Mejores prácticas de contraseña

Dados los eventos recientes con un 'pirata informático' que aprende y vuelve a intentar contraseñas de los administradores del sitio web , ¿qué podemos sugerir a todos sobre las mejores prácticas cuando se trata de contraseñas?

• use contraseñas únicas entre sitios (es decir, nunca reutilice una contraseña)
• las palabras encontradas en el diccionario deben ser evitadas
• considere usar palabras o frases de un idioma que no sea inglés
• use frases de paso y use la primera letra de cada palabra
• l33tificar no ayuda mucho

¡Por favor sugiera más!

• Use contraseñas que no estén compuestas de palabras o nombres comunes. Los ataques de diccionario usan diccionarios con millones de palabras y son muy rápidos.

• Usa contraseñas largas. Tiendo a usar frases de paso . Elijo una frase, oración o rima y encuentro alguna manera de usar un número razonable de caracteres no alfanuméricos para que mis palabras no sean del diccionario.

• No use la misma contraseña para múltiples servicios de inicio de sesión. Tómese un tiempo para encontrar una fórmula para elegir frases de contraseña. Esto le permite usar muchas contraseñas diferentes que, si se olvidan, puede volver a crear con alguna prueba y error.

• Si es necesario, escriba una contraseña buena, larga y segura y escóndela en algún lugar. Eso al menos es mejor que usar una contraseña débil que sea más fácil de recordar.

• Si las sugerencias anteriores resultan inmanejables, use un administrador de contraseñas con una contraseña segura larga y luego use contraseñas de caracteres aleatorios para todo lo demás. Lleve consigo el administrador de contraseñas en una unidad flash USB encriptada (respaldada, por supuesto).

He encontrado varios problemas con frases de contraseña:

• Muchos sitios tienen un límite superior para la longitud de la contraseña, como 20 caracteres, es una tontería, pero ¿qué puede hacer?
• Otros sitios no permiten espacios en las contraseñas.
• Escribir textos largos a ciegas es propenso a errores, especialmente cuando no eres un buen mecanógrafo.
• Escribir una frase de contraseña de 50 caracteres lleva bastante más tiempo que una buena contraseña de 15 caracteres.

Mi solución para este problema ha sido usar frases de contraseña como mnemotécnicas para la contraseña real. Por ejemplo, podría elegir algunas líneas de un gran poema de William Henry Davies (76 caracteres):

No hay tiempo para ver, cuando pasamos bosques,
donde las ardillas esconden sus nueces en la hierba.

Y elegiría las primeras letras de cada palabra, creando la siguiente contraseña de 16 caracteres bastante buena:

Nttswwwp,Wshtnig

Usar poesía es especialmente bueno, porque es más fácil de recordar y cuando se le pide que cambie la contraseña, puede elegir las siguientes líneas de un poema.

Al dictar un régimen de contraseña para otros, no solo requiere que usen un único, más largo que un umbral, contengan mayúsculas y minúsculas, caracteres especiales, etc., sino que también eduquen al usuario sobre los administradores o esquemas de contraseñas para construir / recordar esas contraseñas. Si no lo hace, los usuarios escribirán las contraseñas o encontrarán otras formas inseguras de "recordarlas".

Si tiene problemas para recordar contraseñas, use un texto bien conocido. Elija una oración, use la ^enésima letra de cada palabra como contraseña, mantenga la puntuación. (por ejemplo, la contraseña generada a partir de la ^primera letra de la primera oración de esta respuesta podría ser "Iyhtrp, uswkt"). Puede hacerlo más fuerte cambiando algunos a mayúsculas y agregando algunos caracteres especiales.

No uses una contraseña, ahí es donde vas a equivocarte en primer lugar. Use una colección aleatoria de caracteres (8 mínimo) o una frase de contraseña. Puede encontrar una fórmula para generar una frase de contraseña diferente para cada sitio, por ejemplo, ILikeStackOverflowOnions o ILikeServerFaultOnions; esto lo mantiene a salvo de personas externas, sin embargo, podría causar problemas si el sitio real es pirateado y las contraseñas no son saladas, o si el administrador estaba corrupto en primer lugar.

Cambia tu contraseña regularmente. Donde trabajo, es un ciclo de 30 días. Es un PITA, pero mitiga el valor de las contraseñas pirateadas en un período de tiempo limitado. Eso, más una política de contraseña de AD compleja dicta que debe tener al menos 8 caracteres, contener mayúsculas, minúsculas, números y símbolos.

Para complementar, utilizamos un servicio de administrador de contraseñas de autoservicio. Proporciona un Windows GINA personalizado que proporciona funcionalidad para permitir al usuario restablecer su contraseña si la olvida, o desbloquearla si la engañó demasiadas veces. La aplicación de administrador de contraseñas requiere que el usuario se inscriba en el servicio, proporcione un montón de información personal que solo ellos sabrían que luego se usará como preguntas cuando el usuario necesite restablecer la contraseña / desbloquear su cuenta.

Creo que las contraseñas deberían generarse, en lugar de ser pensadas por el usuario. Esto evita todos esos problemas tontos con contraseñas fáciles de adivinar.

Me gusta usar pwgen , que genera listas de contraseñas como

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

pero realmente cualquier programa de generación de pw servirá. Una ventaja de pwgen es que intenta hacer las contraseñas (algo) memorablemente, incluyendo algunas vocales.

Algo diferente de (fuente dailywtf.com):

1. Usa contraseñas seguras.
2. No reutilices las contraseñas.
3. En consideración del # 2, use una herramienta como PwdHash frente a abrumadoras cuentas dispares.

Manténgase alejado de estas 500 peores contraseñas .

Las contraseñas largas y complejas ofrecen una buena seguridad, básicamente contraseñas seguras , pero definitivamente usan contraseñas diferentes para todas las cuentas de usuario.

Use una herramienta como SuperGenPass para generar contraseñas únicas para cualquier sitio web para el que tenga un inicio de sesión.

Hak5 acaba de hacer un episodio que muestra una herramienta de Remote Exploit que toma una serie de cadenas y genera un diccionario de todas las combinaciones, mayúsculas, minúsculas, ortografía leet, etc. Así que le da información como el nombre del objetivo, los nombres de los niños, las fechas de nacimiento o otra información que conozca sobre el objetivo. El diccionario que genera se puede usar como entrada para forzar una contraseña débil.

Moraleja: evite usar información personal en su contraseña

Si conoce palabras o frases en un idioma que no sea inglés , puede usarlas como parte de su contraseña. Por ejemplo, comúnmente uso palabras japonesas como parte de mis contraseñas, lo que evita los ataques del diccionario pero me permite recordarlas (a diferencia de las contraseñas generadas al azar).

Comencé a usar Password Safe , que fue diseñado originalmente por Bruce Schneier, para almacenar contraseñas web. Tengo una frase de contraseña muy segura en la contraseña segura, y todas las demás contraseñas se generan automáticamente y nunca se reutilizan en otros sitios web.

El software también tiene características como contraseñas que caducan y similares.

Considero que este (dada la fuerte contraseña segura) para ser el mejor compromiso y el enfoque más segura de contraseñas de sitios web.

Para la familia y los amigos, por lo general, digo que es genial usar cosas como nombres de mascotas y nombres de soltera de madres, siempre que ocurran las siguientes dos cosas:

• concatenar al menos dos nombres (ej .: nombre de soltera de la madre + nombre de la mascota)
• incorporar mayúsculas y caracteres especiales.

Al instituir el período de vencimiento obligatorio de la contraseña, elija un factor de 7, en lugar de un bloque de días (por ejemplo, 30 o 60 días).

El resultado de la expiración de 30 días puede ser que el usuario deba cambiar su contraseña en un feriado o fin de semana, y puede tener una sorpresa cuando entre al trabajo al día siguiente.

Si estableciera la escala de caducidad en un factor de 7, esto aseguraría que la fecha de cambio de contraseña caería el mismo día de la semana que el cambio anterior.

Si tiene varios sitios para la misma base de usuarios, entonces debo sugerir alguna forma de inicio de sesión único (como Shibboleth). Cuando los usuarios tienen diferentes contraseñas para sitios múltiples, tienden a tener problemas para recordarlos a todos. La mayoría de la gente recuerda fácilmente una o dos contraseñas, tres el usuario puede escribirlas en una ubicación secreta. Si hay más de cuatro, el usuario puede escribirlos en una nota y aplicarlo al escritorio o al monitor.

Las contraseñas no necesitan ser demasiado complejas, aunque deben ser lo suficientemente complejas para evitar el primer o segundo intento. Mientras su sistema / sitios tengan algún tipo de medida de seguridad que limite el número de intentos de inicio de sesión, las contraseñas no necesitan ser demasiado complejas.

Como ejemplo, si sus sistemas tienen un límite de 3 intentos de inicio de sesión por hora, entonces una contraseña básica como "Cindy65" es más que suficientemente compleja. Si bien el hacker puede saber que el nombre real de los usuarios es Cindy, realmente nunca sabría que ella nació en 1965. Sus intentos serían naturalmente "cindy", " l astname", "Cindy", L astname ", aunque por esto tiempo que está bloqueado.

Si bien este puede ser un caso simplista y una contraseña simple, es todo lo que realmente se necesita si el administrador ha configurado todo el lado del servidor correcto. También podemos pedir contraseñas un poco más complejas que sean fáciles de recordar, como una combinación aleatoria de teclas. Los símbolos y las letras mayúsculas también ayudan mucho.

Solo tenemos que recordar que cuanto más difícil sea para el usuario, más probable es que lo escriba en público.

Una cosa que siempre me gusta pedirles a mis usuarios que hagan es escribir su nombre concatenado con el nombre de un medicamento que están tomando, su comida favorita, el nombre de su mejor amigo, etc. Estas combinaciones de palabras del diccionario, aunque simplistas, son casi imposibles de descifrar.

Ejemplos: CindyProzac, WilliamCodene, JoePetertherabbit

Buena suerte.

No lo escribas. Y si lo haces, ponlo en una caja fuerte. Y tampoco escriba ese combo.

Si los requisitos de seguridad son realmente estrictos, trataría de evitar el uso de contraseñas siempre que sea posible. Piense usando la autenticación basada en claves ssh, certificados de clientes en tarjetas inteligentes, etc. Sin embargo, se necesita mucha habilidad y presupuesto para que funcione correctamente, por lo que se debe realizar una evaluación de riesgos adecuada.

Si decides quedarte con las contraseñas, seguiría los consejos de capar y lexu.

Las restricciones en la longitud de la contraseña son tontas. (Restringir las contraseñas entre 6 y 8 caracteres es común, pero no tiene sentido en los sistemas modernos).

Requerir cambios frecuentes de contraseña alienta a los usuarios a escribir sus contraseñas y elegir las más simples. Esta es una compensación de amenazas, y debe considerar qué amenaza es más relevante.

Requerir que un usuario contenga "caracteres especiales" en una contraseña exacta de 8 caracteres, en lugar de permitir una contraseña de 30 caracteres que conste solo de letras, no tiene sentido.

No les dé a los usuarios una contraseña obvia y pídales que la cambien. No lo harán. Exija que lo cambien en el primer inicio de sesión, seleccione una contraseña segura para ellos sabiendo que la escribirán o haga que seleccionen una contraseña segura frente a usted.

Capacitamos a nuestros usuarios para elegir frases de contraseña y usar la primera letra de cada palabra.
WTOUTPPAUTFLOEW: agregue un cero o 3 (leetificante), varíe el bloqueo de mayúsculas un par de veces y obtendrá algo que ningún diccionario seleccionará pero que aún es fácil de recordar.

sin embargo, solo asegúrese de no cambiar su contraseña a una frase de contraseña basada en el eslogan / declaración de visión de la compañía, etc.

Para ayudar a prevenir lo que le sucedió al administrador de ese sitio web, y suponiendo que tenga acceso a un shell de Unix o Cygwin, puede usar

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

y verifique ese valor en una base de datos MD5, como http://gdataonline.com/ . Asegúrate de que no aparezca allí.

Además, aquí hay un ejemplo de un diccionario MD5 más crudo que obtuve simplemente buscando en Google ese valor hash (advertencia: archivo grande): https://secure.sensepost.com/sp-hash/jebwy