Каков набор разумных требований к паролям?

Question

Что такое набор разумных требований к паролям?

Например, Chase.com требует

• Должен содержать 7-32 символа
• Должен включать вхотя бы одно число и одна буква
• Не может включать специальные символы (&,%, * и т. д.)

Я не уверен, что длина и исключение "специальных символов"это обычная практика.Например, я помню, как видел, что длина должна быть 8 или меньше, и нет ограничений на пунктуацию на других сайтах.

Каков обычно общий набор требований к паролям?Одной из целей является автоматическое создание паролей, совместимых с большим количеством веб-сайтов.

Answer 1

Одна вещь, которую я нахожу лично раздражающей, это сайты, которые требуют, например, хотя бы один знак пунктуации, или сочетание заглавных и строчных букв и так далее.Очевидно, abcd!3FG - хороший пароль, но dcipdzvqxzcdhrti (16 случайных строчных букв, 75+ бит) - плохой.

Я склонен использовать длинные случайные последовательности букв нижнего регистра, отчасти потому, что они намного легче набирать на небольших мобильных устройствах;буква может быть 1 нажатием клавиши, тогда как «>» может быть 4, при этом метод ввода может варьироваться от одного устройства к другому.

С другой стороны, определить, является ли данный пароль надежным или слабым, действительно сложнопроблема.Единственный реальный способ сделать это - воспроизвести методы, используемые плохими парнями, пытающимися угадать ваш пароль, что в общем случае является невозможной проблемой.Для большинства пользователей (тех, кто не знает, что dcipdzvqxzcdhrti имеет 75+ битов энтропии, и, вероятно, не поймет этого, если вы им скажете), требовать забавных персонажей, вероятно, достойная эвристика.

Соответствует .

Answer 2

Действительно разумным требованием было бы «все, что генерируется Diceware ».Несколько слов, без специальных символов.

Xkcd объясняет, почему:

Answer 3

Что такое общий набор требований к паролям?

В требованиях к паролям делается попытка убедиться, что их невозможно угадать.

Согласно: http://technet.microsoft.com/en-us/library/cc756109(WS.10).aspx

Слабый пароль:

Нет пароля вообще.

Содержит ваше имя пользователя, настоящее имя или название компании.

Содержит полное словарное слово. Например, пароль является слабым паролем.

Надежный пароль:

Не менее семи символов.

Не содержит вашего имени пользователя, реального имени или названия компании.

Не содержит полного словарного слова.

Значительно отличается от предыдущих паролей. Пароли, которые увеличиваются (Password1, Password2, Password3 ...), не являются надежными.

Содержит символы из каждой из следующих четырех групп: Прописные буквы, строчные буквы, цифры, другие символы

Некоторые веб-сайты не требуют специальных символов, в то время как для большинства из них в пароле требуется не менее 8 символов. Поскольку у большинства людей слишком много user accounts, из-за этого сложно иметь много good strong паролей.

Обычно я сохраняю первые 8 символов моего пароля в виде букв + цифр и специальных символов в конце. так что, когда я создаю новую учетную запись на веб-сайте, который не требует специальных символов, мне просто нужно ввести первые 8 символов моего пароля. Это избавляет меня от угадывания / создания надежных паролей время от времени.

Answer 4

Я бы сказал, что длина пароля должна составлять минимум из 8 символов, очевидно, чем длиннее, тем лучше. Специальные символы и цифры не являются обязательными, но они значительно усложняют пароль. У меня есть много онлайн-аккаунтов, от личных до деловых, и все они поддерживают до 32 символов (минимум 8), чувствительны к регистру и поддерживают специальные символы.

Кроме того, я настоятельно рекомендую специальные символы, потому что они нередко уменьшают ссылку пароля на словарное слово.

Это не так много, я надеюсь, что, по крайней мере, оно направит вас в правильном направлении.

Sam