精英安全忍者如何选择和保护密码

日期:2018-06-19 浏览:14

如果你读完Ars后感到一阵焦虑,可能会看到密码破解者是如何洗劫更长的密码,例如 qeadzcwrsfxv1331 ,你并不孤单。结果很明显:如果包含数字、符号和大小写字母的长密码很容易破解,那么用户该怎么办?

Ars已经在很大程度上回答了这个问题:使用密码管理器随机生成和存储长而复杂的密码,这些密码对于您关心的每个站点都是唯一的。我们的操作提供了一个全面的入门知识,任何使用互联网的人都需要阅读。也就是说,密码安全是一项非常微妙的工作,有很大的竞争策略空间和相互矛盾的必要条件。例如,将加密密码文件存储在云中或允许浏览器记住常用的登录凭据是否安全?在各种计算机操作系统和不同智能手机平台上管理密码的最佳方式是什么?

我最近与五位安全专家进行了登记,了解他们选择和存储防破解密码的方法。其中包括著名的密码学家布鲁斯·施尼尔,他是英国电信公司的安全未来学家,最近加入了电子前沿基金会的董事会;Netragard公司的首席执行官阿德列·德苏特尔,该公司被支付黑客攻击大公司的费用,然后告诉他们是如何做到的;怀特哈特安全公司创始人兼首席技术官耶利米·格罗斯曼:Jeffrey Goldberg,在AgileBits,一家开发广受欢迎的1密码管理器的公司,他是黑魔法防御者;还有狭窄咨询公司的密码安全专家杰瑞米·高斯尼。

其中四位专家说,他们使用某种密码管理器来确保他们关心的大多数帐户都有一个长而复杂且唯一的密码。然而,在这四者之间,差异很大。例如,Grossman将密码存储在明文文件中,该文件存储在加密的虚拟磁盘映像上,然后物理地保存在加密的USB密钥上。格罗斯曼解释说:

我觉得比起纯数字的东西,我更容易获得物理的东西。当我需要使用它时,插入它,复制粘贴。弹出设备。搞定了。

与LastPass、KeePass和大多数其他专用管理器不同,Grossman的自制解决方案无法自动生成满足特定站点标准的随机密码,例如最大长度或不包含特殊字符的密码。格罗斯曼说,他更喜欢自己生成密码,通常是敲打键盘。

这比大多数人想处理的要麻烦一点,但对我来说很有效,他说。字母、数字、符号、帽子等的任意长度。只要它很强就没关系了,因为我的密码存储策略不需要我记住绝大多数密码。

Goldberg、Schneier和Gosney也表示,他们使用密码管理器来生成和存储许多最重要的密码,但三者都选择了不同的产品。毫不奇怪,Goldberg使用了1个密码,他说这可以使他使用的所有主要平台的密码同步。他说:「唯一的例外是我的FreeBSD系统,但我通常不会从这些系统进行网页浏览,复制/粘贴到SSH视窗中对我来说很有用。」与此同时,施奈尔使用他帮助开发的PasswordSafe应用程序,而高斯尼最近开始使用LastPass。

唯一一个回避密码管理器的安全专家是Desautels,他说他更喜欢记住自己的密码,或者在可能的情况下,使用 proximity tokens 和一次性密码一起登录他的计算机。

大多数提供密码管理的服务都是建立在某种程度上易受攻击的技术之上的,他解释道。我不信任现有的技术,如果有选择的话,我肯定不会信任具有敏感凭据的技术。我为每个帐户使用不同的密码。我尽量让我的密码尽可能长,同时让我容易记住。他最长的密码是63个字符。

Schneier说,他有时也放弃密码管理器的好处,转而使用更容易记住的密码。他告诉Ars,他仍然坚持他在2008年制定的计划。它涉及挑选一个长而难忘的句子,并将其转换为密码。这只小猪去市场了,例如,可能会变成 tlpWENT2m 。6月,在回应我破解密码功能的博客文章中,他提供了其他一些令人难忘且难以破解的密码示例: 当我7岁的时候,我姐姐把我的填充兔子扔进了厕所 wew7,mstmsritt...而且很久以前在一个根本不远处的星系变成了 Ltime @ go - inag ~ faaa!。施尼尔说,尽管他告诫人们要选择自己的长歌,但他仍然坚持这个建议内容。毫无疑问,他在帖子中选择的短语和对应的密码已经被折叠成饼干单词列表,所以读者不应该认为它们很强。施尼尔说,他也坚持八年前发表的建议,把密码写在纸上,并储存在钱包或其他安全的地方。

一卷dicean另一种选择强而易记密码的方法是使用称为diceware的方法将随机选择的单词串在一起。一个例子可能是修改亚麻厨师liery Ali 最好用空格,除非特定的密码策略阻止它。

要获得力量,过程中必须有一些随机因素,戈德堡说。 I掷骰子(或做电子等价物)从单词列表中挑选四五个单词。通过一些外部随机过程(如随机数发生器或掷骰子)来真正选择单词是很重要的。然后我拼错了至少一个单词。

不过,戈德堡说,他喜欢尽可能使用长时间随机生成的密码。

对于我不需要记住的事情,我使用大约23个字符,除非网站有一个较小的最大值,他说。我选择了23,因为找到一个真正随机选择的长度的密码需要和找到128位加密密钥一样多的猜测。任何更强的东西都是(无害的)废物。

Gosney同时对他必须记住的密码采用不同的策略,只要这些密码不保护他认为非常关键的帐户。它涉及使用几个不同的通用基本词,并应用各种变换使每个基本词足够独特。

安全密码管理的另一个挑战是跨多个设备同步密码,特别是当它们运行在截然不同的平台上时。如前所述,Goldberg通过使用1 password来应对挑战,1 password适用于Windows、Mac OS X、iOS和Android操作系统。LastPass提供了更大的灵活性,运行在Windows、OSX、Linux、iOS、Android、Windows Phone和黑莓上。

对于那些不想使用密码管理器的人,在不同设备上处理密码的另一个选项是使用Google Chrome浏览器中的高级同步设置。Gosney说:「我使用Chrome,它会加密本地资料库中储存的密码。」我还允许浏览器将我的密码与我的Google帐户同步。我已将Chrome配置为使用单独的同步密码而不是Google帐户密码加密所有同步数据。同步密码从未发送到Google,所以我在Google的数据是安全的。

可以肯定的是,这样的方法并不适合每个人。几位专家表示,即使加密了密码,他们也不愿意将密码存储在云中。

当你把很多有价值的东西放在一个地方时,这个地方对罪犯来说变得非常有趣, Desautels说。更重要的是,把你所有的密码放在一个地方意味着有传票的人(或者没有传票的人)可以把它们拦截下来。

还有信任Chrome或其他浏览器存储大量密码的问题。关注Web安全的Grossman说:「如果有人窃取我的电脑和/或强迫我交出我的根密码,我不希望他们也拥有我所有的其他密码,这些密码会储存在本地。」其次,我看到并开发了太多浏览器黑客,只要访问错误的站点或单击错误的链接,就可以非常快地从应用程序中窃取保存的密码。 2010年发生的此类攻击的一个例子在这里。

Carpe马蒂厄一些尚未涉及的其他提示:将安全问题的答案视为次要密码。也就是说,不要给你毕业的真正高中起名字,而是选择一个很长的短语,比如arnesion。请务必将假答案存储在密码管理器或其他安全位置。另一个建议是为所有重要帐户使用专用电子邮件地址,而不要将其用于任何其他目的。如果奇怪或可疑的电子邮件到达收件箱,这可能表明某处有严重的违规行为。最后,考虑将所有密码的备份副本保存在律师、配偶或其他可信任的人手中。这不是一个愉快的想法,但总有一天我们会死去。银行账户、退休资产和其他重要账户的密码应该是任何遗产规划的核心部分。最后也是最关键的是,尽可能考虑使用双因素身份验证。

十多年来,技术远见卓识者预测密码将会消亡,这是在互联网上证明我们身份的主要手段。在这一天终于到来之前,读者应该记住,生成和安全存储防破解密码的痛苦更多的是由于这种高度不完善的身份验证手段,而不是fr数十亿依赖它的人的失败。Desautels说:“

问题不是用户名和密码的管理和存储”。问题是我们使用用户名和密码。用户名和密码只是鉴定某人身份的可怕而神秘的方法。