unterstützen.
Antwort
Es gibt zwei Faktoren hier.
Erstens haben Sie Recht, die Entropie ist dieselbe. Wichtig ist der Adressraum, nicht die Nutzung dieses Raums. Solange Benutzer Symbole usw. verwenden können, ist dies in erster Linie wichtig.
Der zweite Faktor ist jedoch die Vermutbarkeit oder Bruchbarkeit. Kann ein Passwort anhand von Regenbogentabellen erraten werden? Kann ein Passwort brutal erzwungen werden (z. B. alle Zeichen gleich)? Ihr Beispiel für 123456789012 verstößt dagegen, da es sicherlich in jeder anständigen Regenbogentabelle enthalten sein wird, da es einfach und üblich ist.
Die derzeitige Best Practice für Kennwörter lautet also dass Sie erweiterte Zeichen zulassen, aber keine spezifischen Regeln durchsetzen (die auf jeden Fall den Adressraum verringern). Sie empfehlen längere Passcodes – Hinweis „Codes“, wobei die Betonung auf „Wörter“ entfernt wird – gute Passcodes können einprägsam sein, sind es aber nicht Vermutlich. Und schließlich, weil Sie die Komplexität fördern, würden Sie 30, 60 oder sogar 90d Passcode-Änderungen nicht erzwingen. Zumindest für einzelne IDs können Shared / Admin-IDs etwas anders sein.
Ich bin der Meinung, dass dieser Ansatz ein gutes Gleichgewicht zwischen Benutzerfreundlichkeit und erhöhter Sicherheit darstellt. Ich denke jedoch, dass Sie Passcode-Datenbanken idealerweise regelmäßig überprüfen sollten, um schwache Passcodes zu finden.
Kommentare
- Ja, ich habe erwähnt, dass
123456789012ist einfach " erraten ", aber spielt das eine Rolle, wenn Bruteforcing billig und einfach ist? - Ja, wenn lange Passcodes verwendet werden. Da sich die Anzahl der möglichen Codes für jedes weitere Zeichen im Code um ein Vielfaches Ihres Adressraums erhöht.
- Ja: Ich stimme voll und ganz zu: Wenn es um " lange " Passwörter (= Passphrasen), Vorhersagbarkeit ist wichtig. Dieses
topsecretpasswordijustmadeup!"§$%&/()=ist kein gutes Passwort mehr, wenn es einem Wörterbuch hinzugefügt wird, obwohl es möglicherweise schon einmal eines war. Aber nur die Tatsache, dass es jetzt bekannt ist, macht es jetzt zu einer schlechten Wahl für die Zukunft? - Sie könnten argumentieren, dass es sich um eine Sammlung bekannter Muster handelt, die möglicherweise weniger sicher sein – aber ich denke, wir werden hier ein wenig esoterisch. Eines der Probleme mit Passcodes besteht darin, dass Sie ' etwas Einzigartiges geschaffen haben, das sich als sehr häufig herausstellt. Es wäre interessant, diesen Satz in einer guten Regenbogentabelle nachzuschlagen 🙂
- Lange Passwörter sind sehr hilfreich, wenn Sie einem Gegner gegenüberstehen, der Brute-Force-Methoden anwendet. Aber ich frage mich, ob dies tatsächlich zu Vermutungen führen kann, denn wenn sich der Benutzer daran erinnern muss, verwendet er möglicherweise nur Wörter, die in einem Wörterbuch enthalten sind, es sei denn, es wird etwas wie Lastpass verwendet, das zufällige Kennwörter generieren kann. Glücklicherweise hat XKCD diese Frage beantwortet: xkcd.com/936