Esiste una soluzione ben studiata e intuitiva per il problema della password? [chiuso]

2

Il problema della password è stato parla molte volte , ma la maggior parte dei posti che ho visto offrono soluzioni terribili come la modifica di una parola del dizionario, la modifica dei requisiti della password per includere caratteri speciali (o utilizzando i requisiti di complessità delle password stupide affatto ), ecc.

Penso che la soluzione temporanea al problema della password dal lato utente sarà quella di utilizzare un gestore password OSS, crittografato in modo sicuro (controllato dalla comunità) come KeePass, ecc. (che è esattamente un'altra domanda ), ma c'è un buon articolo che lo consiglia agli utenti e cita articoli accademici? Sto pensando a qualcosa del tipo:

  1. Installa un gestore di password (ecco come link) (Vedi la carta accademica con le motivazioni)
  2. machine- (o meglio ancora dice -) genera la tua password principale. (riferimento ai test di penetrazione delle password generate da diceware)
  3. imposta 3 livelli di sicurezza nei profili di generazione nel tuo gestore di password, usa la più strong (l'entropia più alta e più alta (Rif. a quale sia l'entropia)) quando consentito.
  4. Per ogni sito, controlla la password contro i dics , attiva i due fattori ovunque sia possibile, non utilizzare le domande di "sicurezza". (Refs)

note: for the above, blogs, wikis, and other user-contributed sites are considered invalid citations. Actual academic journals are preferred, but official documentation sites are acceptable as well. The article I'm seeking can be a blog (but not Wikipedia), but the scholarly references it cites cannot.

Sto principalmente cercando un articolo o post di un utente finale, sebbene includa anche una sezione che educa i proprietari di siti Web sul lato server di questo problema (citando, ad esempio, Il NIST ) sarebbe ancora meglio.

È preferibile un articolo o una pagina già scritta, ma iff non esiste, dovremo dare una risposta a questa domanda la prima.

    
posta NH. 28.08.2017 - 20:35
fonte

1 risposta

0

Il problema della password è sfaccettato. Per questa risposta, non duplicherò ciò che gli altri ti diranno (il tuo processo sembra abbastanza buono, ma complesso).

Ti dirò questo: l'algoritmo è il pezzo più importante .

Puoi comunque usare una password di 81OTl*8tlxI+VqTZI7%wK , se il posto dove hai questa password memorizza solo testo in chiaro, ROT13, DES crypt o MD2, MD4, MD5, NTLM, con o senza un po 'di sale, quindi oclHashcat può rompilo in un attimo. Tuttavia, anche Password1! con script e 100.000 round è più sicuro di 81OTl*8tlxI+VqTZI7%wK su crypt() ...

Riferimento: link
(o per te "Wikipedia non è un riferimento" gente: link )
link link (revisione 2019)

Questo non è un "articolo per l'utente finale", tuttavia, può essere utilizzato per "educare i proprietari di siti Web sul problema lato server".

    
risposta data 29.08.2017 - 00:05
fonte