Soru:
Şifrelerim için ne tür bir kalıp kullanmalıyım?
Chris
2015-10-29 18:20:08 UTC
view on stackexchange narkive permalink

Çok sayıda hesabım var ve bir süre öncesine kadar hepsi için evrensel bir şifre kullandım. Şu anda, giriş yaptığım web sitesi adına bağlı olarak her hesap için farklı bir parolam var. Bir kalıp kullanıyorum ve modeller arasındaki fark web sitesi alan adıdır.

Parolamı bir tür parola yöneticisinde saklamak istemiyorum. Aklımda bir kalıp olmasını ve buna bağlı olarak şifreyi oluşturmak istiyorum (ve gerçekten aptal olursam ve kalıbı unutursam diye evde güvenli bir yere gizlenmiş bir kağıt parçası).

  1. Bana bazı iyi modeller önerebilir misiniz? Böylece şifrelerim için daha iyi bir kalıp oluşturmak için bunlardan birini veya birkaçını karıştırabilirim.

  2. Şifreleri saklamanın daha iyi bir yolu var mı, ancak yine de giriş yapmanız gerekirse bunlara erişebilir miyim başka bir bilgisayardan / cihazdan? (şifre yöneticilerine gerçekten güvenmiyorum)

* Parola yöneticileriyle ilgili özellikle neye * güvenmiyorsunuz? Bunu açıklığa kavuşturursanız, endişenizi azaltabiliriz * veya * belirli sorunun önemli bir endişe olmadığı anlamına gelen bir yaklaşım önerebiliriz.
@MichaelKjörling Şifre yöneticileri nasıl yapılır bilmiyorum. Bu yüzden onlara güvenmiyorum. Ama şu anda onlar hakkında okuyorum ve belki birini seçeceğim.
Keşke o kadar da acımasız olmayan bir cevap olsaydı. Gerçekten önemsediğim herhangi bir yerde belki 5 hesabım var ve benzersiz şifrelerini ezberledim. Kullanıcı adına sahip olduğum (e-posta geçmişimde) yaklaşık 5000 rastgele hesabım var, ancak şifreyi hatırlayamadığım için her seferinde sıfırladım. Ardından, ara sıra kullandığım yaklaşık 50 hesabım var. Bu siteler için bir "formül" bilmek son derece uygun olacaktır. [Bir ayı tarafından kovalarken diğerinden daha hızlı koşmak istiyorum.] (Http://bit.ly/1Oaeg4l)
Cristi, parola yöneticilerinin * özellikle * parolaları güvenli bir şekilde yönetmek için yazıldığını düşünün. Çok özel bir iş için amaca yönelik bir araçtır. Bu aslında karmaşıklığı büyük ölçüde * azaltır *, bu da bir hatanın içeri girme olasılığını düşürür. (Elbette yine de olabilir, ancak yazılımın yapmayı amaçladıkça daha az olası olur)
Temelde bir hashing şemasını + salt ezberleyen ve ardından her hizmette şifresi olarak web sitesi alan adını + tuzu kullanan biri hakkında bir makale yok muydu? Makaleyi şimdi bulamıyorum, ancak istediğiniz şeye çok benziyor. Yine de ** çok ** ezber gerektirdiğini hatırlıyorum.
Bazen güven değil, politika ile ilgilidir. Hatırlamam gereken şifrelerin çoğu iş kullanımı, bankacılık ve finans ve devlet siteleri içindir. Bunların tümü (a) dolandırıcılık durumlarında sınırlı sorumluluktan basitçe kovulmaya kadar değişen şifrelerin saklanmasına karşı politikalara sahiptir ve (b) değişim sıklığı, içerik ve kalıp hakkında en saçma kurallara sahiptir (hatırlamaları en zor hale getirir). Bu nedenle bazen şifre yöneticileri söz konusu olamaz ve tek yol bir kalıptır.
Tanıdığım birinin tüm şifreleri bir günlükte elle yazılmış.
Nasıl yapıldığı konusunda endişeleniyorsanız, PasswordSafe veya başka bir açık kaynak yöneticisi için kaynağı alın ve kendiniz yapın.
@detly Kötü bir sistem için iyi bir kural oluşturamazsınız. Uymanız gereken düzenleme kötü ise (tarif ettiğiniz şekilde), onu "iyi" bir model kullanarak "düzeltemezsiniz".
Beyninizin etkili bir şekilde düşünebileceği ve hatırlayabileceği kesinlikle * HAYIR * model vardır ve aynı zamanda günümüzün modern şifre kırıcılarına direnen iyi, güçlü şifrelerdir.
KeePass açık kaynak kodlu ve ücretsizdir. http://keepass.info/download.html
@detly Bekle, şifreleri uygun bir şifre yöneticisinde bile saklayamazsınız, ancak aynı zamanda ezberlemek de imkansız olmalı ve birçoğu olmalı mı?
@BlacklightShining ... kurumsal / finansal şifre politikalarının aptalca olduğu haberi var mı?
@Stephane Doğru, bu bir şifre yöneticisi kullanarak da "düzeltemeyeceğiniz" anlamına gelir.
Hayal kırıklığımı affedin, ancak bu sitede insanların kötü olduğunu düşündüğü politikaları göz ardı etmekte ısrar etmek yaygın bir model gibi görünüyor, gerçekten çok sayıda insanın müzakere etmesi gereken bir şey olduğunda. Zayıf teknik yeterliliklerin değil, bu politikaların pek çok güvenlik sorununun temelinde olduğunu iddia ediyorum. Mükemmel olmasa bile, başkalarının "kötü" sistemleri * daha iyi * şekillerde kullanmalarına yardım etmek için kendilerini getirmeleri güzel olurdu. (Bunu okuyanların çoğunun kendilerinin de bu türden en az bir politikaya tabi olduğunu ve bunu bir şekilde aştığını garanti ederim.)
20 tek tip rasgele onaltılık karakterden oluşan bir dizeyle ilgili sorunun ne olduğundan emin değilim. Kısa ve güzel. Hatırlamak göründüğünden daha kolay, söz veriyorum; bir maymun değilsiniz, hatırlayabilirsiniz, hatta gerekirse birkaç tanesini (böylece parola yöneticiniz için birini ve ardından yanda birkaç tane daha kullanabilirsiniz). Karşılığında, yakın gelecekte tüm çevrimdışı tabanlı kaba kuvvet veya sözlük saldırılarına karşı tamamen güvenli olan 80 bitlik entropi (ne fazla ne de az) içeren güzel bir şifre elde edersiniz. Son. Aptal şifre politikalarıyla etrafta dolaşmanıza gerek yok.
@detly Bakış açınızı takdir ediyorum, ancak maalesef iki nedenden ötürü yapamıyorum: 1 / Böyle bir sistemi "düzeltmeye" çalışmak, yalnızca daha sağlam görünmesini sağlar 2 / onu düzeltmenin sorumluluğu soran kullanıcıya ait değildir bir martingale için ama politikaları belirleyen insanlara. Son kullanıcılar bunu düzeltmeye çalışırsa, aslında bu politika yapıcılara karşı gelme riskini taşır.
@detly, parolayı uygun şekilde koruyan bir parola yöneticisi kullanırsanız, bu hiçbir zaman sorumluluğunuzu artırmaz çünkü yapılacak uygun ve makul bir şeydir. Tekrar kullanılmayan, düzenli olarak değiştirilen ve yazılmayan bir avuç şifreden fazlasını ezberlemek imkansızdır, bunu yapmanızı gerektiren herhangi bir politika hem gerçekçi değildir hem de mantıksızdır ve herhangi bir yasal durumda test edildiğinde böyle kabul edilecektir.
On yanıtlar:
Stephane
2015-10-29 18:32:37 UTC
view on stackexchange narkive permalink

Yok . Her site için uzun, rastgele şifre oluşturmak için bir şifre yöneticisi uygulaması kullanın.

Ana şifrenizi (veya ana şifrenizin bir türevini) başka hiçbir yerde kullanmadığınızdan emin olun.

Çevrimiçi veya ticari şifre yöneticilerine güvenmiyorsanız, açık kaynak olan ve yerel dosyalarla çalışan bir şifre kullanın.

Düzenleme : Referans için Bruce Schneier, 2014 yılında bir şifre oluşturmak için herhangi bir model kullanmanın neden kötü bir fikir olduğuna dair oldukça eksiksiz (ve çok okunabilir) blog yayını.

Çevrimiçi veya ticari şifre yöneticilerine güveniyor musunuz?
Güveni tanımlayın ... ama bu çok özneldir ve diğer herhangi bir ticari düzenlemeye olan güvene çok benzer. Gerçekten önemsiyorsanız, kendi yazınızı yazın veya kullanmadan önce analiz edebileceğiniz açık kaynaklı bir tane bulun, ancak herhangi bir sektörde olduğu gibi, genel olarak çok sayıda güvenilir sağlayıcı vardır.
Bu blog yazısı hala biraz tartışmalı. Schneier, kelime ile sözlük ve karakter ile alfabe arasındaki ilişkinin denkliğini görmezden geliyor. Her bir karakteri veya kelimeyi, alfabe veya sözlükte yer alan sınıra kadar bir sayı olarak düşünün, ardından bu sayıların bir dizisi olarak bir şifre oluşturun. Zayıf parolalar, çok küçük bir kümeden (veya ortak alt kümeden) çok az öğe seçer.
"Uzun, rastgele bir şifre" başka bir kalıp değil midir?
@ott - Hayır. Uzun rastgele bir şifre. Rastgele = desen yok.
@Cristi Popüler açık kaynak şifre yöneticilerine güveniyorum. Neden? Çünkü benden * çok * daha fazla paranoyak olan ve şifreyi tarayarak paranoyaklaşmak için * çok * daha fazla boş zamanı olan, bir şey bulduklarında "Illuminati" veya "Üç Harfli Ajans" diye bağırmaya hazır insanlar olduğunu biliyorum. Başkalarının paranoyasının, Ashley Madison hesabım için güvenlik ihtiyacımdan daha büyük olduğuna inanıyorum. - bekle, bunu halka açık bir kanalda mı söyledim? Bana aldırma! Hey, bak! Illumnati hükümeti ele geçiriyor \ * ortadan kayboluyor \ * * (Bir şifre çok değerli olsaydı hiçbir şeye güvenmezdim, bilgisayarıma bile) *
Blog gönderisinin XCKD gönderisi hakkında söylediklerine ikna olmadım - gönderi * hacker'ın kalıbınızı bildiğini varsaydığı gibi * ve hala daha güvenli.
@CortAmmon: Açık kaynak konusunda da böyle düşünürdüm. Sonra Heartbleed oldu.
@Tim: xkcd şeması ile ilgili sorun, ölçekten biridir. Her hafta bir büyük şirketin hacklendiği bu cesur yeni dünyada sorunlu olan, çalınan bir hash'ı kırma konusunda endişelenmediğimizi varsayıyor. Bu, dörtten fazla kelime kullanılarak düzeltilebilir (ancak kaç tane daha benim için hemen anlaşılmıyor).
@Kevin XKCD hesaplamasına göre her kelime 11 bit entropi ekler. Bu, hangi teknik kullanılırsa kullanılsın, çatlama süresini ~ 2000 kat artıracaktır.
@Kevin Doğru, yine de Heartbleed'ın paranoyayı paranoyaklaşmayı garanti edecek kadar bana zarar vermediğini düşünmeme rağmen. Bu zor bir iş. Bu adamlar bunda çok iyi! (Aslında kodda düzgün bir şekilde yakalanmış olan MySQL arabellek taşması beni daha çok rahatsız ediyordu, ancak derleyici denetimi optimize ediyordu!)
@CortAmmon: Baktıklarında bunda iyiler, OpenSSL örneğinde temelde değildi. İdeal bir dünyada, güvendiğiniz her kod parçasını herhangi bir şekilde denetlersiniz. Tabii ki, bu çok pahalı olurdu, bu yüzden ödün verirsiniz ve yalnızca sorun yaratma olasılığı en yüksek olan% x'i denetlersiniz. Ama yine de bu ödünleşmelerin farkında olmanın önemli olduğunu düşünüyorum, böylece Heartbleed gibi bir şey olduğunda düz bir şekilde yakalanmazsınız.
@Kevin Fair öğrenilecek kadar ders. Elbette, bu kendi folyo şapkalarımı yapacağım anlamına gelmez. VW'de caddenin aşağısındaki adamlar onları benden çok daha iyi yapıyor.
Bruce'un önerisi tuhaf. Parolalardan kaçınıyor, ancak kısaltılmış parolaları destekliyor.
@PaulDraper Bunda tuhaf olan ne? "Gerçek" bir kelime, (iyi) kısaltılmış bir kelimeden daha az entropiye sahiptir çünkü potansiyel olarak daha küçük bir listeden gelir.
Öyleyse, bir şifre yöneticisi kullanarak, kütüphanedeki bir bilgisayarı kullanarak bir kütüphane web hizmetine nasıl giriş yapabilirim? Bilgisayara kütüphane web hizmeti hesabım dışında hiçbir şeye güvenmiyorum.
@JiK: Akıllı telefonlar için şifre yöneticileri vardır, bu nedenle kütüphane web hizmeti şifrenizi kütüphane bilgisayarına girmeniz yeterlidir, başka hiçbir şey yapmazsınız. (Sonraki sorun: akıllı telefonumun işletim sistemi sağlayıcısına güvenebilir miyim?)
@JiK Sisteme güvenmiyorsanız, bunu hesabınızda oturum açmak için kullanmayın. Ek olarak, bazı durumlarda, [InputStick] (http://inputstick.com/index.php/en/) gibi bir cihaz da kullanabilirsiniz. Bunu, DC'mizdeki sunucularda fiziksel olarak oturum açmak için kullanıyorum (güvendiğim, ancak PW yöneticime erişimi olmayan makineler)
@Stephane Bluetooth umutsuzca güvensiz değil mi? Sadece yazın.
Ticari ve açık kaynak tartışmalı bir konudur, ancak ana parolanızı sıfırlamanıza izin veren herhangi bir çevrimiçi PM, tüm parolalarınıza erişebilen ve bunları saldırganlarla paylaşabilen bir PM'dir.
"Umutsuzca güvensiz" demezdim, ancak InpuStick durumunda, USB cihazı ile akıllı telefon arasındaki iletişime AES şifreleme ekleyebilirsiniz: bu onu oldukça güvenli kılar.
@AleksandrDubinsky Mutlaka: Ana parolanın paylaşılmasına gerek kalmadan değiştirilmesine izin veren bir düzen vardır. Bu, hizmete biraz güvenmek zorunda olmadığınız anlamına gelmez, dikkat edin. bu gerçekten güvenliğe karşı bir rahatlık seçimi.
@Stephane Bu nasıl mümkün olabilir? Ve özellikle "ana şifrenin paylaşılmasını gerektirmeden" mi yoksa daha genel olarak "şifre saklayıcının şifrelerinizi hevesle okumasına izin vermeden" mi demek istiyorsunuz?
@MarchHo evet ve bu 2048 kelimelik bir dizi - bunu önemli ölçüde büyütebilirsin ve yine de oldukça akılda kalıcı olur.
@Stephane: Schneier'in argümanı sadece entropi ile ilgili değil. "Schneier kısaltması" nın ifadeye eklediği entropi miktarı ölçülebilirse, o zaman şema, kısaltılmamış ifadeyi kullanmakla ve rastgele oluşturulmuş eşdeğer sayıda karakteri uca yapıştırmakla aynı entropiye sahiptir. Ama o sadece entropi ile ilgilenmiyor (ve her halükarda bütün sorun, insanların N parola için yeterli entropiyi hatırlamakta çok iyi olmamasıdır). Özellikle bilinen tahmin algoritmalarını yenen ve bu nedenle biçimsel entropilerini aşan parolalar oluşturmakla ilgileniyor.
@ChristianStrempfer - Hayır, "sonraki sorun" o telefonu tuvalete düşürdüğümde ve artık şifre yöneticisi verilerine erişemediğimde ne olur?
@T.E.D., Bulutta senkronize edilmiş şifre veritabanına sahipsiniz (şifreli olduğu için hiçbir fark yaratmaz)
@SteveJessop Bir parolanın resmi entropisini nasıl aşabileceğini anlamıyorum. Kısaltılmış bir cümleden oluşturulan 10 karakterlik bir parola (büyük / küçük harf ve rakamlar) ca. 60 bit entropi. Bu şemanın gerçekten tamamen rastgele şifreler verdiğini varsayalım. Krakerin ortalama olarak (2 ^ 60) / 2 şifre denemesi gerekiyor, çünkü tamamen rastgele. 5 kelimelik tamamen rastgele bir Diceware cümlesi 8192 ^ 5 ie'ye sahiptir. 65 bit entropi, bu nedenle saldırganın (2 ^ 65) / 2 kelime kombinasyonunu denemesi gerekir. Bir saldırgan bu miktarda kombinasyonu azaltmak için hangi kısayolları kullanabilir?
@oliver:, 40 bitten daha az entropi içeren bir parola oluşturulmuşsa, ancak herhangi bir gerçek dünya parola kırıcı tarafından denenen ilk trilyon parolada görünmüyorsa (Schneier'in kullandığı modele göre), Yalnızca entropiye dayalı olmasını beklerdim. Schneier'in "Schneier kısaltması" iddiası, parola kırıcıların entropi N ile bir kısaltmayı çözmede, "parola artı rasgele siğil" i N'den daha büyük bir entropi ile çözmekten daha az başarılı olduğu yönündedir. çok * daha büyük, ya da yeterli bulacağı entropi.
Örneğin, Schneier'in bu türden tavsiyesinin en eski versiyonu, yıllar önce hatırladığım, unutulmaz bir cümlenin ortasına rastgele bir fiş koymanın bir cümlenin sonundan daha iyi olduğudur, çünkü o krakerleri gözlemledi. o sırada sözlük sözcükleri ve gereksiz sözcük öbekleri deniyordu, ancak önemsiz sözcükler eklenmemişti. Entropi her iki şekilde de aynıdır (iyi, artı veya eksi ekleme noktası seçimi için bir avuç bit), ancak o sırada eklenen önemsiz, ekli hurdayı büyük ölçüde geride bıraktı.
... elbette, 65 bitlik rastgele bir şifreyi ezberleyebiliyorsanız, o zaman da yapabilirsiniz. Parolalar ve onları korsanlara karşı dirençli hale getirmek için nasıl jigging yapılacağı, bilmeleri gereken farklı parolalar göz önüne alındığında bunu deneyen ve başarısız olan insanlar için bir oyundur.
Bruce ve XKCD ile ilgili @Tim: https://security.stackexchange.com/questions/62832/is-the-oft-cited-xkcd-scheme-no-longer-good-advice
@AleksandrDubinsky ATM'nin ayrıntılarını size söyleyemem, ancak bu son geçişin bunu güvence altına almak için şifreyi hash haline getirdiğini anladım. Kurtarmana izin verip vermediklerini hatırlayamıyorum ..
JonnyWizz
2015-10-29 21:04:50 UTC
view on stackexchange narkive permalink

Parola yöneticilerine güvenmiyorsanız, tüm parolayı parola yöneticisinde saklamanız gerekmez.

Parolanızı kolay bir şekilde bölebilirsiniz. Hatırladığınız kısmı (bu, isterseniz tüm web siteleri için aynı olabilir) ve şifre yöneticisinde benzersiz, uzun ve rastgele bir şifreyi unutmayın.

Bir şekilde birisi şifre yöneticinize erişebildiyse, şifrenin hatırladığınız kısmı hala kafanızda yok.

"hatırladığın, hatırlaması kolay kısım" - ya da ezberlemek için biraz çaba harcadığın, hatırlaması oldukça zor bir kısım. Tüm parolalarınız için aynı olduğundan, yalnızca bir şeyi hatırlamanız gerekir (artı bir şey daha: parola yöneticisinin parolası) ve her gün kullanırsınız. 10-20 rastgele karakter mutlaka "hatırlanması kolay" değildir, ancak her gün kullandığım şifreler için bunu yönetebilirim ve çok güvenli bir alt sınır olarak kaba kuvvetle kırmak için> 2 ^ 50 tahmin gerektirir.
"Hatırlaması daha kolay" görecelidir. Parola yöneticisinde saklayacağınız çok uzun rastgele harfler / sayılar / semboller kısmından daha kolay olacaktır, ancak şu anda hatırlamanız gereken yalnızca iki parolanız vardır (biri parola yöneticisi için, biri yeniden kullanıp parola şifre yöneticisinden şifre), bir şifre yöneticisi kullanmadan çok sayıda şifreyi hatırlamanız gerekenden "hatırlaması daha zor" olabilir.
Lütfen (çok) birçok sitenin şifrenizdeki karakter sayısını ve / veya aralarından seçim yapabileceğiniz karakter kümesini kısıtladığını unutmayın (korkutucu örnekler [burada] görülebilir (http://passwordshaming.tumblr.com/) Bu, önerilen şema ile çelişebilir: Ya çok kısa ve / veya basit bir ortak bölüm seçmelisiniz ya da muhtemelen planınızdan sapmalısınız (ve yönetici yazılımında kaydedilen belirli siteler için tam şifreye sahip olmalısınız).
Bu yine de sakıncalıdır. Bir web sitesinde her oturum açmanız gerektiğinde, parola yöneticisine bakmanız, parçayı kopyalamanız ve parçanızı eklemeniz ve * sonra * oturum açmanız gerekir. Bu çok fazla iş.
Bunun bir dezavantajı, eğer bir şifre sızdırılırsa, birisi onu düz metinde sakladığı için hatırlanan kısmın tehlikeye atılmasıdır. kısıtlamalar, vb ...)
@GertvandenBerg, ama parolayı bölen bir şema kullandığınızı nasıl bilecekler?
@JonnyWizz: İki siteyi hacklediniz ve eşleşen kısımları fark ettiniz mi? (yine de otomatik kırma ile olası değildir ...) Güvenlik, yalnızca saldırganların sistemin nasıl çalıştığını bilmediği varsayımına dayanmamalıdır ... (Bu, çok az insan varken çalışmadığı anlamına gelmez. bu şekilde yapmak ...)
Pekala, beklenmedik bir durumda, hatırlanan kısmın bu şekilde ele geçirilmesi durumunda, saldırgan yalnızca hatırlanan kısmı bildiği için şifre yöneticisindeki şifrelerin geri kalanı yine de güvende olacaktır.
Sanırım bir gerçek risk var, o da şifre yöneticisine güvenmiyorsanız, muhtemelen hatırlanan kısmı yakalamak için tuş vuruşlarınızı kaydetmediğini varsaymamalısınız. Temel olarak, hesaplarınızda oturum açmak için kullandığınız cihaza güvenilmeyen yazılımlar yükleyemezsiniz ("aynı cihazın" belirli değerleri için: Güvenilmeyen yazılımın aynı cihazda ancak oturum açma yeteneği yok).
Chris H
2015-10-29 20:04:28 UTC
view on stackexchange narkive permalink

Rastgele oluşturma, istediğiniz tek kalıptır - zar kullanabilirsiniz (Wikipedia) veya daha kısa rastgele harf dizileri için (tekrar Wikipedia) bile kullanabilirsiniz.

Onları unutmak istemiyorsanız ve bir şifre yöneticisine güvenmiyorsanız bunları bir yere yazın ! (Schneier.com). Burada bir çeşit gizleme düşüneceğim, böylece cüzdanınızı çalan sıradan bir hırsız, bunu yapmak zor olsa da, sadece paypal hesabınıza (örneğin) giriş yapamaz.

Basit bir gizleme ile, şifreleri 2 veya 3 aşağıya "kaydırabilirsiniz", böylece kullanıcı adının yanında yanlış şifreyi görebilirsiniz, ör. http://paste.ubuntu.com/13005200/
@Tim, işe yarayacaksa, rastgele bir alfanümerik dizge kullanılırsa, diğer fikirler harflerin büyük / küçük harf değişimi olabilir (belki de parolanın bir alt kümesinde).
Evet, güzel bir tane daha. Kişisel olarak parolanın kendisini değiştirirken dikkatliyim - geriye doğru yazmak gibi çünkü kendimi ara sıra unutuyorum ... Gerçekte bir parola yöneticim var.
@Tim beni de (daha doğrusu linux üzerinde KeePass2 / KeeFox ile savaşıyorum)
@Tim Veritabanındaki her bir parolayı veritabanındaki her bir hesapla denemek muhtemelen bir saldırganın deneyeceği ilk şey olacaktır. Bu veya sadece veritabanını çalınan karmalara karşı bir kelime listesi olarak kullanmak.
@Blacklight, bu gizlemenin öncülü, el yazısıyla yazılmış bir listeden kalmamızdır, bu nedenle hırsız (veya "bilgisayarları tanıyan" arkadaşı) hepsini bir dosyaya yazmalı ve bir avuçtan fazlasını varsayarak bir komut dosyası yazmalıdır. elbette şifreler.
zr_ifrit
2015-10-29 19:28:38 UTC
view on stackexchange narkive permalink

1) Çevrimiçi şifre yöneticilerine güvenmiyorsanız, keepass2 gibi çevrimdışı yöneticileri kullanabilirsiniz, ancak dosyanızı her zaman erişilebilir hale getirmeniz gerekir ve ihlal orada olur. Parola yöneticilerine gerçekten güvenmek istemiyorsanız ... parolalarınızı öğrenin.

2) Parola oluşturmak için kullanılabilecek birkaç model vardır. Her zaman güvenli değillerdir, bu nedenle oluşturulmuş olanlar daha iyidir. NakedSecurity'de bu konuyla ilgili bir makale burada yayınlandı, farklı olası modeller sunuyorlar.

Parola dosyasının erişilebilirliği önemli değildir. Şifreli olduğu için tamamen halka açık olabilir. Zayıf bağlantı, şifresini çözmek için ana parolayı * girdiğiniz bilgisayara güveniyor. *
Tomas
2015-10-30 00:13:59 UTC
view on stackexchange narkive permalink

Sizi bu XKCD 'ye yönlendirmek istiyorum:

enter image description here

Örneğin, böyle bir şifrenin sonuna bir site adı koyarsanız (ve lütfen şimdi "düzeltmek üzere" düzeltmeyi kullanmayın "), çok güvenli olacaktır.

Gerçekten önemli olan uzunluktur. Öyleyse, uzun ve hatırlaması kolaysa bu mükemmel.

Parola yöneticileriyle sorun yaşıyorsanız bir öneri: Parola yöneticisi dosyasını Dropbox gibi bir yerde saklayın. Bu şekilde ona her yerden erişebilirsiniz ve yine de güvenlidir.

Kalıplar parolalarınızı (en azından) iki farklı şekilde zayıflatabilir: en kötü örüntüler kişisel parolalarınızın kırılmasını kolaylaştırırken, tanımlanabilir bir kalıp (basit veya başka türlü) sonraki parolaların ilk paroladan sonra kırılmasını kolaylaştırır. Bu strateji ilk tuzağa düşmekten kaçınır, ancak 4 kelimelik tabanı da değiştirmezseniz ikincinin kurbanı olur. Küçük bir sitedeki şifrelerinizden en az birinin halihazırda kırıldığını varsayın - "düzeltmek için batteristaplebank" güvenli olabilir, ancak ya bilgisayar korsanı zaten "düzeltmenin düzeltilmesi için bir değişiklik yaparsa"?
Dropbox kadar güvenli ...
@Tim Dropbox'ın şifre yöneticisi şifreli bir dosya olduğu için ne kadar güvenli olduğu önemli değil.
@Tomas Açma girişimlerinin sayısı sınırlı olmadığından, DropBox'ın güvenliği önemli olabilir. Dropbox'ınıza erişimi olan bir kişi şifrelenmiş dosyanıza erişebilir. Daha sonra ana şifreye bir bruteforce saldırısı deneyebilir. Ana parolanın çok uzun ve karmaşık olması büyük bir risk oluşturmaz, ancak yine de bir risktir.
@Zrechim İşte bu yüzden riskleri en başta iyi parolalar kullanarak en aza indirmeye çalışıyoruz - elbette parola yöneticisi için de dahil. 25 karakterlik iyi bir şifrenin riski oldukça düşüktür.
44 bitlik entropi çok düşük. Parolalar 1000 tahmin / saniyede kırılmaz, bazen trilyon saniyelik tahminlerde kırılır ve bu da parolayı 16 saniyede kırar.
@AleksandrDubinsky lütfen abartmayın, trilyonun 1.000.000.000.000 anlamına geldiği ABD veya İngiltere'den olduğunuzu varsayıyorum. Bu, parola karma işleminin yalnızca 1 işlem alması durumunda bile 1THz işleme özelliğine ihtiyaç duyacağı anlamına gelir. Çoğu devlet tarafından finanse edilmeyen cracklemenin bot ağları tarafından yapıldığını varsayarsak, bu 2,5 GHz'de çalışan 200 bot 2 çekirdekli CPU'lara eşittir (Steam donanım anketinden ortalamalar). İmkansız değil ama maliyetli. Ancak bu, hash başına 1 talimat varsayıyordu, örneğin BCrypt'i 2 ^ 12 mermi ile kullanırken çok pahalıya mal oluyor gibi görünüyor. Ama elbette, daha fazlası daha iyidir.
@AleksandrDubinsky Karışımda birkaç sayı atarsan 36² to'ye çıkar, bu da * biraz * 16 saniyeden fazla sürer. Olduğu gibi, sonsuza kadar.
YanlışcowcapacitornailWEBSITE kullanıyorsanız, şifreniz * totes * güvenli olacaktır.
@Selenog Donanım bilginiz eksik. Bir GPU, saat döngüsü başına 8.000 işlem yapabilir, ancak bu işin dışındadır. Tipik karmalar, saniyede yüz milyarlarca denemede kırılır. ASIC'ler büyüklükteki siparişleri daha iyi yapabilir - bitcoin kuleleri çok daha az elektrikle [saniyede 8 trilyon SHA1 hash] (https://en.bitcoin.it/wiki/Mining_Hardware_Comparison) yapabilir. Ulus devletler kesinlikle şifre kırma için benzer ASIC'ler oluşturdular. Haklısınız, bcrypt veya en azından birden fazla tur kullanmak çok daha iyidir. "Bazen" kelimesini kullandım. Ancak günümüzde, hızlı / zayıf hashing oldukça sık kullanılmaktadır.
@AleksandrDubinsky SHA1 olması gerektiğini kim söyledi? Bunu şifreleme anahtarı olarak kullanan tek bir çevrimdışı şifre yöneticisi var mı? Şüpheliyim.
@Tomas 36 ^ 25, 25 rastgele alfasayısal karakter için geçerlidir. 25 karakterlik bir parola, rastgele bir karakter dizisi değildir. Çok daha az entropiye sahiptir. Burada kendinizi kandırmayın. Buradaki gönderinizi okumamış bir bilgisayar korsanı bile, diyelim ki, "dört kelime seç ve birkaç sayı at" stratejisiyle gittiğinizde% 10 şans olduğunu bilir, böylece hesaba en fazla 3 bitlik entropi ekleyebilirsiniz. Stratejinizi kesin olarak bilmediği için.
@Tomas Parola yöneticileri genellikle SHA1 gibi hızlı bir karma kullanır, ancak onu 10-20 bitlik entropi ekleyen birden çok turda kullanır. Bununla birlikte, her sitede (OP'nin tasarladığı gibi) böyle bir parola (artı web sitesi adı) kullanırsanız ve bu sitelerden biri tek turlu SHA1 (ki çoğu olur) kullanırsa, bu sizin en zayıf bağlantınızdır.
@AleksandrDubinsky * 25 karakterlik bir parola, rastgele bir karakter dizisi değildir. Çok daha az entropiye sahiptir. * Bunu nasıl anlarsınız? Parola yöneticisinde * saklanan parolalar ile parola yöneticisini * kilitlemek * için kullanılan parola arasında bir fark vardır. sadece tartışmayı "kazanmaya" mı çalışıyorsun?
@AleksandrDubinsky * Parola yöneticileri genellikle SHA1 gibi hızlı bir hash kullanır * Bunu nasıl biliyorsunuz? KeePass, örneğin, AES kullanır.
@Tomas AES, şifreleme için kullanılır. AES, parolanız * olmayan * bir şifreleme anahtarı kullanır. Bu anahtar şifrenizden bir karma işlevi ile elde edilir. Burada [anahtar türetme bölümünde] (http://keepass.info/help/base/security.html) belirtildiği gibi, bu hashing işlevi SHA-256, artı bir genel anahtarla N tur AES'dir (tamam, öyle de yapar) anahtar türetme için AES kullanın). N varsayılan olarak 6000'e eşittir. SHA1 de değildir, ancak hem SHA2 hem de AES, SHA1 gibi * hızlıdır. KeePass, bcrypt veya scrypt kullanmaz.
@AleksandrDubinsky Size bir ipucu vereyim: [Keepass ana şifresini kırmak ne kadar zor?] (Http://security.stackexchange.com/questions/8476/how-difficult-to-crack-keepass-master-password).
Özellikle KeePass için @Tomas, [bir program] buldum (http://sourceforge.net/p/keepass/discussion/329220/thread/ab72879e). Yalnızca 1000 tahmin / s yapar, ancak C # ile yazılmıştır. Bir GPU için verimli bir şekilde yeniden yazılabilirse, en az 1.000.000 beklerim. 44 bit için yaklaşık 3 ay. Anında değil, rahatlık için çok yakın.
@Tomas Bu sorudaki soru soran kişi 66 bitlik bir parola (yani sizinkinden 4.000.000 kat daha karmaşık olan) kullanmayı önerdi ve yanıtlayan kişi bir GPU duymamıştı. "Sana bir ipucu vereyim" gibi ifadeler kullanmayın. Kaba oluyorsun.
Parolalar için kullanılan @Aleksandr Dubinsky hash fonksiyonları, örneğin GPU'larda verimsiz olmaları için birden fazla tur ile birlikte olmalıdır. Bunun nedeni, sunucuların GPU'lara sahip olmama eğiliminde olmasından dolayı saldırganlara neden avantaj sağlar? Bunları GPU'ların ofc'sinde etkisiz hale getirmenin başka yolları da var.
@Selenog Birden fazla tur kullanmak GPU verimliliğini etkilemez. GPU'larda verimsiz olan karma işlevler ek bellek kullanır. Bununla birlikte, düşük bellekli, hızlı karma işlevini çoğu kez kullanmak, GPU için bir sorun teşkil etmez. GPU, tıpkı bir CPU gibi N faktörüyle yavaşlar, ancak büyük öncülüğünü korur.
@Aleksandr Dubinsky Olduğuna inanıyorum, bir GPU eşzamanlı yürütmede iyidir, ancak daha düşük saat hızı nedeniyle sıralı çalıştırmada kötüdür. Bir CPU, c'nin ters özelliklerine sahiptir. Ancak bu sadece bir örnekti, örneğin biraz dallanma ekleyin (GPU'ların dallanma tahmini yoktur veya eksiktir) ve bir GPU kullanmak gittikçe daha az çekici hale gelir, yine de 1000 faktörünü ve benzerlerini elde edebilirsiniz ancak alamazsınız. GPU odaklı karmalarla. Bununla birlikte, pek çok sitenin kötü seçilmiş hash işlevlerini kullandığı konusunda haklı olduğunuz için GPU'ları gündeme getirmek adil bir noktadır.
Pratikte, parolalar XKCD'nin inanacağınız kadar yardımcı görünmüyor: https://dl.acm.org/citation.cfm?id=2335356.2335366
Gert van den Berg
2015-10-29 20:47:53 UTC
view on stackexchange narkive permalink

Karma tabanlı bir şifre oluşturma stratejisi kullanabilirsiniz. Siteye özgü bir şifre oluşturmak için ana şifreyi site adıyla (ve karmaşıklık gereklilikleriyle) birleştirirsiniz.

Şifre yöneticisine kıyasla bazı avantajları ve dezavantajları vardır:

  • Kaybedebileceğiniz / çalınabileceğiniz ve saldırıya uğrayabileceğiniz şifrelenmiş bir veritabanı yoktur
  • Yaklaşımın farklı karmaşıklık gereksinimleri olan sitelerde çalışmasını sağlamak için kullanılan ayarları hatırlamanız gerekir
  • A md5 karmasından 8 karakter almak gibi kötü uygulama anahtar alanını önemli ölçüde azaltabilir.
  • Parolanızı değiştirmeye zorlandığınız durumlarla başa çıkmanın zor olduğu

kullanılabilecek birkaç araç:

  • normal hashing fonksiyonları (Bundan kaçınmalısınız) örneğin Burada sunulan örnek (Bu gönderi aynı zamanda yaklaşımın güçlü ve zayıf yönlerine de sahiptir)
  • süper geçiş (MD5 tabanlı MD5) gibi süreci otomatikleştiren araçlar Varsayılan olan bu ideal değildir, daha yavaş bir karma, oluşturulan bir parola + site adı bir saldırgan tarafından biliniyorsa, ana parolanızı kurtarmayı daha zor hale getirir) (Muhtemelen kaba olması zor olacak kadar uzun ve rastgele bir ana parolanız olmalıdır. force) (Ana Parola gibi diğerleri var, aşağıya bakın)

(Matty Via: Ana Parola, parola oluşturmak için diğerlerinden çok daha iyi bir yol kullanıyor gibi görünüyor daha önce bahsedilen diğerlerinin oranı)

Diğer örneklerden bazıları şunlardır: http://plevyak.com/dpg.html (Muhtemelen daha iyi bir hash temeline dayanır, ancak bcrypt, PBKDF2 veya scrypt gibi kasıtlı olarak yavaş bir şeyin yine de avantajları olacaktır)
Bu ilginç bir yaklaşım. En büyük avantajı, bir dosyayı takip etmenize (ve onu kaybetme konusunda endişelenmenize) gerek olmamasıdır. Ancak daha güvenli değil. Daha önce, bir saldırganın kırmaya başlamak için dosyayı ele geçirmesi gerekiyorsa, şimdi yalnızca şifrelerinizden birini ele geçirmesi gerekir.
Sizi sürekli yeni bir parola (dolayısıyla site adı) seçmeye zorladıkları siteler için, bunu bir düz metin dosyasına veya not defterine yazabilirsiniz. Strateji yine de çalışacaktır (ana şifre yeterince güvenliyse).
Ayrıca endişelenecek bir dosya formatı olmadığından tek bir uygulamaya bağlı değilsiniz. Hash üreteçleri, Javascript sayfaları olarak bile mevcuttur.
Bu, "passwordmanager" http://masterpasswordapp.com/ 'da kullanılan stratejidir. Parolaları orada değiştirmek kolaydır, parolanızı her değiştirmeniz gerektiğinde artırdığınız ana parolanın ve site adının yanında bir sayı kullanırlar.
@Matty: Bu başlamak için gerçekten iyi görünüyor ... (Sayaçlarda: Hala onları takip etmeniz gerekiyor ...)
@AleksandrDubinsky: Ana parola dışında parola yöneticilerinin birçok zayıf noktasından kurtulur, bunun yerine yenilerini sunar. (Asıl sorun, yüzlerce parolayı ilk etapta takip etmemiz gerektiğidir ki bu çözülmesi daha zordur, OpenID bunu biraz daha iyi hale getirdi - Facebook hesabımı kullanarak buradan giriş yapabilirim, ancak bu yine de bir sorun)
Gotcha'yı anladım. Ana parolayı değiştiremezsiniz (tüm parolaları değiştirmeden).
WBT
2015-11-02 10:13:40 UTC
view on stackexchange narkive permalink

Bir Şifre Kartı kullanın.
İşte bir örnek:

Bir şifre kartıyla, bir başlangıç ​​noktası ve nereden gideceğiniz için bir yol seçersiniz orada (yukarı, aşağı, sol, sağ, çaprazlar veya bazı kombinasyonlar) ve bunu hatırlayın. (Veya, parola başına birden çok başlangıç ​​noktası ve yol.) Yazılım parolası yöneticilerine güvenmeniz gerekmez çünkü kağıt kart parola yöneticinizdir ve alttaki karma "ana parola" dır. Yine de bazı bilgileri (başlangıç ​​noktası ve yol) yöneticiden ayrı olarak takip etmeniz gerekir, böylece cüzdanınızı kaybetseniz bile şifreler onunla birlikte gitmez.

web sitelerinden, "Yeni güvenlik ve gönül rahatlığınızın tadını çıkarın ... :-)"[Güvenlik tiyatrosu] tanımına benziyor (https://security.stackexchange.com/q/173943/149193).
Paul Walker
2015-11-01 03:48:40 UTC
view on stackexchange narkive permalink

"Off The Grid" in ( https://www.grc.com/offthegrid.htm) gereksinimlerinizi karşılayabileceğini düşünüyorum. Rastgele oluşturulmuş bir ızgaraya ve bundan şifre oluşturmak için alan adına dayalı bir yönteme dayanır. Bu sitedeki sayfalar, ızgarayı kullanmanın "standart" yolunu açıklar, ancak onu nasıl değiştirebileceğinizle ilgili öneriler de vardır; bu nedenle, birisi ızgaranızı ele geçirip "standart" yöntemi bilse bile, şifrelerinizi hesaplayabilirsiniz.

Ken Brockert
2015-10-30 19:17:15 UTC
view on stackexchange narkive permalink

Filmlerden popüler alıntılar kullanmayı seviyorum. Her kelimenin ilk harfini alıp her birini farklı bir büyük harfe, küçük harf, sembole veya sayıya dönüştürüyorum ve her birinin 4'ünü kullanarak farklı tutmaya çalışıyorum.

'What' ain Hiç duyduğum ülke yok, 'ne' dilinde İngilizce konuşuyorlar mı?

"W @ 4c!% 3 7D ^ S9Iw?" Çok kısa olup olmadığını hatırlayabildiğim küçük bir sembol ve harf dizisini etiketlemeyi seviyorum. 456 gibi vardiyalı birbirini tutuyor. "W @ 4c! 3% 7D ^ S9Iw? 5 $ ^"

Bunun alıntıyı kullanmaktan çok daha iyi olacağını hayal edemiyorum. Bir dizi eserden rastgele cümleler seçtiyseniz bu o kadar da kötü olmazdı, ancak _popular_ alıntılar kullandığınız için…
Ayrıca farklı siteler için farklı şifreleri hatırlama sorununu da çözmez ...
Bana göre biraz hafıza sarayı gibiydi. Bir odayı hatırlanacak bir şeyle ilişkilendirmek yerine, filmi ve alıntıyı bir sunucu veya web sitesiyle ilişkilendiriyorum. Daha uzun ve daha güçlü şifreleri ve ne işe yaradıklarını hatırlamama yardımcı oldu.
Bu tekniğin artık şifre kırıcılarda olduğuna inanıyorum ...
sayan
2015-11-01 09:46:14 UTC
view on stackexchange narkive permalink

Yapacağım şey, şifre için AdasfbkSDUn7657AJDadadsag gibi karmaşık bir temel dize kullanmak ve ardından şifreyi oluşturduğum web sitesi için, adını başlangıca ekleyeceğim. Şifreyi hatırlamak göz korkutucu görünüyorsa (böyle olması gerekir, bir çevrimdışı şifre yöneticisi kullanın).

- www.website.com

web_AdasfbkSDUn7657AJDadadsag
için örnek şifre


Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...