it-swarm.com.de

Ist es akzeptabel, beim Ändern eines Passworts nur eine Zahl zu erhöhen?

Hinweis: Ich frage nicht nach diesem Passwortschema ist das beste oder nicht (natürlich nicht); ich frage nach seinem theoretischen oder praktischen Sicherheit in Bezug auf das optimale Passwortschema basierend auf den Algorithmen, die üblicherweise bei der Authentifizierung und Verschlüsselung verwendet werden. Wie ich bereits in meiner Frage sagte, ist dieses Schema (wie ich es hier definiert habe) mathematisch so sicher wie das von Personen werden aufgefordert, dies zu tun (aber selten zu tun; obwohl dies hier irrelevant ist), aber ich weiß nicht, ob es seltsame Aspekte der Authentifizierung oder Verschlüsselung gibt, die die mathematische Analyse allein aufgrund der Entropie ungültig machen.

Nun, ich hatte diesen interessanten Gedanken. Da kennwortgeschützte Systeme häufig erfordern, dass Benutzer ihr Kennwort häufig ändern, erhöhen viele Benutzer lediglich einen Zähler, der an ein Präfix angehängt ist, z.

awefjio; 1

awefjio; 2

...

Ich frage mich, ob die Verwendung einer solchen Familie von Passwörtern so sicher ist wie die Auswahl eines völlig zufälligen neuen Passworts jedes Mal, solange das Präfix einheitlich zufällig ausgewählt wird und solange jedes zufällige neue Passwort plus etwa 10 Bit. = Ich habe die zusätzlichen Bits vom Zähler ignoriert, da dies angesichts der Häufigkeit, mit der Benutzer ihr Kennwort ändern müssen, innerhalb eines kleinen Fehlerbereichs zu erraten ist. Mathematisch gesehen ist dieses Passwortschema gut genug, da der Angreifer mit den zusätzlichen 10 Bits 1024 Mal so lange versuchen kann, das Passwort zu knacken, im Vergleich zu dem völlig zufälligen, vorausgesetzt, man ändert ein Passwort nicht mehr als 1024 Mal. (Hier gehe ich davon aus, dass der Angreifer irgendwie einen Hash des Passworts hat, einschließlich des benötigten Salzes.)

Jetzt kenne ich einen offensichtlichen Nachteil: Ein Angreifer, der irgendwie das aktuelle Passwort erhält, kennt alle vorherigen Passwörter. Dies scheint jedoch in den meisten praktischen Situationen, in denen der angemeldete Benutzer vollen Zugriff auf sein/hat, völlig irrelevant zu sein ihr Konto und braucht nie die alten Passwörter.

Daher meine Frage; Gibt es einen konkreten Grund, warum Benutzer dieses Schema nicht zum Ändern von Passwörtern verwenden sollten? Ich vermute, dass die positive Antwort von den beteiligten Authentifizierungs- oder Verschlüsselungsalgorithmen abhängt. In diesem Fall bin ich es Ich bin in Ordnung, wenn ich die Frage auf die am häufigsten verwendeten Algorithmen beschränke.

m klar zu sein, ich frage nur nach der Situation, in der :

  1. Benutzer haben keine andere Wahl, als ihre Kennwörter mit einer festgelegten Häufigkeit zu ändern, und haben nicht die Möglichkeit, einen Kennwortmanager zu verwenden (z. B. auf einem Arbeitsplatzcomputer). Sie müssen sich daher für ein Schema entscheiden. Bei dieser Frage geht es darum, ob ein bestimmtes Schema besser ist als ein anderes.

  2. Wählen Sie eine feste Konstante n. Ich denke an n ≥ 64 mindestens, wenn das wichtig ist.

    ein. Das erste Schema besteht darin, jedes Mal, wenn das Kennwort geändert werden muss, eine neue unabhängige Zufallszeichenfolge mit n-Bit-Entropie auszuwählen.

    b. Das zweite Schema besteht darin, eine feste Zufallszeichenfolge mit (n + 10) -Bit-Entropie auszuwählen und einen Zähler anzuhängen, der jedes Mal erhöht wird, wenn das Kennwort geändert werden muss.

Die Frage ist, ob (b) für gängige Arten von passwortgeschützten Systemen mindestens so sicher ist wie (a).

36
user21820

Wenn ein Angreifer Ihr Passwort herausgefunden hat, kann er auf das System zugreifen, bis Sie das Passwort ändern. Durch das Ändern von Kennwörtern wird häufig verhindert, dass Angreifer, die bereits über Ihr Kennwort verfügen, auf unbestimmte Zeit unerkannten Zugriff haben.

Wenn Ihr Passwort nun secret-may16 Lautet und der Angreifer beim Ändern Ihres Passworts gesperrt ist, wird er mit Sicherheit secret-june16 Als Passwort versuchen. Eine vorhersehbare Änderung des Passworts ist daher nicht sicher.

70
Sjoerd

Sie sollten dieses Schema nicht verwenden, da ein Angreifer, sobald dieses Kennwort bekannt ist, die "späteren" Kennwörter ableiten kann.

Dies kann in folgenden Situationen der Fall sein:

  • Das Passwort wird zwischen Ihnen und einigen anderen missbrauchten Personen geteilt, und eines Tages entscheiden Sie sich, ihnen nicht mehr zu vertrauen. In diesem Fall könnten sie leicht die nächsten Passwörter erraten.
  • Ein Angreifer erhält das Passwort. Sobald er es geknackt hat (was einige Zeit dauern kann), kann er die Ableitungen des Passworts erraten.

Durch die Verwendung solcher "nummerierten Passwörter" zerstören Sie den (geringen) Sicherheitsvorteil einer regelmäßigen Änderung von Passwörtern.

Verwandte Frage: Wie erhöht das Ändern Ihres Passworts alle 90 Tage die Sicherheit?

35
Lukas

Das Ändern nur eines Teils des Passworts ist sehr häufig und eine sehr schlechte Praxis.

Die Entropie ist ein Maß dafür, wie unbekannt etwas ist. Wenn Sie zum ersten Mal einen zufälligen festen Anfang oder ein ganz neues Passwort wählen, beide mit der gleichen Entropie, sind beide Alternativen gleichwertig. OK.

Wenn Sie für die Zeit, in der Sie Ihr Passwort ändern müssen, völlig sicher sind, dass kein vorheriges Passwort entdeckt wird, sind Sie auch gut. Denn etwas, das nicht bekannt ist, behält die gleiche Entropie.

Aber ... und es gibt immer ein Aber ... was ist, wenn ein vorheriges Passwort wiederhergestellt wird? Oder zwei?

Dies kann bei Sites/Systemen passieren, die frühere Kennwörter im Klartext speichern. Kann auch bei Sites/Systemen auftreten, auf denen vorherige Kennwörter als Hashes gespeichert sind.

Weil Klartext leicht zeigt, dass Ihr vorheriges Passwort IamGod_april16 war. Und jemand wird versuchen, IamGod_may16 zu verwenden ... Wenn Sie nur ein Teil auf vorhersehbare Weise ändern, wird Ihr neues Passwort leicht verfügbar.

Selbst wenn es als Hash gespeichert wurde: Es wird schwieriger, wenn es richtig gemacht wird, aber was ist, wenn jemand den Hash bremst und herausfindet, wie Ihr Passwort lautete? Er kann dann IamGod_december18 ausprobieren, und wenn Sie Ihr Schema in Zukunft nicht geändert haben ... Knall! Wurde wegen eines Lecks getroffen, das 2 Jahre zuvor passiert ist.

Es spielt keine Rolle, ob der Teil "IamGod_" zufällig ist, von Menschen gelesen werden kann oder was auch immer: Was Sie dazu bringt, ist, dass ein Teil von if einige Informationen verlieren kann: der Monat, die Zahl, der Buchstabe am Ende. .. selbst wenn Ihr Schema "IamGodh" war, könnte jemand "IamGodi", "IamGodj" und so weiter versuchen.

Der erste Teil der Antwort auf Ihre spezifische Frage, ob das (b) Schema weniger, gleich oder sicherer als (a) ist: Es ist nicht sicherer. Denn wenn Sie nur eine sich ändernde Zahl, einen sich ändernden Monat, einen sich ändernden Buchstaben verwenden ... ist es am Ende sehr einfach, neue Kombinationen auszuprobieren, sei es offline oder in einem Online-System.

Und da ist der zweite Teil: Selbst wenn Sie ein sehr gutes Schema entwickeln und der sich ändernde Teil sich in der Mitte des Passworts befindet ... was ist, wenn jemand zwei oder mehr alte Passwörter wiederherstellt? Und findet heraus, dass sie "3VQ2NMkK", "3VQ3NMkK" und "3VQ4NMkK" waren? Kannst du ein Muster sehen?

Daher können (a) und (b) sogar gleich sicher sein, wenn Ihr Schema nicht erkannt wird. Es ist jedoch eine starke Annahme, dass man ein gutes Schema entwickeln kann, daher ist es im Allgemeinen sehr sicher anzunehmen, dass (b) für jede Art von System weniger sicher ist.

Das setzt natürlich voraus, dass das System irgendwie kaputt geht: dass die Datenbank durchgesickert ist, weil jemand in eine Site eindringt oder weil einige interne Leute die Datenbank kopieren oder jemand das Sicherungsband verliert oder die Jungfrau einen Man-in-the- Mittlerer Angriff innerhalb des Unternehmens oder weil bei einem Update auf der Website das Kennwort durchgesickert ist oder weil der Heartbleed-Angriff einige Kennwörter enthüllte oder weil das Unternehmen einen alten Computer im Netzwerk verfügbar gemacht hat, oder ...

Angesichts der Tatsache, dass diese (und viele weitere) Situationen außerhalb Ihrer Kontrolle liegen, sollten Sie die sichere Seite wählen: Gehen Sie nur nicht davon aus, dass alte Passwörter nicht durchgesickert sind.

11
woliveirajr

Das Beibehalten eines bestimmten Schemas ist niemals eine gute Idee, selbst wenn Unternehmensumgebungen häufige Kennwortaktualisierungen/-änderungen erfordern. Wenn beispielsweise wie in Ihrem Beispiel jemand dieselben Grundzeichen beibehalten und das Kennwort nur durch eine einzige Ganzzahl geändert hat, kann jemand, der ein altes Kennwort lernt, das Schema verwenden, um die Änderungen vorherzusagen. Nehmen wir zum Beispiel das Tool "Crunch". Anhand des von Ihnen angegebenen Beispiels können alle möglichen Permutationen des Schemas generiert und in einem Wörterbuchangriff verwendet werden.

#!/bin/bash

crunch 9 9 0123456789 -t [email protected]@

Crunch will now generate the following amount of data: 1000 bytes
0 MB
0 GB
0 TB
0 PB
Crunch will now generate the following number of lines: 100 
awefjio00
awefjio01
awefjio02
awefjio03
awefjio04
awefjio05
awefjio06
awefjio07
awefjio08
awefjio09
awefjio10
.........

Und so weiter und so fort. Das Beibehalten eines vorhersehbaren Kennwortmusters erleichtert das Hacken in Anmeldeforen, die durch Anmeldeinformationen geschützt sind, sehr einfach. Es wird empfohlen, jedes Mal ein eindeutiges und völlig neues Passwort zu erstellen. Eine andere Bedrohung ist das Sammeln von Informationen beim Hacken. Je mehr ein Hacker über die Gewohnheiten, Vorlieben, Abneigungen, Hobbys, Familiennamen, Geburtsdaten, besonderen Lebensereignisdaten usw. eines Ziels erfährt, desto mehr muss er mit der Erstellung eines Wörterbuchs/einer Wortliste fortfahren, um ein Login zu knacken.

Um Ihre Frage zu beantworten: Nein, es ist unter keinen Umständen eine gute Praxis, einfache ganzzahlige Inkremente mit Kennwortänderungen zu verwenden.

7
Yokai

Ja, so ist es.

Das Erfordernis, dass Benutzer Kennwörter regelmäßig ändern müssen, ist ein kontraproduktives Stück Sicherheitstheater (siehe CESG-Artikel ), da Benutzer gezwungen werden, ihre Kennwörter aufzuschreiben. Wenn es einem Angreifer gelungen ist, ein Kennwort zu erhalten, hat er möglicherweise mehrere Wochen Zeit, um Hintertüren oder Slurp-Gigabyte an Daten vom System zu installieren, bevor das Kennwort das nächste Mal geändert wird.

Mithilfe eines einfachen Nummerierungsschemas können Sie ein Passwort auswählen, an das Sie sich erinnern können, ohne es aufzuschreiben. Anschließend können Sie das System so spielen, dass Sie es weiterhin verwenden können Ihr unvergessliches Passwort auf unbestimmte Zeit.

Wenn Ihr vorhandenes Passwort n Entropiebits enthält, hat es weiterhin so viel Entropie wie jedes andere n Bitentropiekennwort. Das ständige Wechseln von Passwörtern ändert daran nichts. Durch Hinzufügen einer einzelnen Ziffer am Ende werden etwa 2,3 Bit ( ln (10) Bit hinzugefügt. Aber selbst wenn Ihr Nummerierungsschema so leicht zu erraten ist, dass es keine Entropie hinzufügt, haben Sie immer noch die Bits n, mit denen Sie begonnen haben.

Wenn der verwendete Hashing-Algorithmus gut ist, wird ein Passwort a In eine scheinbar zufällige Zeichenfolge gehasht. Ein anderes Passwort b gibt eine scheinbar völlig andere Zeichenfolge an (außer im außerordentlich seltenen Fall einer Hash-Kollision). Es sollte keine Möglichkeit geben, anhand der beiden Hashes festzustellen, ob die beiden Passwörter vollständig unterschiedlich sind oder nur um ein Zeichen variieren (möglicherweise eine Ziffer am Ende). Wenn es möglich ist festzustellen, ob sich nur ein Zeichen geändert hat, ist Ihr Hashing-Algorithmus fehlerhaft und Sie benötigen einen besseren.

Das gleiche Argument gilt für jedes Verschlüsselungssystem, mit dem Kennwörter von einem Client auf einen Host übertragen werden. Wenn zwei ähnliche Passwörter ähnliche verschlüsselte Nachrichten ergeben, ist die Verschlüsselung bereits unbrauchbar.

5
Simon B

In Ihrem Fall wird die Sicherheit des Sequenzierungsschemas hauptsächlich aufgrund nicht kryptologischer Faktoren verringert. Betrachten Sie Schulter-Surfen. Wenn Sie Tag für Tag, Jahr für Jahr dasselbe Passwort eingeben, können Ihre Mitarbeiter oder andere Beobachter die Muster bemerken. Sie können dasselbe Kennwort an verschiedenen Orten mit unterschiedlichen physischen Sicherheitsstufen eingeben, z. B. in einem Kaffeehaus, in dem eine normale Kamera das Kennwort abrufen kann.

Stellen Sie sich den Fall vor, in dem der Angreifer das Wissen nicht gleichzeitig mit dem Erlernen nutzt. Ich bin vielleicht ein Mitarbeiter, der Ihr Passwort letztes Jahr versehentlich beobachtet hat, aber dieses Jahr sind wir bittere Rivalen für denselben Account. Zu wissen, dass eines Ihrer alten Passwörter qwerty1007 und ein anderes qwerty1011 war, bedeutet, dass ich mit einigen ziemlich einfachen Vermutungen erfolgreich sein werde.

Durch die Verwendung eines Musters erhöhen Sie das Verlustrisiko über einen längeren Zeitraum.

[Ihr Vorschlag ähnelt oberflächlich einem gemeinsamen Schema, das von Zwei-Faktor-Authentifizierungssystemen verwendet wird. Ein Benutzer muss ein gespeichertes Kennwort eingeben und einen Code eingeben, der auf seinem Hardwaregerät angezeigt wird.

Der Grund für die Sicherheit ist jedoch nicht, dass die Sicherheit durch die Größe des Codes aus dem Token deutlich verbessert wird. Das System begrenzt die Anzahl der falschen Kennwort- und Code-Vermutungen auf eine endliche Anzahl und sperrt dann die Benutzer-ID. ]]

4
John Deters

Ich würde die Erklärung, die Sjoerd gibt, etwas näher erläutern und sie aus einem etwas anderen Blickwinkel betrachten.

Zunächst sollte man sich fragen, welches Sicherheitsziel durch die geplante (im Gegensatz zur reaktiven) Änderung von Passwörtern erreicht wird. Warum zwingt Sie Ihre Sicherheitsabteilung oder Ihr Best-Practice-Dokument, alle paar Monate ein Kennwort zu ändern?

Es gibt mehrere Gründe:

  1. brute-Force-Angriffe zu erschweren

    Wenn jemand Zugriff auf den Hash Ihres Passworts erhält, dauert es wahrscheinlich eine ganze Weile, bis er es schafft, ihn zu brechen. Wenn die Zeit für einen Brute-Force-Angriff länger als die Gültigkeitsdauer des Kennworts ist, können sie nicht vom Erhalt des Kennworts profitieren, da Sie es bereits geändert haben

  2. Um die Zeitspanne zu begrenzen, die ein kompromittiertes Passwort nützlich sein kann

    Menschen finden nicht immer heraus, dass ihr Passwort manipuliert wurde. Durch eine regelmäßige Kennwortänderung wird sichergestellt, dass der Angreifer durch das Kennwort nicht für immer eindringen kann. (Natürlich haben Sie in einigen Fällen, wenn sie einmal angemeldet sind, immer aufgrund von Malware, apt das, was Sie haben, aber dies ist nicht immer der Fall.) Dies gilt auch für Situationen, in denen der Angreifer den Kompromiss aufgrund von nur spät erfährt einige Umstände.

  3. Um die Wiederverwendung von Passwörtern etwas einzudämmen

    Menschen verwenden ihre Passwörter häufig in mehreren Systemen (beruflich und privat) wieder. Die meisten privaten Systeme (Google Mail, die Webseite zur Registrierung von Sportzentren usw.) erzwingen keine regelmäßigen Kennwortänderungen. Daher besteht die Möglichkeit, dass Kennwortänderungen auch dann auftreten, wenn der Benutzer überall mit demselben Kennwort beginnt.

  4. Um die Hash-Angriffe zu bestehen

    Wenn ein Angreifer nur Zugriff auf den Hash Ihres Passworts erhält, kann er diesen Hash häufig zur Authentifizierung bei den Systemen verwenden, wenn er über ausreichende Kenntnisse verfügt. Durch Ändern des zugrunde liegenden Passworts wird der Hash geändert und der Angreifer erneut gestoppt.

Jetzt können wir fragen, wie sich die beiden von Ihnen vorgeschlagenen Schemata gegen die von uns skizzierten Ziele verhalten. In jedem Fall, in dem der Angreifer Zugriff auf den Klartext Ihres Passworts erhält (sicherlich 1,2), ist das erste Schema (Inkrementieren) viel schwächer als das zweite. Jeder nicht hirntote Angreifer versucht eine Inkrementierung. In der dritten Situation ist es etwas schwieriger zu beurteilen, da es davon abhängt, ob das Passwort für den externen Dienst überhaupt den Zähler enthält und wie sich die Verordnung im Allgemeinen tatsächlich auswirkt. Für das vierte Ziel entspricht die Inkrementierung weitgehend dem zweiten Schema, vorausgesetzt, die verwendete Hash-Funktion verhält sich genau genug wie ein zufälliges Oracle.

Alles in allem ist das Erhöhen des Zählers für ein Passwort sicherlich viel schwächer als die Auswahl neuer willkürlicher Passwörter, aber wie viel davon abhängt, hängt von der Art der Angriffe ab, die Sie erwarten.

3
DRF

Wenn Ihre Passwortdatenbank durchgesickert ist, kann es einige Zeit dauern, bis ein gutes Passwort geknackt ist. Zu diesem Zeitpunkt mussten Sie höchstwahrscheinlich Ihr Passwort ändern. Dieses Konzept ist ein wesentlicher Grund dafür, warum diese erzwungenen Kennwortrücksetzungen im "Sicherheitstheater" existieren.

Der Zugriff auf Ihr Konto erfolgt jedoch in der Regel mithilfe eines automatisierten Skripts. Wenn das versuchte Kennwort fehlschlägt, hat das Skript bis zur Sperrung noch einige weitere Versuche. Wenn am 12. Mai 2016 ein Kennwort wie "fredJune15" abgelehnt wurde und das Skript darüber informiert wurde, dass die Daten im Juli 2015 erfasst wurden, versucht das Skript möglicherweise fredApril15, fredApril12, fredApril16 vor der Sperrung: Sie haben das Skript angegeben Hinweise für Dinge zu versuchen.

Wenn das Skript den Zeitraum zum Zurücksetzen des Kennworts für Ihr System kennt oder erraten kann, kann es mit einer einfachen inkrementierenden Zahl erraten, wie oft die Zahl inkrementiert wurde. "Fred12" wird also nach sieben erzwungenen Zeiträumen zum Zurücksetzen des Passworts mit ziemlicher Sicherheit "fred19" sein. Die Zeiträume für das Zurücksetzen von Passwörtern betragen fast immer einen Monat, sodass das Erraten fast immer funktioniert.

Bemerkenswert ist auch: Wenn Sie dasselbe Kennwort auf mehreren Systemen verwenden, jedoch mit unterschiedlichen Nummern, weil eines mit einer anderen Rate erhöht wird oder weil Sie Ihre Konten zu einem anderen Zeitpunkt erstellt haben, sind beide Systeme gefährdet, wenn ein System gefährdet ist.

Kurz gesagt: Nein, generieren Sie jedes Mal ein neues zufälliges Passwort. Verwenden Sie einen Passwort-Manager. Wenn Sie die Zwei-Faktor-Authentifizierung verwenden können, tun Sie dies.

1
Dewi Morgan

Sie sollten ein ganz neues Passwort eingeben.

Wenn es keinen Verstoß gibt, sehe ich den Wert nicht in ständig wechselnden Passwörtern. Wenn Sie jedoch Passwörter drehen, ist dies der Schlüssel:

Sie möchten das Kennwort mithilfe eines Systems mit derselben vermutlich sicheren Einschränkung neu generieren, unter der Sie das ursprüngliche Kennwort erstellt haben. Das heißt, Das Inkrementieren einer Zahl ist NICHT akzeptabel, da Sie nur eine Änderung von einem Byte vornehmen, da Sie wahrscheinlich von einem Generator P3588swrOd4 erhalten haben.

Wenn Ihre Passwortregeln also 3 tatsächliche zufällige Wörter "BadgerYtterbiumLancet" sind, die ein neues nicht zufälliges Wort auswählen, wird Ihr Passwort "BadgerFoxSquirrel" viel erratender.

Das andere große Problem beim einfachen Inkrementieren von Passwörtern ist, dass eine Situation entsteht - sagen wir, Ihr Unternehmen tut dies seit 10 Jahren ... die Leute ändern die Passwörter jeden Monat. Sie erstellen Hashes der Passwörter, die einander gefährlich ähnlich sind. (Aus diesem Grund verwenden Sie alles, was "zufällig" ist, "wählt" Passwörter aus - die Leute verwenden normalerweise ein Passwort, eine gebräuchliche Phrase usw.) Sie möchten, dass jedes Passwort so einzigartig wie möglich ist - Sie möchten neue Passwörter behandeln Passwörter für das Gleiche wie neue Passwörter. Das heißt, Passwort1, Passwort2, 3,4,5 usw. Dies endet an einem wirklich schlechten Ort. Noch schlimmer, wenn Sie kompromittiert sind und das Problem beheben. Wenn Ihre Daten für den Cracker wertvoll sind, können Sie darauf wetten, dass sie nahezu Variationen dessen versuchen, was sie zuvor als funktionierend befunden haben.

Es sollte auch beachtet werden, dass es für Personen außerhalb Ihres Unternehmens (d. H. Entlassene/alte Mitarbeiter) unsicher ist, die Methode zur Kennwortgenerierung zu kennen. Auch dies ist der Grund, warum ich auf das 'Zufällige' zurückweise - niemand sollte wissen, wie Sie Ihre Passwortgenerierung über etwas Unbestimmtes hinaus vorhersagen können: "Sie haben 4 zufällige Wörter im Wörterbuch ausgewählt" oder "Sie haben einen starken Zufallspasswortgenerator verwendet".

1
Lilly

Wenn ich Passwörter knacke, erhalte ich Ihr neues Passwort innerhalb derselben Sekunde, wenn Sie nur inkrementieren. Dies liegt daran, dass ich angehängte und vorangestellte Passwörter vor allem anderen versuche und erst nach QWERTY-bezogenen Schemata und der grundlegenden Liste der entdeckten Passwörter, da es meine Erfahrung ist, dass wir Menschen dazu in der Lage sind.

0

Wahrscheinlich nicht die sicherste Antwort, aber ich habe kürzlich Ratschläge darüber erhalten, was für Passwörter verwendet werden soll, die sich regelmäßig ändern: Was ist Ihr Ziel oder etwas anderes, auf das Sie sich in den nächsten X Monaten freuen? Verwenden Sie das, um ein Passwort zu erstellen. Wenn Sie also vor Ablauf Ihres Passworts eine Reise nach Disney World unternehmen, können Sie beispielsweise Looking4wrd2SpaceMtn ausführen!

In X Monaten, wenn dieses Passwort abläuft, sollten Sie etwas anderes in Betracht ziehen, vielleicht ein Ziel, an dem Sie arbeiten: Wrk-out-35mincard! O.

Ihr Passwort kann nicht aus früheren Passwörtern abgeleitet werden (wenn Sie klug sind), sie haben eine anständige Länge und helfen Ihnen, sich an ein Ziel zu erinnern, an dem Sie arbeiten, oder an ein Ereignis, auf das Sie sich freuen.

Wenn der Trick versucht, sich das Passwort zu merken, und es sich häufig ändert, denke ich, dass dies keine schreckliche Option ist.

0
Paul Pehrson

Sie könnten etwas sicher sein, wenn Ihr Suffix wie ein Geburtsjahr aussieht.

Wenn ich myname1977 Verwende, besteht eine geringere, aber wahrscheinlich keine Null-Wahrscheinlichkeit, dass jemand, der dieses Passwort kennt, vermutet, dass ich es in myname1978 Geändert habe.

Aber warum das Risiko eingehen? (tun, was ich sage, nicht wie ich; ich erhöhe, sondern nur bei der Arbeit, weil dies der einzige Ort ist, an dem ich aufgefordert werde, mein Passwort zu ändern, und für mich ist es jedem im Unternehmen freigestellt, alles zu sehen Mein Arbeits-PC. Ihr Kilometerstand wird definitiv variieren.

Persönlich finde ich Edward Lear eine großartige Inspirationsquelle für Passwörter :-)

Und das einfachste und einprägsamste "Häkchen" mit mindestens 8 Zeichen, einer Zahl, einem Großbuchstaben und einem Sonderzeichen ist sicherlich cat plus one big dog AKA cat+1Dog