パスワードのベストプラクティス

「ハッカー」がWebサイト管理者からパスワードを学習して再試行する最近のイベントを考えると、パスワードに関してはベストプラクティスについて誰に何を提案できますか？

• サイト間で一意のパスワードを使用する（つまり、パスワードを再使用しない）
• 辞書にある単語は避けてください
• 英語以外の言語の単語やフレーズの使用を検討する
• パスフレーズを使用し、各単語の最初の文字を使用する
• l33tifyingはあまり役に立ちません

もっと提案してください！

• 一般的な単語や名前で構成されていないパスワードを使用します。辞書攻撃は数百万語の辞書を使用し、非常に高速です。

• 長いパスワードを使用します。パスフレーズを使う傾向があります。フレーズ、文、または韻を選んで、かなりの数の英数字以外の文字を使用して、私の単語が辞書の単語ではないようにする方法を見つけます。

• 複数のログインサービスに同じパスワードを使用しないでください。パスフレーズを選択するための式を考え出すのに時間をかけてください。これにより、多くの異なるパスワードを使用できるようになります。忘れてしまった場合、試行錯誤を繰り返して再作成できます。

• どうしても必要な場合は、適切で長く安全なパスワードを書き留めて、どこかに隠してください。少なくとも覚えやすい脆弱なパスワードを使用するよりは、それが優れています。

• 上記の提案が管理不能であることが判明した場合は、長い安全なパスワードを備えたパスワードマネージャーを使用してから、その他すべてにランダムな文字パスワードを使用します。暗号化されたUSBフラッシュドライブでパスワードマネージャーを携帯します（もちろんバックアップされます）。

パスフレーズに関するいくつかの問題を発見しました。

• 多くのサイトでは、パスワードの長さに20文字などの上限があります-これはばかげていますが、何ができますか。
• 他のサイトでは、パスワードにスペースを使用できません。
• 長いテキストをやみくもに入力すると、エラーが発生しやすくなります-特にタッチタイピストが苦手な場合。
• 50文字のパスフレーズを入力すると、15文字の適切なパスワードよりもかなり長い時間がかかります。

この問題に対する私の解決策は、実際のパスワードのニーモニックとしてパスフレーズを使用することです。たとえば、ウィリアムヘンリーデイヴィス（76文字）からいくつかの素晴らしい詩の行を選ぶことができます。

森の中を通過するとき、
リスが草の中にナッツを隠す場所を見る時間はありません。

そして、各単語の最初の文字を選択して、次の非常に良い16文字のパスワードを作成します。

Nttswwwp,Wshtnig

詩を使用すると特に便利です。覚えやすく、パスワードを変更するように求められたときに、詩の次の数行を選択できるからです。

パスワード体制を他の人に指示するとき、彼らはユニークで、しきい値よりも長く、大文字小文字混合、特殊文字などを使用することを要求するだけでなく、それらのパスワードを構築/記憶するためのパスワードマネージャーまたはスキームについてユーザーを教育します。そうしないと、ユーザーはパスワードを書き留めるか、パスワードを「記憶」する他の安全でない方法を見つけます。

パスワードを思い出せない場合は、よく知られたテキストを使用してください。文を選び、各単語のn ^番目の文字をパスワードとして使用し、句読点を保持します。（1から生成されたパスワードなど^番目のこの回答の最初の文の文字は「Iyhtrp、uswkt。」ことができます）。一部を大文字に変更し、いくつかの特殊文字を追加することで、より強力にすることができます。

パスワードを使用しないでください。そもそも間違っているのです。ランダムな文字のコレクション（8つ以上）またはパスフレーズを使用します。ILikeStackOverflowOnionsやILikeServerFaultOnionsなど、サイトごとに異なるパスフレーズを生成するための式を考え出すことができます。これにより、部外者に対して安全になりますが、実際のサイトがハッキングされパスワードがソルトされていない場合や、そもそも管理者が破損している場合でも問題が発生する可能性があります。

パスワードを定期的に変更してください。私が働いている場所では、30日間のサイクルです。これはPITAですが、ハッキングされたパスワードの価値を制限された時間枠に制限します。それに加えて、複雑なADパスワードポリシーでは、8文字以上で、大文字、小文字、数字、記号を含める必要があることが規定されています。

補足として、セルフサービスのパスワードマネージャーサービスを使用します。これは、ユーザーがパスワードを忘れた場合にパスワードをリセットしたり、何度も間違えた場合にロックを解除したりできる機能を提供するカスタムWindows GINAを提供します。パスワードマネージャーアプリでは、ユーザーがサービスに登録する必要があり、ユーザーがパスワードをリセットする/アカウントのロックを解除する必要があるときに後で質問として使用される個人情報のみを提供します。

ユーザーが考えるのではなく、パスワードを生成する必要があると思います。これにより、パスワードを推測しやすいこれらの愚かな問題をすべて回避できます。

私は次のようなパスワードリストを生成するpwgenを使用したい

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

しかし、実際にはどんなpw生成プログラムでも実行できます。pwgenの利点の1つは、母音を含めることで、パスワードを（ある程度）覚えやすいものにしようとすることです。

（source dailywtf.comのソース）とは異なるもの：

1. 強力なパスワードを使用してください。
2. パスワードを再利用しないでください。
3. ＃2を考慮して、圧倒的な異種アカウントに直面してPwdHashのようなツールを使用します。

これらのトップ500の最悪のパスワードは避けてください。

長くて複雑なパスワードは、基本的に強力なパスワードである優れたセキュリティを提供しますが、すべてのユーザーアカウントに必ず異なるパスワードを使用します。

SuperGenPassなどのツールを使用して、ログインしているWebサイトの一意のパスワードを生成します。

Hak5は、リモートエクスプロイトのツールをデモンストレーションするエピソードを実行しました。このツールは、多数の文字列を取得し、すべての組み合わせ、上、下、リートスペルなどの辞書を生成します。ターゲットについて知っているその他の情報。生成する辞書は、弱いパスワードをブルートフォースするための入力として使用できます。

道徳：パスワードに個人情報を使用しない

英語以外の言語の単語やフレーズを知っている場合は、それらをパスワードの一部として使用できます。たとえば、私は通常、辞書攻撃を防ぐパスワードの一部として日本語の単語を使用しますが、ランダムに生成されたパスワードとは対照的に、それらを覚えることができます。

私は、元々Bruce Schneierによって設計されたWebパスワードを保存するためのPassword Safeを使い始めました。パスワードセーフには非常に強力なパスフレーズがあり、他のすべてのパスワードは自動生成され、Webサイト間で再利用されることはありません。

ソフトウェアには、パスワードの期限切れなどの機能もあります。

これは（強力で安全なパスワードが与えられた場合）Webサイトのパスワードに対する最良のトレードオフで最も安全なアプローチであると考えています。

家族や友人にとって、私は通常、次の2つのことが起こる限り、ペットの名前や母親の旧姓などのようなものを使用するのはクールだと言います。

• 少なくとも2つの名前を連結します（例：母親の旧姓+ペットの名前）
• 大文字と特殊文字を組み込みます。

必須のパスワード有効期限を設定するときは、1日のブロック（30または60日など）ではなく、7の係数を選択します。

30日間の有効期限の結果、ユーザーは休日や週末にパスワードを変更する必要があり、翌日仕事に来たときに驚きを感じるかもしれません。

有効期限のスケールを7倍に設定した場合、これにより、パスワードの変更日は前の変更と同じ曜日になります。

同じユーザーベースに複数のサイトがある場合は、何らかの形のシングルサインオン（Shibbolethなど）を強く提案する必要があります。ユーザーが複数のサイトで異なるパスワードを使用している場合、それらをすべて覚えるのに苦労する傾向があります。ほとんどの人は1つまたは2つのパスワードを簡単に覚えることができ、3つは秘密の場所に書き留めることができます。4つ以上の場合、ユーザーはメモに投稿してそれらをすべて書き留め、デスクまたはモニターに適用できます。

パスワードは過度に複雑である必要はありませんが、1回目または2回目の試行を防ぐために十分に複雑である必要があります。システム/サイトに、ログイン試行回数を制限する何らかのセキュリティ対策がある限り、パスワードを過度に複雑にする必要はありません。

たとえば、システムで1時間あたり3回のログオン試行の制限がある場合、「Cindy65」などの基本パスワードは十分に複雑です。ハッカーがユーザーの本当の名前はシンディであることを知っているかもしれないが、彼は本当に彼女が自然に「シンディ」、「だろう1965年の彼の試みで生まれたことを知っていることはないリットルの astname」、「シンディ」、Lのこのによってものの、astname」彼がブロックされている時間。

これは単純なケースで単純なパスワードかもしれませんが、管理者がすべてのサーバー側を正しく設定している場合、本当に必要なのはそれだけです。また、キーのランダムな組み合わせなど、覚えやすい少し複雑なパスワードを要求することもできます。記号と大文字も大いに役立ちます。

覚えておく必要があるのは、ユーザーに対してそれを厳しくすればするほど、彼らが公の場でそれを書き留める可能性が高くなるということです。

私がいつもユーザーにお願いしたいことの1つは、服用している薬の名前、好きな食べ物、親友の名前などと連結した名前を書くことです。

例：CindyProzac、WilliamCodene、JoePetertherabbit

がんばろう。

書き留めないでください。もしそうなら、それを安全な場所に置いてください。そして、そのコンボも書き留めないでください。

セキュリティ要件が非常に厳しい場合は、パスワードの使用を可能な限り避けようとします。sshキーベースの認証、スマートカード上のクライアント証明書などの使用を検討してください。ただし、適切に機能させるには多くのスキルと予算が必要なので、適切なリスク評価を行う必要があります。

パスワードを使用することにした場合、caparとlexuのアドバイスに従います。

パスワードの長さの制限はばかげています。（パスワードを6〜8文字に制限することは一般的ですが、最新のシステムでは意味がありません）。

頻繁にパスワードを変更する必要があるため、ユーザーはパスワードを書き留めて、より簡単なパスワードを選択するようになります。これは脅威のトレードオフであり、どの脅威がより関連性があるかを考慮する必要があります。

文字のみで構成される30文字のパスワードを許可する代わりに、正確に8文字のパスワードに「特殊文字」を含めるようにユーザーに要求することは意味がありません。

ユーザーに明白なパスワードを与えたり、変更を求めたりしないでください。彼らはしません。最初のログインでパスワードを変更することを要求するか、書き留めることを知っているために強力なパスワードを選択するか、目の前で強力なパスワードを選択するようにします。

パスフレーズを選択し、各単語の最初の文字を使用するようにユーザーをトレーニングします。
WTOUTPPAUTFLOEW-ゼロまたは3（リーティファイ）を追加し、capslockを2、3回変更すると、辞書にないものがありますが、覚えやすくなっています。

ただし、会社のスローガン/ビジョンステートメントなどに基づいてパスワードをパスフレーズに変更しないようにしてください。

そのWebサイト管理者に何が起きたのかを防ぎ、UnixシェルまたはCygwinにアクセスできると仮定すると、次を使用できます。

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

http://gdataonline.com/のようなMD5データベースに対してその値を確認します。そこに表示されていないことを確認してください。

また、このハッシュ値（警告：大きなファイル）を単純にグーグルで検索して得た、より生のMD5辞書の例を次に示します。https : //secure.sensepost.com/sp-hash/jebwy