पासवर्ड सर्वोत्तम प्रथाओं

एक 'हैकर' के साथ हाल की घटनाओं को देखते हुए और वेबसाइट प्रशासकों से पासवर्ड पुनर्प्राप्त करने के बाद , जब हम पासवर्ड की बात करते हैं तो हम सभी को सर्वोत्तम प्रथाओं के बारे में क्या सुझाव दे सकते हैं?

• साइटों के बीच अनूठे पासवर्ड का उपयोग करें (यानी पासवर्ड का पुनः उपयोग न करें)
• शब्दकोश में पाए जाने वाले शब्दों से बचा जाना चाहिए
• गैर-अंग्रेजी भाषा के शब्दों या वाक्यांशों का उपयोग करने पर विचार करें
• पास वाक्यांशों का उपयोग करें और प्रत्येक शब्द के पहले अक्षर का उपयोग करें
• l33tifying बहुत मदद नहीं करता है

कृपया अधिक सुझाव दें!

• पासवर्ड का उपयोग करें जो सामान्य शब्दों या नामों से बना नहीं है । शब्दकोश के हमले लाखों शब्दों के साथ शब्दकोशों का उपयोग करते हैं और बहुत जल्दी होते हैं।

• लंबे पासवर्ड का उपयोग करें। मैं पास वाक्यांशों का उपयोग करता हूं । मैं एक वाक्यांश, वाक्य या तुकबंदी चुनता हूं और उचित अल्फा-न्यूमेरिक वर्णों की उचित संख्या का उपयोग करने का कोई तरीका ढूंढता हूं ताकि मेरे शब्द शब्दकोष न बनें।

• एकाधिक लॉगिन सेवाओं के लिए एक ही पासवर्ड का उपयोग न करें। पासफ्रेज को चुनने के लिए एक सूत्र के साथ आने के लिए कुछ समय लें। यह आपको कई अलग-अलग पासवर्डों का उपयोग करने की अनुमति देता है, अगर भूल गए, तो आप कुछ परीक्षण और त्रुटि के साथ फिर से बनाने में सक्षम हो सकते हैं।

• यदि आपको हर तरह से एक अच्छा, लंबा, सुरक्षित पासवर्ड लिखना है और उसे कहीं छिपा देना है। यह कम से कम एक कमजोर पासवर्ड का उपयोग करने से बेहतर है जिसे याद रखना आसान है।

• यदि उपरोक्त सुझाव असहनीय साबित होते हैं, तो एक पासवर्ड प्रबंधक का उपयोग लंबे सुरक्षित पासवर्ड के साथ करें और फिर बाकी सभी चीज़ों के लिए यादृच्छिक वर्ण पासवर्ड का उपयोग करें। एक एन्क्रिप्टेड USB फ्लैश ड्राइव (निश्चित रूप से समर्थित) पर अपने साथ पासवर्ड मैनेजर ले जाएँ।

मुझे पासफ़्रेज़ के साथ कई समस्याएं मिली हैं:

• कई साइटों में पासवर्ड की लंबाई की ऊपरी सीमा होती है - जैसे 20 वर्ण - यह मूर्खतापूर्ण है, लेकिन आप क्या कर सकते हैं।
• अन्य साइटें पासवर्ड में रिक्त स्थान की अनुमति नहीं देती हैं।
• लंबे ग्रंथों को आँख बंद करके टाइप करना त्रुटि-प्रवण है - खासकर जब आप अच्छे स्पर्श-टाइपिस्ट नहीं हैं।
• 50-char पासफ़्रेज़ टाइप करना अच्छे 15-char पासवर्ड की तुलना में काफी लंबा होता है।

इस समस्या का मेरा समाधान पासफ़्रेज़ को वास्तविक पासवर्ड के रूप में उपयोग करने के लिए किया गया है। उदाहरण के लिए, मैं विलियम हेनरी डेविस (76 वर्ण) की महान कविता की कुछ पंक्तियाँ चुन सकता था:

देखने का समय नहीं है, जब हम जंगल से गुजरते हैं,
जहां गिलहरी घास में अपने नट को छिपाती हैं।

और मैं प्रत्येक शब्द के पहले अक्षर चुनता हूँ, जो निम्नलिखित बहुत अच्छा 16-चार पासवर्ड बनाता है:

Nttswwwp,Wshtnig

कविता का उपयोग करना विशेष रूप से अच्छा है, क्योंकि यह याद रखना आसान है और जब आपसे पासवर्ड बदलने के लिए कहा जाता है, तो आप कविता की अगली कुछ पंक्तियाँ चुन सकते हैं।

जब एक पासवर्ड शासन को दूसरों के लिए निर्धारित किया जाता है, तो न केवल आवश्यकता होती है कि वे अद्वितीय का उपयोग करें, एक सीमा से अधिक, मिश्रित मामला, विशेष वर्ण आदि शामिल हों, लेकिन उन पासवर्डों का निर्माण / याद रखने के लिए पासवर्ड प्रबंधकों या योजनाओं के बारे में उपयोगकर्ता को शिक्षित करें .. , यदि आप नहीं करते हैं, तो उपयोगकर्ता पासवर्ड लिखेंगे या अन्य खोजेंगे, उन्हें याद रखने के लिए असुरक्षित तरीके।

यदि आपको पासवर्ड याद रखने में समस्या है, तो कुछ अच्छी तरह से ज्ञात पाठ का उपयोग करें। एक वाक्य चुनें, पासवर्ड के रूप में प्रत्येक शब्द से n ^वें अक्षर का उपयोग करें , विराम चिह्न रखें। (जैसे इस उत्तर के पहले वाक्य के 1 ^सेंट अक्षरों से उत्पन्न पासवर्ड "Iyhtrp, uswkt।") हो सकता है। आप कुछ ऊपरी मामलों में बदलाव करके और कुछ विशेष वर्णों को जोड़कर इसे मजबूत बना सकते हैं।

पासवर्ड का उपयोग न करें, यह वह जगह है जहाँ आप पहली बार में गलत हो रहे हैं। वर्णों का यादृच्छिक संग्रह (8 न्यूनतम) या पासफ़्रेज़ का उपयोग करें। आप प्रत्येक साइट के लिए एक अलग पासफ़्रेज़ बनाने के लिए एक सूत्र के साथ आ सकते हैं उदाहरण के लिए ILikeStackOverflowOnions या ILikeServerFaultOnions; यह आपको बाहरी लोगों के खिलाफ सुरक्षित रखता है, लेकिन अगर वास्तविक साइट हैक हो गई है और पासवर्ड नमकीन नहीं हैं, या यदि व्यवस्थापक पहले स्थान पर भ्रष्ट था, तब भी समस्या हो सकती है।

अपना पासवर्ड नियमित रूप से बदलें। जहां मैं काम करता हूं, वह 30 दिन का चक्र है। यह एक PITA है, लेकिन यह हैक किए गए पासवर्डों के मूल्य को सीमित समय विंडो के लिए कम करता है। प्लस, एक जटिल AD पासवर्ड पॉलिसी तय करती है कि इसमें कम से कम 8 अक्षर होने चाहिए, इसमें ऊपरी, निचले, संख्यात्मक और प्रतीक होते हैं।

पूरक करने के लिए, हम एक स्वयं सेवा पासवर्ड प्रबंधक सेवा का उपयोग करते हैं। यह एक कस्टम विंडोज GINA प्रदान करता है जो उपयोगकर्ता को अपना पासवर्ड रीसेट करने की सुविधा प्रदान करता है यदि वे इसे भूल जाते हैं, या इसे अनलॉक कर देते हैं यदि वे इसे कई बार अलग करते हैं। पासवर्ड मैनेजर ऐप को उपयोगकर्ता को सेवा में भर्ती करने की आवश्यकता होती है, केवल व्यक्तिगत जानकारी का एक गुच्छा प्रदान करता है, जो उन्हें पता होता है कि बाद में सवालों के रूप में उपयोग किया जाता है जब उपयोगकर्ता को पासवर्ड रीसेट करने / अपना खाता अनलॉक करने की आवश्यकता होती है।

मेरा मानना ​​है कि उपयोगकर्ता द्वारा विचार किए जाने के बजाय पासवर्ड उत्पन्न होना चाहिए। यह उन सभी मूर्खतापूर्ण समस्याओं से बचता है जिनमें पासवर्ड का अनुमान लगाना आसान है।

मुझे pwgen का उपयोग करना पसंद है , जो पासवर्ड सूची बनाता है जैसे

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

लेकिन वास्तव में किसी भी pw पीढ़ी कार्यक्रम करेंगे। Pwgen का एक फायदा यह है कि यह कुछ स्वरों को मिलाकर पासवर्ड (कुछ) को यादगार बनाने की कोशिश करता है।

कुछ भी अलग है (स्रोत dailywtf.com):

1. मजबूत पासवर्ड का उपयोग करें।
2. पासवर्ड का पुन: उपयोग न करें।
3. # 2 के विचार में, भारी असमान खातों के चेहरे में PwdHash जैसे उपकरण का उपयोग करें।

इन 500 सबसे खराब पासवर्ड से दूर रहें ।

लंबे, जटिल पासवर्ड अच्छी सुरक्षा प्रदान करते हैं, मूल रूप से मजबूत पासवर्ड , लेकिन निश्चित रूप से सभी उपयोगकर्ता खातों के लिए अलग-अलग पासवर्ड का उपयोग करते हैं।

SuperGenPass जैसे टूल का उपयोग किसी भी वेब साइट के लिए अद्वितीय पासवर्ड उत्पन्न करने के लिए करें जिसके लिए आपका लॉगिन है।

हक़ 5 ने सिर्फ एक ऐसा एपिसोड किया, जो रिमोट एक्सप्लॉइट के एक टूल का प्रदर्शन करता है, जो बहुत सारे तार लेता है और सभी संयोजनों, ऊपरी, निचले, लेट स्पेलिंग आदि का शब्दकोश बनाता है, इसलिए आप इसे लक्ष्य के नाम, बच्चे के नाम, जन्मतिथि या जैसे इनपुट देते हैं। अन्य जानकारी जो आप लक्ष्य के बारे में जानते हैं। यह जो शब्द उत्पन्न करता है उसका उपयोग एक कमजोर पासवर्ड को बल देने के लिए इनपुट के रूप में किया जा सकता है।

Moral: अपने पासवर्ड में व्यक्तिगत जानकारी का उपयोग करने से बचें

यदि आप गैर-अंग्रेजी भाषा में शब्द या वाक्यांश जानते हैं , तो आप उन्हें अपने पासवर्ड के भाग के रूप में उपयोग कर सकते हैं। उदाहरण के लिए, मैं आमतौर पर जापानी शब्दों का उपयोग अपने पासवर्ड के भाग के रूप में करता हूं जो शब्दकोश हमलों से दूर रहता है फिर भी मुझे उन्हें याद करने की अनुमति देता है (जैसा कि यादृच्छिक रूप से उत्पन्न पासवर्ड के विपरीत)।

मैंने पासवर्ड सेफ का उपयोग करना शुरू कर दिया था, जिसे मूल रूप से किसी वेब-पासवर्ड को संग्रहीत करने के लिए ब्रूस श्नेयर द्वारा डिज़ाइन किया गया था। मेरे पास पासवर्ड सुरक्षित पर एक बहुत ही मजबूत पासफ़्रेज़ है, और अन्य सभी पासवर्ड ऑटो-जनरेट किए जाते हैं और कभी-कभी एक्स्ट्रॉस वेबसाइटों का फिर से उपयोग नहीं किया जाता है।

सॉफ्टवेयर में पासवर्ड समाप्त करने और पसंद करने जैसी विशेषताएं भी हैं।

मैं इसे ( मजबूत सुरक्षित पासवर्ड दिया गया ) मानता हूं कि यह वेबसाइट पासवर्ड के लिए सबसे अच्छा ट्रेड-ऑफ और सबसे सुरक्षित तरीका है।

परिवार और दोस्तों के लिए, मैं आमतौर पर कहता हूं कि पालतू जानवरों के नाम और माताओं के नाम और सामान की तरह सामान का उपयोग करना अच्छा है जब तक कि निम्नलिखित दो चीजें नहीं हो जाती हैं:

• कम से कम दो नामों (पूर्व: माताओं युवती का नाम + पालतू जानवर का नाम)
• अपरकेस और विशेष वर्ण शामिल करें।

अनिवार्य पासवर्ड एक्सपायरी पीरियड को स्थापित करते समय, दिनों के ब्लॉक (जैसे 30 या 60 दिन) के बजाय, 7 का एक कारक चुनें।

30 दिन की समाप्ति का परिणाम यह हो सकता है कि उपयोगकर्ता को छुट्टी या सप्ताहांत पर अपना पासवर्ड बदलने की आवश्यकता होती है, और अगले दिन काम पर आने पर उन्हें आश्चर्य हो सकता है।

यदि आप 7 के कारक के लिए समाप्ति की अवधि निर्धारित करते हैं, तो यह सुनिश्चित करेगा कि पासवर्ड परिवर्तन की तारीख पिछले परिवर्तन के समान ही सप्ताह के दिनों में गिर जाएगी।

यदि आपके पास एक ही उपयोगकर्ता आधार के लिए कई साइटें हैं, तो मुझे अत्यधिक एकल साइन के कुछ रूप का सुझाव देना चाहिए (जैसे कि शिबोलेथ)। जब उपयोगकर्ताओं के पास कई साइटों के लिए अलग-अलग पासवर्ड होते हैं, तो उन्हें उन सभी को याद रखने में परेशानी होती है। अधिकांश लोगों द्वारा एक या दो पासवर्ड आसानी से याद किए जाते हैं, तीन उपयोगकर्ता उन्हें गुप्त स्थान पर लिख सकते हैं। यदि अधिक है तो चार उपयोगकर्ता बहुत अच्छी तरह से उन सभी को एक पोस्ट पर लिख सकते हैं जो इसे नोट करते हैं और इसे डेस्क या मॉनिटर पर लागू करते हैं।

पासवर्ड को अत्यधिक जटिल नहीं होना चाहिए, हालांकि उन्हें पहले या दूसरे प्रयास के लिए पर्याप्त जटिल होना चाहिए। जब तक आपके सिस्टम / साइटों में किसी प्रकार का सुरक्षा उपाय होता है जो लॉग में प्रयासों की संख्या को सीमित करता है तब पासवर्ड को जटिल होने की आवश्यकता नहीं है।

एक उदाहरण के रूप में, यदि आपके सिस्टम में प्रति घंटे 3 लॉगऑन प्रयासों की सीमा है, तो "Cindy65" जैसे एक मूल पासवर्ड अधिक जटिल है। हालांकि हैकर को पता चल सकता है कि उपयोगकर्ताओं का असली नाम सिंडी है, वह वास्तव में कभी नहीं जान पाएगा कि वह 1965 में पैदा हुआ था। उसके प्रयास स्वाभाविक रूप से "सिंडी", " एल एस्टनाम", "सिंडी", एल एस्टनाम "होंगे, हालांकि इसके द्वारा समय वह बाहर अवरुद्ध है।

हालांकि यह एक सरलीकृत मामला और एक सरल पासवर्ड हो सकता है, यह सब है कि वास्तव में जरूरत है अगर आप व्यवस्थापक सब कुछ सही सर्वर साइड की स्थापना की है। हम थोड़ा और अधिक जटिल पासवर्ड भी पूछ सकते हैं जो याद रखना आसान है, जैसे कि चाबियों का यादृच्छिक संयोजन। प्रतीक और पूंजी पत्र भी बहुत मदद करते हैं।

हमें बस याद रखने की ज़रूरत है, हम इसे उपयोगकर्ता पर जितना कठिन बना सकते हैं, उतना ही अधिक संभावना है कि वे इसे सार्वजनिक रूप से लिखेंगे।

एक बात जो मैं हमेशा अपने उपयोगकर्ताओं से पूछना पसंद करता हूं, उनका नाम एक दवा के नाम के साथ संक्षिप्त रूप में लिखा जाता है, वे पसंदीदा भोजन, सबसे अच्छे दोस्त का नाम इत्यादि। शब्दकोश शब्दों के ये संयोजन जबकि सरलीकृत करना लगभग असंभव है।

उदाहरण: सिंडीप्रोज़ैक, विलियमकोडीन, जोपीटरबेटबिट

शुभ लाभ।

इसे लिखो मत। और यदि आप करते हैं, तो इसे एक तिजोरी में रखें। और उस कॉम्बो को या तो मत लिखो ।

यदि सुरक्षा आवश्यकताएँ वास्तव में तंग हैं, तो मैं कोशिश करूँगा और जहाँ भी संभव हो पासवर्ड के उपयोग से बचना चाहिए। Ssh कुंजी आधारित प्रमाणीकरण, स्मार्ट कार्ड पर क्लाइंट प्रमाण पत्र आदि का उपयोग करने के बारे में सोचें, हालांकि उस काम को ठीक से करने के लिए बहुत कौशल और बजट लगता है, इसलिए एक उचित जोखिम मूल्यांकन किया जाना चाहिए।

यदि आप पासवर्ड के साथ रहना चाहते हैं, तो मैं काॅपर और लेक्सू की सलाह मानूंगा।

पासवर्ड की लंबाई पर प्रतिबंध मूर्खतापूर्ण है। (6-8 वर्णों के बीच पासवर्ड प्रतिबंधित करना आम है, फिर भी आधुनिक प्रणालियों पर इसका कोई अर्थ नहीं है)।

बार-बार पासवर्ड बदलने की आवश्यकता उपयोगकर्ताओं को अपने पासवर्ड लिखने और सरल चुनने के लिए प्रोत्साहित करती है। यह खतरों का एक व्यापार है, और आपको इस बात पर विचार करना चाहिए कि कौन सा खतरा अधिक प्रासंगिक है।

उपयोगकर्ता को "वर्णों" को ठीक-ठीक 8-वर्ण वाले पासवर्ड में रखने की आवश्यकता होती है, केवल वर्णों से मिलकर 30-वर्ण पासवर्ड की अनुमति देने के बजाय, कोई मतलब नहीं है।

उपयोगकर्ताओं को एक स्पष्ट पासवर्ड न दें और पूछें कि वे इसे बदलते हैं। वे नहीं करेंगे या तो यह आवश्यक है कि वे इसे पहले लॉगिन पर बदलें, उनके लिए एक मजबूत पासवर्ड चुनें, यह जानते हुए कि वे इसे लिखेंगे, या उन्हें आपके सामने एक मजबूत चयन करेंगे।

हम अपने उपयोगकर्ताओं को पासफ़्रेज़ लेने और प्रत्येक शब्द के पहले अक्षर का उपयोग करने के लिए प्रशिक्षित करते हैं।
WTOUTPPAUTFLOEW - एक शून्य या 3 (लेफ़्टिफ़ाइंग) जोड़ें, एक जोड़े को दो बार अलग-अलग करें और आपको कुछ ऐसा मिल गया है जिसका कोई शब्दकोश कभी भी नहीं निकालेगा लेकिन फिर भी याद रखना आसान है।

हालाँकि - बस यह सुनिश्चित करें कि आप कंपनी के नारे / विजन स्टेटमेंट आदि के आधार पर अपने पासवर्ड को पासफ़्रेज़ में न बदलें।

उस वेब साइट व्यवस्थापक के साथ क्या हुआ, इसे रोकने में मदद करने और यह मानने के लिए कि आपके पास यूनिक्स शेल या सिगविन है, आप उपयोग कर सकते हैं

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

और http://gdataonline.com/ जैसे MD5 डेटाबेस के खिलाफ उस मान की जाँच करें । सुनिश्चित करें कि यह वहाँ दिखाई नहीं देता है।

इसके अलावा, यहाँ एक और अधिक, कच्चे MD5 शब्दकोश का उदाहरण दिया गया है, जो मुझे उस हैश मूल्य (चेतावनी: बड़ी फ़ाइल) के लिए बस googling से मिला: https://secure.sensepost.com/sp-hash/jebwy