Meilleures pratiques de mot de passe

Compte tenu des récents événements avec un «pirate» qui a appris et réessayé les mots de passe des administrateurs de sites Web , que pouvons-nous suggérer à tout le monde concernant les meilleures pratiques en matière de mots de passe?

• utiliser des mots de passe uniques entre les sites (c'est-à-dire ne jamais réutiliser un mot de passe)
• les mots trouvés dans le dictionnaire sont à éviter
• envisager d'utiliser des mots ou des phrases d'une langue autre que l'anglais
• utilisez des phrases de passe et utilisez la première lettre de chaque mot
• l33tifying n'aide pas beaucoup

Veuillez suggérer plus!

• Utilisez des mots de passe qui ne sont pas composés de mots ou de noms courants. Les attaques par dictionnaire utilisent des dictionnaires contenant des millions de mots et sont très rapides.

• Utilisez des mots de passe longs. J'ai tendance à utiliser des phrases de passe . Je choisis une phrase, une phrase ou une rime et je trouve un moyen d'utiliser un bon nombre de caractères non alphanumériques pour que mes mots ne soient pas des mots du dictionnaire.

• N'utilisez pas le même mot de passe pour plusieurs services de connexion. Prenez le temps de trouver une formule pour choisir les mots de passe. Cela vous permet d'utiliser de nombreux mots de passe différents que, en cas d'oubli, vous pourrez peut-être recréer avec quelques essais et erreurs.

• Si vous devez, écrivez certainement un bon mot de passe sûr et long et cachez-le quelque part. C'est au moins mieux que d'utiliser un mot de passe faible et plus facile à retenir.

• Si les suggestions ci-dessus s'avèrent ingérables, utilisez un gestionnaire de mots de passe avec un long mot de passe sécurisé, puis utilisez des mots de passe de caractères aléatoires pour tout le reste. Emportez le gestionnaire de mots de passe avec vous sur une clé USB cryptée (sauvegardée bien sûr).

J'ai rencontré plusieurs problèmes avec les phrases secrètes:

• De nombreux sites ont une limite supérieure à la longueur du mot de passe - comme 20 caractères - c'est idiot, mais que pouvez-vous faire.
• D'autres sites n'autorisent pas les espaces dans les mots de passe.
• Taper des textes longs à l'aveugle est sujet aux erreurs - surtout lorsque vous n'êtes pas bon dactylographe.
• La saisie d'une phrase de passe de 50 caractères prend un peu plus de temps qu'un bon mot de passe de 15 caractères.

Ma solution à ce problème a été d'utiliser des mots de passe comme mnémonique pour le mot de passe réel. Par exemple, je pourrais choisir quelques lignes d'un grand poème de William Henry Davies (76 caractères):

Pas le temps de voir, quand les bois passent,
où les écureuils cachent leurs noix dans l'herbe.

Et je choisirais les premières lettres de chaque mot, créant le très bon mot de passe de 16 caractères suivant:

Nttswwwp,Wshtnig

L'utilisation de la poésie est particulièrement bonne, car elle est plus facile à retenir et lorsque vous êtes invité à changer le mot de passe, vous pouvez simplement choisir les quelques lignes suivantes d'un poème.

Lorsque vous dictez un régime de mot de passe à d'autres, n'exigez pas seulement qu'ils utilisent un cas unique, plus long qu'un seuil, contiennent une casse mixte, des caractères spéciaux, etc. Si vous ne le faites pas, les utilisateurs noteront les mots de passe ou trouveront d'autres moyens peu sûrs de les "mémoriser".

Si vous avez du mal à vous souvenir des mots de passe, utilisez du texte bien connu. Choisissez une phrase, utilisez la n ^e lettre de chaque mot comme mot de passe, conservez la ponctuation. (Par exemple, le mot de passe généré à partir des 1 ^ères lettres de la première phrase de cette réponse pourrait être "Iyhtrp, uswkt."). Vous pouvez le rendre plus fort en changeant certains en majuscules et en ajoutant des caractères spéciaux.

N'utilisez pas de mot de passe, c'est là que vous vous trompez en premier lieu. Utilisez soit une collection aléatoire de caractères (8 minimum) ou une phrase secrète. Vous pouvez trouver une formule pour générer une phrase secrète différente pour chaque site, par exemple ILikeStackOverflowOnions ou ILikeServerFaultOnions; cela vous protège contre les étrangers, mais pourrait toujours causer des problèmes si le site réel est piraté et que les mots de passe ne sont pas salés, ou si l'administrateur était corrompu en premier lieu.

Changez régulièrement de mot de passe. Là où je travaille, c'est un cycle de 30 jours. C'est un PITA, mais il atténue la valeur des mots de passe piratés dans une fenêtre de temps limitée. En plus d'une stratégie de mot de passe AD complexe, il doit contenir au moins 8 caractères, contenir des symboles supérieur, inférieur, numérique et.

Pour compléter, nous utilisons un service de gestion de mot de passe en libre-service. Il fournit un Windows GINA personnalisé qui fournit des fonctionnalités permettant à l'utilisateur de réinitialiser son mot de passe s'il l'oublie, ou de le déverrouiller s'il l'a raté trop souvent. L'application de gestion des mots de passe nécessite que l'utilisateur s'inscrive au service, fournisse un tas d'informations personnelles seulement qu'il saurait, qui sera ensuite utilisé comme questions lorsque l'utilisateur doit réinitialiser le mot de passe / déverrouiller son compte.

Je crois que les mots de passe doivent être générés, plutôt que pensés par l'utilisateur. Cela évite tous ces problèmes stupides avec des mots de passe faciles à deviner.

J'aime utiliser pwgen , qui génère des listes de mots de passe comme

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

mais vraiment n'importe quel programme de génération pw fera l'affaire. Un avantage de pwgen est qu'il essaie de rendre les mots de passe (quelque peu) mémorables, en incluant quelques voyelles.

Tout autre chose que (source dailywtf.com):

1. Utilisez des mots de passe forts.
2. Ne réutilisez pas les mots de passe.
3. En contrepartie de # 2, utilisez un outil comme PwdHash face à des comptes disparates écrasants.

Éloignez-vous de ces pires 500 mots de passe .

Les mots de passe longs et complexes offrent une bonne sécurité, des mots de passe essentiellement solides , mais utilisent certainement des mots de passe différents pour tous les comptes d'utilisateurs.

Utilisez un outil comme SuperGenPass pour générer des mots de passe uniques pour tous les sites Web pour lesquels vous disposez d'une connexion.

Hak5 vient de faire un épisode démontrant un outil de Remote Exploit qui prend un certain nombre de chaînes et génère un dictionnaire de toutes les combinaisons, supérieure, inférieure, orthographe de leet, etc. d'autres informations que vous connaissez sur la cible. Le dictionnaire qu'il génère peut être utilisé comme entrée pour forcer brutalement un mot de passe faible.

Moralité: évitez d'utiliser des informations personnelles dans votre mot de passe

Si vous connaissez des mots ou des phrases dans une langue autre que l'anglais , vous pouvez les utiliser dans le cadre de votre mot de passe. Par exemple, j'utilise couramment des mots japonais dans le cadre de mes mots de passe, ce qui repousse les attaques par dictionnaire tout en me permettant de m'en souvenir (par opposition aux mots de passe générés aléatoirement).

J'ai commencé à utiliser Password Safe , conçu à l'origine par Bruce Schneier, pour stocker tous les mots de passe Web. J'ai une phrase de passe très forte sur le mot de passe sécurisé, et tous les autres mots de passe sont générés automatiquement et ne sont jamais réutilisés sur les sites Web.

Le logiciel possède également des fonctionnalités telles que l'expiration des mots de passe, etc.

Je considère cela (étant donné le mot de passe sécurisé fort ) comme la meilleure approche de compromis et la plus sécurisée pour les mots de passe de sites Web.

Pour la famille et les amis, je dis généralement que c'est cool d'utiliser des choses comme les noms d'animaux domestiques et le nom de jeune fille de la mère tant que les deux choses suivantes se produisent:

• concaténer au moins deux noms (ex: nom de jeune fille de la mère + nom de l'animal)
• incorporer des majuscules et des caractères spéciaux.

Lors de l'instauration de la période d'expiration du mot de passe obligatoire, choisissez un facteur de 7 plutôt qu'un bloc de jours (par exemple 30 ou 60 jours).

Le résultat de l'expiration de 30 jours peut être que l'utilisateur doit changer son mot de passe un jour férié ou un week-end, et peut avoir une surprise lorsqu'il entre au travail le lendemain.

Si vous deviez définir l'échelle d'expiration à un facteur de 7, cela garantirait que la date de modification du mot de passe tomberait le même jour de la semaine que la modification précédente.

Si vous avez plusieurs sites pour la même base d'utilisateurs, je dois fortement suggérer une forme de connexion unique (comme Shibboleth). Lorsque les utilisateurs ont des mots de passe différents pour plusieurs sites, ils ont généralement du mal à s'en souvenir. Un ou deux mots de passe sont facilement mémorisés par la plupart des gens, trois l'utilisateur peut les écrire dans un endroit secret. S'il y en a plus de quatre, l'utilisateur peut très bien les écrire sur un post it et l'appliquer au bureau ou au moniteur.

Les mots de passe n'ont pas besoin d'être trop complexes, mais ils doivent être suffisamment complexes pour empêcher la première ou la deuxième tentative. Tant que votre système / vos sites ont une sorte de mesure de sécurité qui limite le nombre de tentatives de connexion, les mots de passe n'ont pas besoin d'être trop complexes.

Par exemple, si vos systèmes ont une limite de 3 tentatives d'ouverture de session par heure, alors un mot de passe de base tel que "Cindy65" est plus que suffisamment complexe. Bien que le pirate puisse savoir que le vrai nom de l'utilisateur est Cindy, il ne saurait jamais qu'elle est née en 1965. Ses tentatives seraient naturellement "cindy", " l astname", "Cindy", L astname ", bien que par cela fois qu'il est bloqué.

Bien que cela puisse être un cas simpliste et un simple mot de passe, c'est tout ce qui est vraiment nécessaire si vous, l'administrateur, avez tout configuré correctement côté serveur. Nous pouvons également demander des mots de passe légèrement plus complexes et faciles à retenir, comme une combinaison aléatoire de clés. Les symboles et les majuscules sont également très utiles.

Nous devons simplement nous rappeler que plus nous rendons la tâche difficile à l'utilisateur, plus il est probable qu'il l'écrira en public.

Une chose que j'aime toujours demander à mes utilisateurs est d'écrire leur nom concaténé avec le nom d'un médicament sur lequel ils se trouvent, la nourriture préférée, le nom du meilleur ami, etc. Cette combinaison de mots du dictionnaire, bien que simpliste, est presque impossible à déchiffrer.

Exemples: CindyProzac, WilliamCodene, JoePetertherabbit

Bonne chance.

Ne l'écrivez pas. Et si vous le faites, mettez-le dans un coffre-fort. Et n'écrivez pas ce combo non plus.

Si les exigences de sécurité sont vraiment strictes, j'essaierais d'éviter d'utiliser des mots de passe dans la mesure du possible. Pensez à utiliser l'authentification basée sur la clé ssh, les certificats clients sur les cartes à puce, etc. Il faut beaucoup de compétences et de budget pour que cela fonctionne correctement, donc une évaluation des risques appropriée doit être effectuée.

Si vous décidez de vous en tenir aux mots de passe, je suivrais les conseils de capar et de lexu.

Les restrictions sur la longueur du mot de passe sont idiotes. (Restreindre les mots de passe à 6 à 8 caractères est courant, mais n'a aucun sens sur les systèmes modernes).

Le fait d'exiger de fréquents changements de mot de passe encourage les utilisateurs à noter leurs mots de passe et à en choisir des plus simples. Il s'agit d'un compromis entre les menaces et vous devez déterminer quelle menace est la plus pertinente.

Exiger qu'un utilisateur contienne des "caractères spéciaux" dans un mot de passe de 8 caractères exactement, au lieu d'autoriser un mot de passe de 30 caractères composé uniquement de lettres, n'a aucun sens.

Ne donnez pas aux utilisateurs un mot de passe évident et demandez-leur de le changer. Ils ne le feront pas. Soit exiger qu'ils le changent lors de la première connexion, sélectionnez un mot de passe fort pour eux sachant qu'ils vont l'écrire, ou faites-leur en choisir un solide devant vous.

Nous formons nos utilisateurs à choisir des mots de passe et à utiliser la première lettre de chaque mot.
WTOUTPPAUTFLOEW - ajoutez un zéro ou 3 (leetifying), faites varier le verrouillage des majuscules plusieurs fois et vous avez quelque chose qu'aucun dictionnaire ne sélectionnera jamais, mais il est toujours facile de s'en souvenir.

Cependant - assurez-vous simplement de ne pas changer leur mot de passe en une phrase de passe basée sur le slogan / la déclaration de vision de l'entreprise, etc.

Pour éviter ce qui est arrivé à cet administrateur de site Web et en supposant que vous ayez accès à un shell Unix ou à Cygwin, vous pouvez utiliser

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

et vérifiez cette valeur par rapport à une base de données MD5, comme http://gdataonline.com/ . Assurez-vous qu'il n'y figure pas.

En outre, voici un exemple d'un dictionnaire MD5 plus brut que j'ai obtenu en recherchant simplement cette valeur de hachage (avertissement: gros fichier): https://secure.sensepost.com/sp-hash/jebwy