Sicuro contro conveniente
La politica di sicurezza di una password dovrebbe essere appropriata per il costo del compromesso. Se il tuo sito web si trova di fronte al mio conto finanziario, desidero una protezione rigorosa della password. Se si tratta di un sito di fan di nicchia sugli Autobots, non è necessaria molta protezione.
Le regole UPS sono ragionevoli con l'eccezione di:
- La lunghezza massima è troppo piccola. Dovresti facilitare l'uso di passphrase più facili da ricordare e più sicure.
Non ho visto il reset dopo il numero X di tentativi nelle regole quotate, penso che questo sia sciocco nella maggior parte dei casi. Penso che sia meglio bloccare qualcuno per un periodo di tempo, piuttosto che forzare un reset. Ciò implica un certo livello di sicurezza. Se ciò non è necessario, allora non lo è e il blocco / ripristino è un punto controverso.
Esistono molte regole per i criteri di password che presentano vantaggi marginali per la sicurezza nella migliore delle ipotesi. Tuttavia, ci sono anche regole che hanno benefici reali e tangibili per la sicurezza della tua password.
Regole (e le ragioni):
Impedisce una prova combinatoria e un attacco di errore che interromperà rapidamente una password molto corta.
- proscrizione contro l'uso di una singola parola inglese (o qualsiasi altra lingua)
Questo impedisce attacchi di dizionario.
- inserimento forzato di diverse categorie (ad esempio casi misti, numeri, punteggiatura)
Aumenta lo spazio di attacco medio.
Tutti questi motivi possono essere ricondotti a ridurre al minimo il pregiudizio dell'utente nella scelta delle password. La maggior parte degli utenti è incline a creare password più brevi e facili da ricordare. Sfortunatamente ciò rende la password più facile da attaccare. Ciò di cui la maggior parte degli utenti ha bisogno sono istruzioni su come creare password memorizzabili sicure o una frase segreta più lunga.
Password memorizzabili memorabili
Quando ho bisogno di creare una password con un limite di lunghezza, inizio sempre con una frase, quindi ho un codice mnemonico incorporato. Prendo la frase e ottengo lo stesso carattere posizionale da ogni parola. Ora ho una sequenza di soli personaggi. Quindi scelgo la maiuscola, alcune basate sui nomi propri nella frase o sul modello (prima e ultima, ogni altra lettera, ecc.). Aggiungo poi la punteggiatura e i numeri in base a qualche regola o schema arbitrario. (cioè tutti i 'j' sono 7, usando '&' dove c'è un 'e' nella frase, ecc.)
Mama, just killed a man. Put a gun against his head. Pulled my trigger, now he's dead.
Frase fornita dalla regina
- mjkampagahhpmtnhd - prima lettera di ogni parola
- MjkamPagahhPmtnhd - l'involucro corrisponde al rivestimento della frase
- Mjk0mP0g0hhPmtnhd - modificato da 'a' a 0
- Mjk0mP0g0 () Pmtnhd - modificato 'his head' to ()
Dopo averlo digitato alcune volte quando penso alla frase non avrò mai problemi a ricordare.