Что делать если запрещают похожие пароли

[ny_quant]

Это к предыдущей записи, конкретно к первому комментарию.

Можно делать так. Берем любую бессмысленную последовательность символов, например GFroiasd и соединяем её с какой-нибудь чуть более сложной чем день или год рождения легко запоминаемой комбинацией цифр, скажем 8822 для определенности. Пароль значит будет GFroiasd8822. После этого GFroiasd записывается на post-it бумажке и прилепляется к монитору (копия в ящик), а 8822 запоминается насвсегда. Когда пароль истек, берем любую другую случайную комбинацию, скажем KJLoprweo, переписываем бумажки, так что новый пароль будет KJLoprweo8822.

Правда, это всё хорошо если пароль один общий. Если систем много, то хоть стреляйся.

Comments

даже NIST признал что не надо заставлять юзеров менять п

[slavka.livejournal.com]

при всем при этом:

NIST just finalized new draft guidelines, substantially revising password security recommendations and upending many of the standards and best practices which security professionals use when forming policies for their companies.

NIST develops Federal Information Processing Standards (FIPS) which the Secretary of Commerce approves and with which federal agencies must comply. NIST also provides guidance documents and recommendations through its Special Publications (SP) 800-series.

NIST guidelines often become the foundation for best practice recommendations across the security industry and are incorporated into other standards.

NIST is now in the process of finalizing 800-63-3: Digital Identity Guidelines, and it has made some long overdue changes when it comes to recommendations for user password management.

The new framework recommends, among other things:

Remove periodic password change requirements
Drop the algorithmic complexity song and dance
Require screening of new passwords against lists of commonly used or compromised passwords

https://www.passwordping.com/surprising-new-password-guidelines-nist/

Re: даже NIST признал что не надо заставлять юзеров менят

[ny-quant.livejournal.com]

Ну, ура, что ли.

[ad-vocem.livejournal.com]

А почему бессмысленную последовательность? Лучше что-то, что можно запомнить. Берется известная русская цитата, например,
"Мой дядя самых честных правил". От каждого слова оставляем две первые буквы, получаем Modiasachepr + цифры (тоже лучше со значением).
Или "утром деньги, вечером стулья" - Utdevest.

У меня таких паролей штук восемь, я их все помню.

[ny-quant.livejournal.com]

Это гениально, но у нас запрещают предыдущие 16 и я уверен это не предел.

[ninazino.livejournal.com]

У нас тоже, но я с этим борюсь так: держу в самом конце какой-нибудь не альфанумерический символ, и меняю его. Проходит. И все шесть месяцев надо помнить только этот последний символ, потому что исходная бессмысленная альфанумерическая последовательность в памяти уже прочно и давно.

[ny-quant.livejournal.com]

Это у вас пока что плохо проверяют на похожесть с предыдущими.

[ninazino.livejournal.com]

Плохо, точно, но это же хорошо!

[ad-vocem.livejournal.com]

А если циферки передвигать - сперва в конце, потом в начале, а потом ровно посередине? Цифры, кстати, менять легче. Я использую советский адрес, советский телефонный номер и хорошо мне известные исторические даты. Чем плохи числа 1789, 1812, 1937, 22641 и т.д.

[ny-quant.livejournal.com]

Я думаю, на 16 вариантов так не набрать, но в принципе я так тоже делаю. Зависит от алгоритма распознавания похожих паролей.

[xaxam.livejournal.com]

Молчи! Тебя слушает Ассанж!

[sydorov47.livejournal.com]

Умные безопасники переводят пользователей на passphrases.
То бишь пусть длинно, но без всякой сложности.
И менять реже.
Но не все существующие системы это позволяют.
Вот и будем еще мучаться...

[reeders.livejournal.com]

Если систем много, то мой рецепт enterprise single sign on с биометрическим входом. Вообще ничего запоминать не надо