Question Comment puis-je avoir un identifiant de domaine sécurisé sans mot de passe complexe?


Je suis récemment passé par une frénésie de sécurité, en utilisant un gestionnaire de mots de passe pour m'assurer que chaque mot de passe que j'utilise utilise des mots de passe complexes. Cependant, il y a un trou dans ce système: la connexion au domaine. Je ne peux pas démarrer le gestionnaire de mots de passe sans me connecter au système d'exploitation. Le mot de passe de mon domaine étant engagé en mémoire, il est nettement moins complexe que tout autre mot de passe que je possède.

Je ne veux pas dépendre d'un scanner d'empreintes digitales en raison d'une dermatite.

Quelles sont les options prises en charge par Windows 7 et 8 pour se connecter en toute sécurité à un compte de domaine?


4
2018-05-04 22:29


origine


Jeter un coup d'œil à cette bande dessinée xkcd. Cela pourrait être utile. - VL-80


Réponses:


Un scan d'empreintes digitales ne doit JAMAIS être considéré comme un remplacement de mot de passe. Il peut être utilisé comme facteur supplémentaire mais ne doit jamais être utilisé seul car il ne peut jamais être modifié.

Le meilleur mais le plus simple est de créer un motif dont vous vous souviendrez. Celui qui permet de changer au fil du temps mais reste toujours mémorable pour vous.

En vérité, il n'est pas si difficile de mémoriser un motif de lettres, de chiffres et de symboles et il existe de nombreux modèles que vous pouvez utiliser. C'est le modèle lui-même qui le rend mémorable. C'est vrai aussi pour les mots mais nous sommes conditionnés à reconnaître des mots significatifs bien sûr.

Donc un motif tel que:

mhall~ouat<14?05

"Mary avait un petit agneau ~ Il était une fois <2014? Mai" - compris?

Vous pouvez simplement jouer avec certains des symboles ou simplement les chiffres. Vous ne voudrez peut-être pas utiliser quelque chose d'aussi évident que la base si vous êtes vraiment paranoïaque, car une très bonne table arc-en-ciel pourrait vous aider.

Cet exemple est composé de 15 caractères avec à la fois des caractères alphanumériques et des symboles. Il pourrait être légèrement amélioré avec un ou deux majuscules, mais en réalité, il est plus important que leur utilisation réelle dans chaque mot de passe soit supérieure / inférieure / numérique / symbole.

Un tel mot de passe sera très fort même contre les menaces actuelles. La plus grande menace est la navigation sur l'épaule ou l'un des threads les plus ésotériques tels que l'analyse du son (de votre frappe).

Vous pouvez aller plus loin si vous le souhaitez grâce à l'utilisation de facteurs supplémentaires tels qu'une YubiKey ou une carte à puce, mais vous devriez vraiment les utiliser comme facteurs ADDITIONNELS et non comme un remplacement direct. Si vous souhaitez conserver une sécurité maximale,

Personnellement, j'utilise également des outils pour mémoriser la plupart des mots de passe et je privilégie un mot de passe Windows généré de manière vraiment aléatoire. Néanmoins, il ne s'agit que d'un seul mot de passe et, par conséquent, il n'est pas difficile de s'en souvenir après quelques types de pratique.

Notez également que si vous utilisez uniquement un mot de passe de connexion Windows, vous exposerez toujours TOUTES les données si quelqu'un s'empare de votre PC. Pour une sécurité réelle, vous avez besoin d'un BIOS UEFI, d'une puce TPM, de paramètres BIOS sécurisés et d'un chiffrement intégral du disque. Ce n’est qu’avec ceux-ci que vous serez en mesure de vous attendre à ce que les pirates ne puissent pas obtenir vos informations s’ils ont accès au PC.

Ensuite, vous devez également ajouter une protection supplémentaire à Windows. Microsoft EMET au moins, de préférence un outil de liste blanche d'applications (tel que intégré à AVAST AV). La liste blanche des applications permet uniquement à des applications spécifiques de s'exécuter et constitue presque certainement la meilleure défense actuelle contre les attaques de type «jour zéro». Avec EMET pour renforcer Windows et un bon outil AV / anti-malware tel que AVAST avec les autres mesures décrites, supprimer tous les logiciels inutiles et rester à jour avec les patchs restants, vous serez en sécurité possible d'être maintenant.

MISE À JOUR: Je me suis rendu compte que je n'ai pas répondu complètement à la question posée concernant les options disponibles pour la connexion aux domaines.

Il existe de nombreux outils pour cela et Windows prend en charge une fonctionnalité de connexion remplaçable qui s'appelait GINA. La connexion avec des cartes à puce est prise en charge en mode natif et de nombreux outils tiers complètent (ou remplacent) les connexions par identifiant / mot de passe standard sur le domaine, telles que les générateurs de mots de passe uniques (comme les jetons RSA). Vous pouvez également modifier les exigences de mot de passe pour les domaines Windows afin d'appliquer des mots de passe plus puissants. Je recommande de donner des conseils faciles dans ce cas, je me souviens de voir un certain nombre d'infographies qui expliquent le type de choix de mot de passe que je mentionne ci-dessus.


5
2018-05-04 22:56



Le système GINA a été remplacé par un modèle de fournisseur d'informations d'identification dans Vista. - Patrick Seymour
Il y a beaucoup de raisons de ne pas utiliser un scanner d'empreintes digitales pour la sécurité primaire. L'incapacité de changer vos empreintes digitales est sur la liste, mais elle n'est guère au sommet. - Matthew Najmon
selon xkcd 936 Je préférerais "" Mary Had a Little Lamb ~ Il était une fois <2014? Mai "comme mot de passe - PlasmaHH
@ PlasmaHH, je pense que Windows AD ferait probablement sauter un joint à la longueur même si je suis d'accord avec le sentiment. Bien sûr, je ne voudrais pas le taper plus d'une fois par an! - Julian Knight
@JulianKnight: Depuis les années 90, j'utilise des phrases secrètes pour beaucoup de choses et je dois dire qu'au moins pour moi, il est plus rapide de taper la phrase que de réfléchir à la prochaine lettre, quel cas, quelle 1337 ce qui était spécial dans ces schémas de condition de mot de passe particuliers. - PlasmaHH


Un seul mot de passe mémorisé peut être aussi sécurisé que tout mot de passe aléatoire stocké dans un gestionnaire de mots de passe. Vous avez besoin d'un algorithme simple qui transforme un mot ou une phrase facile à retenir (qui a une signification personnelle pour vous) en un mot de passe complexe. Vous pouvez écrire plus que suffisant pour rappeler la phrase et l'algorithme sans craindre que quelqu'un choisisse votre poche et la résolve.

Disons que vous aimez Disney. Votre phrase pourrait être Oncle Walt. Modifiez la phrase de manière novatrice, par exemple en échangeant la première et la dernière lettre de chaque mot et en les entourant de chiffres et de signes de ponctuation, tout en capitalisant des lettres apparemment arbitraires sur un motif (disons deux à partir de la fin).

Oncle (5 lettres) et Walt (4 lettres) pourraient devenir 4encLu $ taLw5.

Si vous étiez vraiment paranoïaque ou inquiet d’oublier votre propre algorithme, vous pourriez trouver quelque chose à noter, comme "45 $ pour une cellule d’animation Disney?", Comme si vous étiez en train de discuter d’un achat.

Quand il est temps de changer votre mot de passe, vous pouvez conserver l'algorithme personnel et trouver une phrase différente et une note "aléatoire".


3
2018-05-04 23:09



Je n'aime pas vraiment cette stratégie, car elle semble très intelligente en théorie, mais en pratique, il y a deux défauts majeurs: (1) le schéma de chiffrement ad hoc que vous proposez sur le tas sera très faible et ajoutera peu d'entropie (2) ) le temps nécessaire pour entrer le mot de passe vient de passer de 3 secondes à 2 minutes, ce qui offre plus d’opportunités aux internautes, surtout si vous ne pouvez pas faire le cryptage dans votre tête et utiliser un papier. - Superbest
J'ai plus de 60 mots de passe qui utilisent un système comme celui-ci et peuvent rappeler et entrer le plus sans référence en quelques secondes. De temps en temps, si je n'ai pas utilisé de service depuis un certain temps, je vérifierai ma liste de conseils, qui contient un mot par service, mais aucun indice sur le fonctionnement de l'algorithme. Le seul souci de la faiblesse du système dépend d'une personne réelle qui reconnaît et obtient physiquement votre indice. Si vous ne vous souvenez plus de votre algorithme, vous ne l'avez pas suffisamment conçu. Ce n'est pas censé être non fissurable, car rien ne l'est. Il est censé être raisonnablement sécurisé et facilement mémorable pour vous seul. - denmch
@ Superbe, vous avez fait un point important sur les choses qui semblent être sécurisées / aléatoires quand elles ne le sont pas. Le seul mot de passe vraiment fort est aléatoire. Cependant, nous devons parfois faire des compromis pour fournir des systèmes fonctionnels. - Julian Knight


Procurez-vous un ordinateur portable ou un clavier avec un lecteur de carte à puce et demandez une authentification par carte à puce pour votre connexion de domaine.

En raison de la publication d'un certain nombre de gros fichiers de mots de passe en clair, il est désormais possible d'avoir une très bonne idée de ce que les utilisateurs pensent être des mots de passe complexes, faciles à mémoriser. Le résultat est ce mot de passe complexe généré à l'aide d'algorithmes simples comme

a password that you can remember and then add lots of characters

a simple algorithm that transforms an easy to remember word or phrase

create a pattern that you can remember

--n'est plus complexe à générer. Il existe des algorithmes de craquage qui génèrent ces mots de passe, et tout ce que vous pensez être intelligent, tiré des millions d'exemples de mots de passe disponibles.


1
2018-05-05 08:23



Malheureusement, ce n’est pas non plus une panacée. Les cartes à puce reposent sur une infrastructure à clé publique solide, ce qui est notoirement difficile à mettre en œuvre et encore moins à maintenir à tout moment. Ils ont également tendance à être sécurisés avec un code PIN pour l'accès au lieu d'une phrase de passe forte, ce qui les affaiblit également. Bien sûr, ils fournissent un second facteur qui aide beaucoup. - Julian Knight


Nous pouvons réduire cette question à - comment créer un mot de passe fort et facile à mémoriser.

Je vais élaborer cette bande dessinée xkcd.

Votre mot de passe peut inclure toutes sortes de caractères (lettres, symboles, lettres majuscules) et peut utiliser une substitution de symbole commun, etc. et être très complexe. Mais ce sera difficile à mémoriser.

Ou il peut être composé de 4 à 5 mots aléatoires communs et être très simple à mémoriser. Dans le même temps, il vous apportera une meilleure sécurité car il est plus difficile de déchiffrer un mot de passe plus long.

Si la base de données est forcée à une vitesse décente, il n'y aura pas de différence significative entre les mots de passe GordanFreeman et g0rDAn&fr33mNa du point de vue de sa fissuration s'il est décidé d'aller jusqu'au bout de la fissuration.

Mais il y aura une différence entre les mots de passe g0rDAn&fr33mNa et GordanFreemanIsFightingWallaceBreenInCity17! - Je peux me souvenir de ce mot de passe facilement et dans le même temps, il sera beaucoup plus sécurisé que le premier mot de passe. Il y a même des lettres majuscules, des chiffres et des symboles dans ce mot de passe - pour satisfaire pleinement la politique de mot de passe de domaine s'il en existe.

En outre, voici un autre conseil - de l'Université de Stanford. Ils Publié nouvelle stratégie de renforcement du mot de passe:

Règles de mot de passe

Les règles de mot de passe de Stanford, basées sur la longueur du mot de passe, sont les suivantes:

8-11: mixed case letters, numbers, & symbols
12-15: mixed case letters & numbers
16-19: mixed case letters
20+: no restrictions

Il ne doit pas être égal à votre mot de passe actuel, aux mots de passe précédents, à l'identifiant SUNet ou à la réponse de réinitialisation du mot de passe.

Il ne doit pas s'agir d'un seul mot qui apparaît dans le dictionnaire (anglais ou non)

Il ne doit comporter que des caractères de l'alphabet romain, des chiffres ou des symboles du clavier américain. Les exemples incluent des caractères tels que # $%! @.

Choisissez une option que vous aimez et vous devriez être en sécurité.


0
2018-05-05 02:42



Malheureusement, c'est un ensemble d'hypothèses quelque peu dangereuses. Les codes d'accès longs sont plus sûrs, mais peut-être pas si la phrase elle-même peut être devinée ou est susceptible d'être utilisée couramment par d'autres personnes. Dans votre exemple, si la phrase que vous utilisez est relativement courante, elle pourrait être moins sûre que l’ensemble aléatoire de caractères et de symboles plus courts. C’est pourquoi les vérificateurs de la complexité des mots de passe basés uniquement sur la longueur et la complexité sont faux. Seuls les checkers sauvegardés avec des listes de mots et de phrases sont utiles. - Julian Knight


Pour un mot de passe de domaine sécurisé, la longueur du mot de passe est la principale facteur de fissuration du mot de passe.

Steve Gibson parle des mots de passe des bottes de foin comme moyen de créer de longs mots de passe. Vous pouvez lire sa page à https://www.grc.com/haystack.htm pour plus de détails. L'idée de base est de choisir un mot de passe dont vous vous souviendrez, puis d'y ajouter de nombreux caractères faciles à mémoriser. Par exemple, choisissez votre chien préféré, Snoopy, puis choisissez les deux derniers chiffres (14) du début de la Première Guerre mondiale (Snoopy a combattu le Baron Rouge pendant la Première Guerre mondiale). Ensuite, vous pouvez avoir le mot de passe suivant (changez les o en zéros pour obtenir des nombres):

Sn00py>>>>>>>>>>>>>>

Ce qui, selon le calculateur de Brute Force sur le site de Steve, prendra 11,52 milliards de siècles à craindre, en supposant un énorme réseau de Cracking capable de faire 100 000 milliards de fois par seconde (ce qui nécessiterait 1000 crackers de mots de passe). Ensuite, vous pouvez trouver un mot de passe simple et facile à retenir, mais qui est difficile à déchiffrer.

Note historique, les mots de passe de domaine Windows qui sont plus de 14 caractères sont stockés de manière plus sécurisée, ce qui ne permet pas de décoder le mot de passe en parties, de sorte que le mot de passe entier doit être décodé en un morceau.

METTRE À JOUR: L'utilisateur souhaitait un mot de passe "sécurisé" qui n'était pas complexe. Si vous voulez un mot de passe fort, un mot de passe qui résiste aux craqueurs de mots de passe, vous devez avoir un mot de passe long et complexe. Compte tenu de la contrainte de non complexe, la longueur du mot de passe sera la seule chose qui fournira une sécurité (mais il doit toujours être plus complexe qu'un simple caractère répété). L'utilisation du >> est d'étendre le mot de passe au point où une estimation de force brute n'est pas efficace. C'est ce que les chiffres de la page de Steve indiquent. Le problème est que si vous choisissez un schéma qui est également utilisé par un pirate de mots de passe, la force est bien moindre. C'est pourquoi, lorsque vous faites cela pour de vrai, vous devez choisir une base et des extensions qui peuvent être mémorisées, mais qui ne sont probablement pas dans une base de données de piratage. Si l'utilisateur veut un mot de passe avec "force réelle", alors la contrainte "non complexe" devra être supprimée.

Ta droite, Steve dit que ce n’est pas un compteur de force mot de passe. Ce qu’il dit, c’est qu’ajouter de la longueur à un mot de passe rend la force brute beaucoup plus difficile (les patterns d’exécution ne sont pas de la force brute). Le mot de passe ci-dessus était un exemple, l'utilisateur final devrait le modifier au niveau de complexité requis, tout en conservant un mot de passe long (15 caractères).


0
2018-05-05 02:44



Le checker de Steve n'est PAS un indicateur de force comme il le dit clairement. Pour obtenir une véritable mesure de la force du mot de passe, vous devez également appliquer les mêmes outils que ceux utilisés par les pirates. À savoir les tables arc-en-ciel contenant des listes de mots et de phrases courantes (et pas si courantes), y compris les échanges de lettres courants que vous avez utilisés ci-dessus. Une machine décente peut facilement vérifier à travers des millions de combinaisons. - Julian Knight