Intel Quanto è strong la tua pagina di password, un buon consiglio?

Sì, hai ragione. L'utilizzo di un pool di password è decisamente consigliato ma le password non dovrebbero seguire uno schema, ma è così che pensiamo (siamo dei ragazzi della sicurezza). Potrebbe essere che lo scrittore stava pensando dal punto di vista di un utente comune perché gli utenti più comuni semplicemente non vogliono prendere il mal di testa di ricordare più password e avere un modello comune in tutte le password potrebbero incoraggiarli a utilizzare password diverse perché ora le password sono molto più facili da ricordare (e più facili da indovinare da parte di un hacker intelligente).

Personalmente preferisco mantenere un pool di password. Oggi devi creare un account con un numero di siti web casuali e non sai come gestiscono le tue password. Ricordo una volta su un portale di lavoro (leggi monster.com), ho cliccato sulla password dimenticata e poi mi hanno spedito la mia password originale in testo semplice (lo stanno ancora facendo !!!). Qui nella nostra community abbiamo alcune ottime discussioni sulla gestione delle password, ma ci sono persone che non si preoccupano della tua sicurezza.

Non si dovrebbe mai usare la propria banca e altre password importanti altrove. Puoi sempre ricordare una password comparativamente più semplice per questi siti web casuali.

Sì, utilizzare password diverse per siti diversi è una buona idea.

Sì, avere un tema comune che usi per generare le tue password è ok. Con due avvertimenti. Non deve essere così stupidamente facile da indovinare come quello suggerito dal sito di Intel. DEVI mantenere è un segreto.

Naturalmente la soluzione migliore è semplicemente ricordare una password lunga e altamente casuale che ti garantirà l'accesso a una password sicura contenente password generate a caso per i tuoi diversi account. Varie soluzioni come LastPass o KeePass esistono e funzionano bene.

Vedi questo arstechnia articolo per avere una buona idea di quanto sia orribile quel sito Intel.

La risposta breve è sì. Tuttavia, gli esseri umani tendono ad essere una creatura abitudinaria. Pertanto tendono ad utilizzare la stessa password per più account. Credo che questo articolo stia cercando di renderlo un po 'più appetibile per coloro che non vogliono cambiare la password.

Semplicemente usando "La mia prima password!" su ogni sito è meno sicuro che usare "My 1st Password! FB" su un sito e "My 1st Password! twitr" su un altro per il fatto che se un hacker ha ottenuto la tua prima password e l'ha aggiunta al suo dizionario non sarebbe necessario essere in grado di rompere il secondo.

Se le tue password erano le stesse allora se l'hacker ha ottenuto la tua prima password e l'ha aggiunta al suo / suo dizionario e ha ottenuto l'hash della tua seconda password, allora lui / lei potrebbe romperlo facilmente.

Non è il miglior consiglio di sempre, è vero, ma suppongo che dovremmo essere grati per qualsiasi aiuto da parte dei grandi giocatori nel cercare di sensibilizzare l'opinione pubblica sulla sicurezza delle password.

La tua preoccupazione riguardo al 3 ° passo è giustificata, però. Dovremmo aspettarci di meglio da nomi come Intel. Se dovessi prendere alla lettera il loro consiglio, tutto ciò che è necessario per compromettere tutte le tue password è utilizzare una delle sue iterazioni su un sito Web non affidabile o compromesso e un utente malintenzionato potrebbe facilmente anticipare tutte le altre password che usi con altri servizi . Questa è una supervisione di Intel e il loro consiglio dovrebbe essere messo in dubbio.

Un'altra scelta discutibile è anche il modo in cui funziona il controllo della password: non è assolutamente necessario digitarlo due volte e quindi premere un pulsante. Anche se menzionano che non verrà inviato e la forza della password verrà calcolata sul lato client, ciò potrebbe essere ulteriormente sottolineato da un'interfaccia utente che calcola la forza della password durante la digitazione, mostrando chiaramente la presenza di uno script sul lato client coinvolto in questi calcoli. Trovo che la loro scelta sia piuttosto particolare, a dire il vero.

Intel dovrebbe conoscere meglio - ma questo sembra essere un tema ricorrente: come possiamo convincere gli utenti finali, in particolare gli utenti non tecnici, a migliorare gli aspetti del loro comportamento senza alienarli completamente.

Qui e su altre comunità di sicurezza, conosciamo già tutte queste cose, e speriamo che le nostre famiglie ricevano alcune delle indicazioni che si attenuano, ma come si fa a convincere qualcuno che non ha esperienza di sicurezza o di rischio a usare quella del nipotino? il nome come password è una cattiva idea? Certamente li aiuta a ricordarlo, quindi è importante, vero?

Se vuoi avere una visione sensata sulla forza della password, guarda il nostro < strong> post di blog sull'argomento e segui tutti i link! Alcune persone molto intelligenti hanno fornito una guida - ispirata al famoso cartone animato xkcd.

Penso che il consiglio generale su come iniziare con una password di base e abbellirlo con caratteri diversi in base al sito (o al nome del computer) che stai visitando sia buono. Questo può offrire il vantaggio di essere facile da ricordare e ancora sicuro perché probabilmente interromperà la maggior parte dei metodi automatici di controllo di un elenco di password compromesso contro più siti.

Detto questo, il problema con la loro implementazione specifica di questo modello è che con una singola password compromessa, un hacker potrebbe indovinare le altre tue password con una rapida occhiata.

Invece, dovrebbero raccomandare una password di base strong come:

j3PL9$#U(B

Questo è qualcosa che non è banale, ma dovresti solo memorizzarlo una volta. Quindi potresti trovare un algoritmo non ovvio basato sui caratteri nell'URL. L'algoritmo potrebbe essere: capitalizzare la prima lettera dell'URL e metterla alla fine e inserire la versione minuscola dell'ultima lettera dell'URL all'inizio. Quindi, nel mio esempio, la tua password sarebbe simile a questa:

Facebook - kj3PL9$#U(BF

Twitter - rj3PL9$#U(BT

Reddit - tj3PL9$#U(BR

Guardando uno qualsiasi di questi, sarebbe in gran parte impossibile indovinare che la password abbia qualche relazione con il dominio del sito. Per la maggior parte delle persone, sembra solo una sequenza casuale di numeri e lettere.

Ovviamente, potresti renderlo più complesso facendo qualcosa come "inserisci la seconda lettera dell'URL nel penultimo carattere della password".

Assolutamente d'accordo: l'utilizzo di QUALSIASI schema prevedibile, indipendentemente dalla sua complessità, comprometterebbe l'intera idea di password complesse. Lo sto facendo in questo modo:
- Password casuali generate in Keepass (e memorizzate lì) per il 99% delle password
- Pochissime password generate con l'aiuto del generatore Gasser, cioè password che sono pronunciabili, ma non ancora dal dizionario, per i siti Web critici, password che non memorizzo OVUNQUE.
per esempio. di generatore di tali password: link

Ho sfogliato la maggior parte dei commenti e penso che come persone della sicurezza IT tendiamo a reagire eccessivamente quando vediamo una password che sembra semplice, ma in realtà non lo è. Mentre ci sono molte tecniche per l'attacco delle password, in realtà sono un po 'd'accordo con Intel nel loro modo di pensare.

Usando My 1st Password!: Twitr in base al calcolatore di "Search Space" di Interactive Brute Force Password di GRC ci vorrebbero circa 9,88 miliardi di miliardi di dollari facendo 100 trilioni di tentativi al secondo per forzare questa password.

Usando la stessa password anche per 10 account diversi con lievi variazioni si otterrebbe comunque un intervallo di tempo quasi inimmaginabile per tentare di attaccare la forza bruta.

Solo per riferimento, l'utilizzo di una password come j3PL9$#U(B si tradurrebbe in una settimana per i 100 trilioni di tentativi al secondo, quindi ciò che sembrerebbe impossibile è più facile.

Questo è semplicemente un metodo di forza bruta. Ovviamente ottenere l'hash e usare le tabelle dell'arcobaleno sarebbe una soluzione molto migliore, ma una volta che hai l'hash, probabilmente sei fatto comunque, indipendentemente dalla complessità della tua password.

Credo che quello che stanno insinuando sia un problema di conformità. Concesso TUTTI voi suggerite password molto più forti e SONO COMPLETAMENTE GIUSTI.

Tuttavia, gli esseri umani normali non si conformano. E non sarà conforme. E se non lo fanno e non lo faranno, troveranno un modo per tradire qualcosa di semplice che si rompe male.

Quindi se si rompe male in ogni caso, almeno fallo durare molto e prendi 2 (o più volte) per rompere duramente prima che il cattivo calcoli il modello - ed essere abbastanza semplice che le persone possano rispettare. Se guardi cosa propone Intel, le password sono memorabili; ci vogliono almeno 2 prima che un cattivo possa iniziare a dedurre uno schema (forse iniziano a indovinare con 1); e anche una volta inferito, hanno ancora sequenze non standard da capire (5 caratteri in uno, 2 nel secondo, 4 nel terzo ...) quindi è ancora un lavoro da fare. Sì, il dizionario inizia lo scoping verso il basso, ma funziona senza alcun dubbio.

E ottieni una conformità potenzialmente migliore rispetto a rj3PL9 $ # U (BT. Con la mia età, lo dimenticherò quotidianamente. E sì, uso i gestori di password, ma a volte non li ho con me, quindi ho bisogno da ricordare anche!

Qualcosa che molte persone sembrano dimenticare. Usare una password enorme è meglio che confondere l'utente. ad esempio

la password: mySuperSecurePasswordKeepsMeSecuredAgainstHackersCrackersAutomatedToolsAndMoreStuff

è più sicuro di: P @ S $ w0rd

Posso supportare con questi numeri / matematica ecc. se necessario. Per il downvoter: XKCD # 936: Breve password complessa o passphrase lunga del dizionario?