Mejores prácticas de contraseña

30

Dados los eventos recientes con un 'pirata informático' que aprende y vuelve a intentar contraseñas de los administradores del sitio web , ¿qué podemos sugerir a todos sobre las mejores prácticas cuando se trata de contraseñas?

  • use contraseñas únicas entre sitios (es decir, nunca reutilice una contraseña)
  • las palabras encontradas en el diccionario deben ser evitadas
  • considere usar palabras o frases de un idioma que no sea inglés
  • use frases de paso y use la primera letra de cada palabra
  • l33tificar no ayuda mucho

¡Por favor sugiera más!

p.campbell
fuente
44
La punta tres contradice la punta dos.
Oddmund
@Oddmund: no si usa inglés y no inglés. Es decir, One en español es uno, así que use OneUno. O división de palabras: la mitad de la palabra proviene del inglés, la otra mitad de otro idioma. El fútbol en español es fútbol, ​​así que usa futball. Y luego recurrir a partir de ahí.
Kevin M
@Oddmund: No. El uso de palabras de un idioma (que no sea inglés) no implica que se encuentren en un diccionario (que no esté en inglés)
user1092608

Respuestas:

25
  • Use contraseñas que no estén compuestas de palabras o nombres comunes. Los ataques de diccionario usan diccionarios con millones de palabras y son muy rápidos.

  • Usa contraseñas largas. Tiendo a usar frases de paso . Elijo una frase, oración o rima y encuentro alguna manera de usar un número razonable de caracteres no alfanuméricos para que mis palabras no sean del diccionario.

  • No use la misma contraseña para múltiples servicios de inicio de sesión. Tómese un tiempo para encontrar una fórmula para elegir frases de contraseña. Esto le permite usar muchas contraseñas diferentes que, si se olvidan, puede volver a crear con alguna prueba y error.

  • Si es necesario, escriba una contraseña buena, larga y segura y escóndela en algún lugar. Eso al menos es mejor que usar una contraseña débil que sea más fácil de recordar.

  • Si las sugerencias anteriores resultan inmanejables, use un administrador de contraseñas con una contraseña segura larga y luego use contraseñas de caracteres aleatorios para todo lo demás. Lleve consigo el administrador de contraseñas en una unidad flash USB encriptada (respaldada, por supuesto).

Arnold Spence
fuente
¿Alguien sabe por qué mi uso de negrita en 'frases de contraseña' no parece funcionar? Se ve bien en la vista previa cuando estoy en modo de edición ... extraño.
Arnold Spence
¿Estás usando dos estrellas o una? Pruebe solo uno ...
Mikeage
1
@Mikeage: un asterisco = cursiva; dos = negrita Sugeriría probar <b> o <strong>; Sospecho que incrustarlo en una palabra confunde el analizador de SO.
derobert
1
Intentaría poner un espacio justo después de "pasar" para que tenga frases de [un espacio] [asterisco] [asterisco]. Si eso no funciona, intente poner un espacio entre el segundo lote de asteriscos y el punto.
pbz
3
+1 para "escribir una contraseña buena, larga y segura y ocultarla". En la década de 1980, alguien comenzó a advertir a los usuarios que NO escribieran sus contraseñas, ese comportamiento se atascó y todos estamos peor por eso.
Portman
7

He encontrado varios problemas con frases de contraseña:

  • Muchos sitios tienen un límite superior para la longitud de la contraseña, como 20 caracteres, es una tontería, pero ¿qué puede hacer?
  • Otros sitios no permiten espacios en las contraseñas.
  • Escribir textos largos a ciegas es propenso a errores, especialmente cuando no eres un buen mecanógrafo.
  • Escribir una frase de contraseña de 50 caracteres lleva bastante más tiempo que una buena contraseña de 15 caracteres.

Mi solución para este problema ha sido usar frases de contraseña como mnemotécnicas para la contraseña real. Por ejemplo, podría elegir algunas líneas de un gran poema de William Henry Davies (76 caracteres):

No hay tiempo para ver, cuando pasamos bosques,
donde las ardillas esconden sus nueces en la hierba.

Y elegiría las primeras letras de cada palabra, creando la siguiente contraseña de 16 caracteres bastante buena:

Nttswwwp,Wshtnig

Usar poesía es especialmente bueno, porque es más fácil de recordar y cuando se le pide que cambie la contraseña, puede elegir las siguientes líneas de un poema.

Rene Saarsoo
fuente
3
Además, puedes aprender un nuevo poema cada vez que cambia tu contraseña, y así ganar algunos puntos culturales. :)
Jonathan
44
Me pegué un tiro en el pie con este usando letras de canciones. Primero, mi tendencia a tararear la canción. En segundo lugar, conseguir la canción pegada en la cabeza durante un mes seguido ...
Kara Marfia
4

Al dictar un régimen de contraseña para otros, no solo requiere que usen un único, más largo que un umbral, contengan mayúsculas y minúsculas, caracteres especiales, etc., sino que también eduquen al usuario sobre los administradores o esquemas de contraseñas para construir / recordar esas contraseñas. Si no lo hace, los usuarios escribirán las contraseñas o encontrarán otras formas inseguras de "recordarlas".

Lexu
fuente
La enseñanza de administradores de contraseñas es un mal ejemplo para el usuario no técnico promedio. Estás intercambiando una mala práctica (escribiendo contraseñas) por una práctica ligeramente mejor, pero aún así mala (almacenándolas electrónicamente). Una vulnerabilidad en un administrador de contraseñas (como una contraseña maestra débil, explotación remota, etc.) puede provocar un desastre.
spoulson
En otras palabras, yo no almacenar las contraseñas de alto valor en un gestor de contraseñas, nombres de usuario, como los bancos, etc.
spoulson
No estoy de acuerdo con usted en el sentido de que incluso Bruce Schneier recomienda el uso de un gestor de contraseñas con un fuerte contraseña a través de la utilización de contraseñas débiles que se reutilizan y / o mezclados entre los sitios.
Martin C.
@spoulson: la confianza ciega en la tecnología siempre es peligrosa ... Personalmente, creo que una bóveda de contraseñas altamente cifrada (con una buena contraseña), es tan segura como una solicitud de inicio de sesión. Si confía en que el proveedor del sistema operativo endurezca el inicio de sesión, también puede confiar en el autor de Password Managers. Normas paranoia .. no confían en nadie .. etc ... pero al final siempre equivale a un acto de fe ...
Lexu
2
Schneier llega tan lejos como recomendar escribirlos: schneier.com/blog/archives/2005/06/write_down_your.html
Will M
4

Si tiene problemas para recordar contraseñas, use un texto bien conocido. Elija una oración, use la enésima letra de cada palabra como contraseña, mantenga la puntuación. (por ejemplo, la contraseña generada a partir de la primera letra de la primera oración de esta respuesta podría ser "Iyhtrp, uswkt"). Puede hacerlo más fuerte cambiando algunos a mayúsculas y agregando algunos caracteres especiales.

vartec
fuente
¡Ese es un método realmente bueno!
Techboy
3

No uses una contraseña, ahí es donde vas a equivocarte en primer lugar. Use una colección aleatoria de caracteres (8 mínimo) o una frase de contraseña. Puede encontrar una fórmula para generar una frase de contraseña diferente para cada sitio, por ejemplo, ILikeStackOverflowOnions o ILikeServerFaultOnions; esto lo mantiene a salvo de personas externas, sin embargo, podría causar problemas si el sitio real es pirateado y las contraseñas no son saladas, o si el administrador estaba corrupto en primer lugar.

Adam Gibbins
fuente
1+ Pero, ¿por qué no hay espacios ni signos de puntuación en la frase de contraseña? Eso les agrega algo de fuerza en mi humilde opinión, como "¡Me gustan las aceitunas y serverfault.com!" que debería ser una contraseña muy fuerte y extremadamente rápido y fácil de escribir y de recordar ^^ (algunos sistemas muy viejos u oscuro ceño fruncido en espacios en las contraseñas - diles que vayan al infierno;)
Oskar Duveborn
Bueno, los espacios son, por supuesto, una ventaja, al igual que la puntuación. Pero descubrí que hay algunos sitios inseguros muy molestos que no aceptan contraseñas con signos de puntuación, una vez tuve un banco que no :-(
Adam Gibbins
1
@Oskar Duveborn: Tenga en cuenta que en lugar de utilizar la puntuación en la contraseña, puede hacerlo más largo; matemáticamente, el resultado (número de contraseñas posibles) es el mismo. Incluso podría usar PW con solo caracteres en minúscula, si los hace un poco más largos.
sleske
Sí, me gusta la puntuación para recordar fácilmente una frase para la gente. Los beneficios de una contraseña más larga son solo una bonificación;) También tuve un banco que no ocupó espacios, hace tres años. Sin embargo, en estos días está bien. Y los sistemas Unix más antiguos tienen un máximo de 8 caracteres, pero, como no puede ver lo que escribe, siempre puede fingir que está escribiendo la contraseña completa de 30 caracteres allí también;)
Oskar Duveborn
3

Cambia tu contraseña regularmente. Donde trabajo, es un ciclo de 30 días. Es un PITA, pero mitiga el valor de las contraseñas pirateadas en un período de tiempo limitado. Eso, más una política de contraseña de AD compleja dicta que debe tener al menos 8 caracteres, contener mayúsculas, minúsculas, números y símbolos.

Para complementar, utilizamos un servicio de administrador de contraseñas de autoservicio. Proporciona un Windows GINA personalizado que proporciona funcionalidad para permitir al usuario restablecer su contraseña si la olvida, o desbloquearla si la engañó demasiadas veces. La aplicación de administrador de contraseñas requiere que el usuario se inscriba en el servicio, proporcione un montón de información personal que solo ellos sabrían que luego se usará como preguntas cuando el usuario necesite restablecer la contraseña / desbloquear su cuenta.

Spoulson
fuente
3
Hacer cumplir los cambios de contraseña basados ​​en el tiempo generalmente se considera una práctica realmente mala. Casi puedo garantizar que los últimos dígitos de las contraseñas de la mayoría de las personas contendrán el mes o año en que se configuró por última vez.
Andrew
3

Creo que las contraseñas deberían generarse, en lugar de ser pensadas por el usuario. Esto evita todos esos problemas tontos con contraseñas fáciles de adivinar.

Me gusta usar pwgen , que genera listas de contraseñas como

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

pero realmente cualquier programa de generación de pw servirá. Una ventaja de pwgen es que intenta hacer las contraseñas (algo) memorablemente, incluyendo algunas vocales.

sleske
fuente
Así lo hago yo. Genere un montón de contraseñas y elija una que no tenga caracteres ambiguos, como 1, l I, etc.
John Gardeniers
3

Algo diferente de (fuente dailywtf.com):

texto alternativo

sucursales
fuente
2
  1. Usa contraseñas seguras.
  2. No reutilices las contraseñas.
  3. En consideración del # 2, use una herramienta como PwdHash frente a abrumadoras cuentas dispares.
jldugger
fuente
2

Manténgase alejado de estas 500 peores contraseñas .

Las contraseñas largas y complejas ofrecen una buena seguridad, básicamente contraseñas seguras , pero definitivamente usan contraseñas diferentes para todas las cuentas de usuario.

TStamper
fuente
Enlace interesante ...
David Z
2

Use una herramienta como SuperGenPass para generar contraseñas únicas para cualquier sitio web para el que tenga un inicio de sesión.

Alex Angas
fuente
+1 por solo generar contraseñas, en lugar de tener un millón de reglas tontas para crearlas.
sleske
2

Hak5 acaba de hacer un episodio que muestra una herramienta de Remote Exploit que toma una serie de cadenas y genera un diccionario de todas las combinaciones, mayúsculas, minúsculas, ortografía leet, etc. Así que le da información como el nombre del objetivo, los nombres de los niños, las fechas de nacimiento o otra información que conozca sobre el objetivo. El diccionario que genera se puede usar como entrada para forzar una contraseña débil.

Moraleja: evite usar información personal en su contraseña

Spoulson
fuente
1
Por otro lado, hace un tiempo trabajé en un sitio donde uno de los requisitos de contraseña del cliente era "no puede ser ninguna forma de palabra de diccionario" (leet, etc.), así que tuve que construir un generador similar que identificara todas las diversas variaciones que estaban prohibidas, y fue lo suficientemente rápido como para ejecutarse dentro de un ciclo de devolución cuando cambiaron su contraseña.
GalacticCowboy
Buen punto, cuantas más opciones limites, más claras podrían ser las opciones posibles.
spoulson
1
No estoy seguro si @spoulson implica lo mismo, pero: si prohíbe activamente cualquier palabra de un diccionario, ¿no está básicamente limitando el número de posibles contraseñas? Y por lo tanto, en teoría, ¿hace que sea más fácil encontrar la contraseña?
Arjan
La idea es eliminar patrones reconocibles en una contraseña que puedan ser atacados por un diccionario o que un tercero pueda recordar fácilmente. Eliminar la capacidad de crear contraseñas débiles no debilita el esquema de contraseña.
spoulson
@Ajran: Sí, por supuesto que tienes razón, no permitir las contraseñas "débiles" reduce efectivamente la longitud de las contraseñas (de una longitud máxima dada). Sin embargo, esto solo importa si en realidad no permite una parte no despreciable del espacio de la contraseña, lo cual es de esperar que no sea el caso.
sleske
2

Si conoce palabras o frases en un idioma que no sea inglés , puede usarlas como parte de su contraseña. Por ejemplo, comúnmente uso palabras japonesas como parte de mis contraseñas, lo que evita los ataques del diccionario pero me permite recordarlas (a diferencia de las contraseñas generadas al azar).

Chris Gillum
fuente
2
No asuma que las personas que atacan sus contraseñas solo hablarán inglés. No asuma que un atacante que solo habla inglés no agregará diccionarios de otros idiomas a su descifrador de contraseñas.
pgs
2

Comencé a usar Password Safe , que fue diseñado originalmente por Bruce Schneier, para almacenar contraseñas web. Tengo una frase de contraseña muy segura en la contraseña segura, y todas las demás contraseñas se generan automáticamente y nunca se reutilizan en otros sitios web.

El software también tiene características como contraseñas que caducan y similares.

Considero que este (dada la fuerte contraseña segura) para ser el mejor compromiso y el enfoque más segura de contraseñas de sitios web.

Martin C.
fuente
1

Para la familia y los amigos, por lo general, digo que es genial usar cosas como nombres de mascotas y nombres de soltera de madres, siempre que ocurran las siguientes dos cosas:

  • concatenar al menos dos nombres (ej .: nombre de soltera de la madre + nombre de la mascota)
  • incorporar mayúsculas y caracteres especiales.
Christian Hagelid
fuente
Bien para aplicaciones de baja seguridad, supongo. Pero no querrá hacer eso, por ejemplo, en un sitio de banca en línea.
David Z
mala idea punto final. Es demasiado predecible y alienta contraseñas débiles en todas partes. Se debe dar el mismo consejo a familiares y amigos que el que se da a los empleados.
Judioo
@ i-gemido Tiendo a estar de acuerdo, pero lo estoy usando como un paso en la dirección correcta. Si puedo lograr que usen este enfoque en lugar de SOLO usar el nombre de la mascota o algo así, creo que es un paso en la dirección correcta
Christian Hagelid
Buenos comentarios Cosas que son fáciles de recordar, pero mezclado un poco tan imposible de adivinar
Techboy
1

Al instituir el período de vencimiento obligatorio de la contraseña, elija un factor de 7, en lugar de un bloque de días (por ejemplo, 30 o 60 días).

El resultado de la expiración de 30 días puede ser que el usuario deba cambiar su contraseña en un feriado o fin de semana, y puede tener una sorpresa cuando entre al trabajo al día siguiente.

Si estableciera la escala de caducidad en un factor de 7, esto aseguraría que la fecha de cambio de contraseña caería el mismo día de la semana que el cambio anterior.

p.campbell
fuente
En realidad, la mayoría de los sistemas con caducidad tienen dos fechas de caducidad: después de la primera, debe cambiar su contraseña en el próximo inicio de sesión. Solo después de que el segundo haya pasado solo un cambio de pw, la caducidad realmente tiene lugar. Por lo tanto, esto normalmente no debería ser un problema.
sleske
1

Si tiene varios sitios para la misma base de usuarios, entonces debo sugerir alguna forma de inicio de sesión único (como Shibboleth). Cuando los usuarios tienen diferentes contraseñas para sitios múltiples, tienden a tener problemas para recordarlos a todos. La mayoría de la gente recuerda fácilmente una o dos contraseñas, tres el usuario puede escribirlas en una ubicación secreta. Si hay más de cuatro, el usuario puede escribirlos en una nota y aplicarlo al escritorio o al monitor.

Las contraseñas no necesitan ser demasiado complejas, aunque deben ser lo suficientemente complejas para evitar el primer o segundo intento. Mientras su sistema / sitios tengan algún tipo de medida de seguridad que limite el número de intentos de inicio de sesión, las contraseñas no necesitan ser demasiado complejas.

Como ejemplo, si sus sistemas tienen un límite de 3 intentos de inicio de sesión por hora, entonces una contraseña básica como "Cindy65" es más que suficientemente compleja. Si bien el hacker puede saber que el nombre real de los usuarios es Cindy, realmente nunca sabría que ella nació en 1965. Sus intentos serían naturalmente "cindy", " l astname", "Cindy", L astname ", aunque por esto tiempo que está bloqueado.

Si bien este puede ser un caso simplista y una contraseña simple, es todo lo que realmente se necesita si el administrador ha configurado todo el lado del servidor correcto. También podemos pedir contraseñas un poco más complejas que sean fáciles de recordar, como una combinación aleatoria de teclas. Los símbolos y las letras mayúsculas también ayudan mucho.

Solo tenemos que recordar que cuanto más difícil sea para el usuario, más probable es que lo escriba en público.

Una cosa que siempre me gusta pedirles a mis usuarios que hagan es escribir su nombre concatenado con el nombre de un medicamento que están tomando, su comida favorita, el nombre de su mejor amigo, etc. Estas combinaciones de palabras del diccionario, aunque simplistas, son casi imposibles de descifrar.

Ejemplos: CindyProzac, WilliamCodene, JoePetertherabbit

Buena suerte.

Recursividad
fuente
0

No lo escribas. Y si lo haces, ponlo en una caja fuerte. Y tampoco escriba ese combo.

Sophie Alpert
fuente
2
¿Cuándo fue la última vez que alguien irrumpió en una casa y robó una contraseña? Para los usuarios domésticos, escribir una contraseña suele ser la MÁS segura, ya que fomenta las contraseñas seguras, únicas y difíciles de recordar.
Portman
Estoy de acuerdo con Ben - especialmente para un ambiente de trabajo
Techboy
0

Si los requisitos de seguridad son realmente estrictos, trataría de evitar el uso de contraseñas siempre que sea posible. Piense usando la autenticación basada en claves ssh, certificados de clientes en tarjetas inteligentes, etc. Sin embargo, se necesita mucha habilidad y presupuesto para que funcione correctamente, por lo que se debe realizar una evaluación de riesgos adecuada.

Si decides quedarte con las contraseñas, seguiría los consejos de capar y lexu.

Vincent De Baere
fuente
0

Las restricciones en la longitud de la contraseña son tontas. (Restringir las contraseñas entre 6 y 8 caracteres es común, pero no tiene sentido en los sistemas modernos).

Requerir cambios frecuentes de contraseña alienta a los usuarios a escribir sus contraseñas y elegir las más simples. Esta es una compensación de amenazas, y debe considerar qué amenaza es más relevante.

Requerir que un usuario contenga "caracteres especiales" en una contraseña exacta de 8 caracteres, en lugar de permitir una contraseña de 30 caracteres que conste solo de letras, no tiene sentido.

No les dé a los usuarios una contraseña obvia y pídales que la cambien. No lo harán. Exija que lo cambien en el primer inicio de sesión, seleccione una contraseña segura para ellos sabiendo que la escribirán o haga que seleccionen una contraseña segura frente a usted.

carlito
fuente
0

Capacitamos a nuestros usuarios para elegir frases de contraseña y usar la primera letra de cada palabra.
WTOUTPPAUTFLOEW: agregue un cero o 3 (leetificante), varíe el bloqueo de mayúsculas un par de veces y obtendrá algo que ningún diccionario seleccionará pero que aún es fácil de recordar.

sin embargo, solo asegúrese de no cambiar su contraseña a una frase de contraseña basada en el eslogan / declaración de visión de la compañía, etc.

hellimat
fuente
-1

Para ayudar a prevenir lo que le sucedió al administrador de ese sitio web, y suponiendo que tenga acceso a un shell de Unix o Cygwin, puede usar

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

y verifique ese valor en una base de datos MD5, como http://gdataonline.com/ . Asegúrate de que no aparezca allí.

Además, aquí hay un ejemplo de un diccionario MD5 más crudo que obtuve simplemente buscando en Google ese valor hash (advertencia: archivo grande): https://secure.sensepost.com/sp-hash/jebwy

joev
fuente
1
Sí, claro, esta es la manera perfecta de enviar nuevos hash a su cola de trabajo para que en algún momento una simple búsqueda en Google del hash revele la contraseña. Recomiendo encarecidamente no enviar hashes a dichos sitios.
serverhorror
2
Su hash es "jeffa" por cierto ...
serverhorror