it-swarm.com.de

Was sind gute Voraussetzungen für ein Passwort

Ich erstelle eine Website und entscheide mich für die Passwortrichtlinie. Was macht ein gutes Passwort aus? Ich habe wirklich keine Ahnung. Ich denke, Passwörter sollten mindestens 6 Zeichen lang sein.

BEARBEITEN: Gibt es Empfehlungen, wie "komplex" das Passwort sein sollte? Zum Beispiel 2 Ziffern 2 Grammatikzeichen benötigen und der Rest des Passworts kann alles sein?

20
Celeritas

So zitieren Sie die Best Practices von OWASP:

Kennwortlänge Die Kennwortlänge berücksichtigt die minimale und maximale Länge der Zeichen, aus denen das Kennwort Ihrer Benutzer besteht. Um das Ändern dieser Länge zu vereinfachen, kann die Implementierung möglicherweise mithilfe einer Eigenschaftendatei oder einer XML-Konfigurationsdatei konfiguriert werden.

Mindestlänge. Passwörter sollten mindestens acht (8) Zeichen lang sein. Die Kombination dieser Länge mit Komplexität macht es schwierig, ein Passwort zu erraten und/oder brutal zu erzwingen.

In Ergänzung:

Kennwortkomplexität Kennwortzeichen sollten eine Kombination aus alphanumerischen Zeichen sein. Alphanumerische Zeichen bestehen aus Buchstaben, Zahlen, Satzzeichen, mathematischen und anderen herkömmlichen Symbolen. In der folgenden Implementierung finden Sie die genauen Zeichen, auf die verwiesen wird. Behalten Sie für die Funktion zum Ändern von Kennwörtern nach Möglichkeit einen Verlauf der verwendeten alten Kennwort-Hashes bei. Sie sollten die tatsächlichen Kennwörter nicht speichern, um sie vor brutalem Erzwingen zu schützen, wenn die Datenbankdatei kompromittiert wird. Auf diese Weise kann der Benutzer nicht zu einem Kennwort wechseln, das vor einigen Monaten verwendet wurde.

Ebenso wichtig ist, wie das Passwort gespeichert wird. OWASP hat auch eine Reihe von Empfehlungen zum sicheren Speichern von Passwort-Hashes. Für weitere Informationen lesen Sie hier

OWASP hat viele gute Empfehlungen zum Umgang mit Passwörtern und Formularen zum Anmelden/Zurücksetzen von Passwörtern. Ich rate Ihnen dringend, diese durchzulesen und so viel wie möglich zu lernen.

Ich hoffe, das hilft!

Quelle: https://www.owasp.org/index.php/Password_length_%26_complexity#Best_practices

13
NULLZ

Bruce Schneier hat ein netter Aufsatz über das Thema geschrieben, ich schlage vor, einen Blick darauf zu werfen. In einer Nussschale:

  • Die meisten Benutzer tendieren dazu, ähnliche Muster für ihre Passwörter zu verwenden, und es gibt Tools , die sie ziemlich gut erraten können (bis zu 65% Erfolgsquote).

    • Dieses Muster, wie hier satirisiert , besteht aus der Verwendung eines Wörterbuchworts (allgemein oder nicht) mit einigen Buchstaben, die nach allgemeinen Regeln ersetzt werden (z. B. 4 für A), gefolgt von einem einfachen Zusatz (normalerweise numerisch) (oder seltener vorangestellt).

    • Die "Gefahr" solcher Passwörter besteht darin, dass sie eine Illusion von Komplexität und damit Sicherheit bieten, während sie tatsächlich relativ leicht zu knacken sind (unter der Annahme eines Offline-Angreifers).

  • Passwörter, die biografische Daten enthalten (wie Namen, Adressen, Postleitzahlen), sind wesentlich einfacher zu knacken, daher sollten Benutzer davon abgehalten werden, sie zu verwenden.

  • Sehr kurze Passwörter (4 Zeichen oder weniger) sind ebenfalls anfällig für umfassende Suchanfragen.

  • Ein gutes Passwort sollte daher eine angemessene Länge haben (8 Zeichen, wie von OWASP empfohlen , könnte in Ordnung sein, aber im Prinzip gilt: Je länger, desto besser) und nicht folgen ein leicht erkennbares Muster.

    • Alternativ könnte es einem Muster folgen, das jedoch nicht einfach repliziert werden kann. Ein Beispiel wäre, in einem Satz zu denken und aus den ersten Buchstaben jedes Wortes in diesem Satz ein Passwort zu erstellen.

    • Eine andere Option (auch im Aufsatz vorgeschlagen, obwohl ich persönlich nicht damit einverstanden bin) besteht darin, das Affix (die numerische Sequenz) in die Mitte der Wurzel (das Wort) zu setzen oder zwei Wörter zu verwenden, die mit dem Affix verbunden sind.

Das Wichtigste ist meiner Meinung nach, dass es keine "maximale Passwortlänge" gibt oder, falls dies unvermeidbar ist, dieses Maximum auf einem sehr hohen Wert (z. B. 64 Zeichen) belässt. Da Sie das Kennwort selbst nicht speichern, sondern einen sicheren Hash davon speichern, sollte sich die Länge nicht auf Ihr Back-End-Design auswirken.

(Versuchen Sie auch nicht, zu viel Kennwortkomplexität zu "erzwingen", da Ihre Benutzer sonst aktiv gegen Sie kämpfen - indem Sie beispielsweise ihre Kennwörter aufschreiben.)

13
mgibsonbr

Ein Passwort ist nur so stark wie zufällig. Sie können die Zufälligkeit eines von einem Benutzer in seinem Gehirn erfundenen Passworts nicht testen, da die Zufälligkeit eine Eigenschaft des Generierungsprozesses und nicht des Ergebnisses ist. Auf Ihrer Website wird nur das Ergebnis angezeigt.

Sie können jedoch zu kurze Kennwörter ausschließen, da kurze Kennwörter einer sehr primitiven, umfassenden Suche zugänglich sind. Dies bedeutet, dass Sie alle Buchstabenkombinationen bis zu einer bestimmten Länge ausprobieren müssen. Das Hauptrisiko, das Sie vermeiden müssen, besteht darin, Benutzer zu verärgern : Passwörter sind nur so stark, wie der Benutzer dies wünscht. Daher müssen Sie ihn zu einem freiwilligen Mitwirkenden machen die Site-Richtlinie. Der Benutzer selbst ist nicht sehr an der Sicherheit der Website interessiert. Er gibt das Passwort ein, weil er muss (die Site erzwingt eine Passworteingabe), sieht das Passwort jedoch als Hindernis: Er ist nicht zur Site gekommen, um ein Passwort einzugeben, sondern um auf die Seiten der Site zuzugreifen.

Dies führt zu folgenden Empfehlungen:

  • Erzwinge ein minimale Passwortlänge von 8 Zeichen. Nicht viel mehr als das; Aber die Leute sind es gewohnt, 8-stellige Passwörter einzugeben. Wenn Sie mehr verlangen, protestieren Benutzer (und sie protestieren, indem sie "witzige" Passwörter wählen, die überhaupt nicht sicher sind).

  • Sie möglicherweise eine Mischung aus Buchstaben und Ziffern erforderlich. Aber übertreibe es nicht. Buchstaben und Ziffern sind in Ordnung; Erzwingen Sie keine Mischung oder Interpunktion in Groß-/Kleinschreibung: Diese sind auf Smartphones und Tablets merklich schwerer zu tippen.

  • Geben Sie einen optionalen Passwortgenerator an. Verwenden Sie den Computer, da der menschliche Verstand keine Zufälligkeit erzeugen kann. Achten Sie jedoch darauf, dass der Generator nicht obligatorisch ist : Der Benutzer muss ihn als hilfreiches Werkzeug und nicht als unvermeidbare Regelung betrachten. Geben Sie daher eine Schaltfläche "Generieren Sie ein gutes Passwort" ein, die eine Folge von Kleinbuchstaben und Ziffern generiert (wohlgemerkt keine zu lange; 8 Zeichen).

  • Richtlinien veröffentlichen die erklären, was ein gutes Passwort sein sollte (d. H. Zufällig). Benutzer lieben es, sich gestärkt zu fühlen. Warnen Sie sie auch vor Usability-Problemen in Bezug auf Nicht-ASCII-Buchstaben: Akzente, nicht-lateinische Zeichen ... erschweren ihr Leben erheblich, wenn sie sie verwenden.

10
Thomas Pornin

Sie haben über die Kennwortrichtlinie gesprochen, die auch die Dauer der Kennwortänderung umfasst. Wie messe ich ein gutes Passwort?

  • Stark
  • Unvergesslich

Strong property has inverse relation with memorable

Dann ist es Ihre Anstrengung, sich für sie zu entscheiden, welche ist kritischer? Dann setzen Sie diesem eine hohe Priorität zu, berücksichtigen jedoch, dass jedes Passwort einigen Regeln entsprechen muss (Mindestanforderung):

  • länge: zwischen (6-12)
  • muster: [a-Z] [0-9] [Sonderzeichen]
  • das Passwort muss mindestens 4 verschiedene Zeichen aus jeder Gruppe enthalten (wenn Länge = 6).
  • das Passwort muss mindestens 6 verschiedene Zeichen aus jeder Gruppe enthalten (wenn Länge = 8).
  • Dauer der Kennwortänderung (Ablaufrichtlinie): Zum Beispiel alle drei Monate
  • Kontosperrung: Anzahl der zulässigen ungültigen Versuche: 3, dann muss das Konto vom Administrator gesperrt und entsperrt werden
1
Akam