本文共 3239 字,大约阅读时间需要 10 分钟。
应用宝应用认领并签名
密码安全性涉及广泛的实践,但并非所有人都适合或可行。 因此,最好的策略是通过考虑最重大的风险(谁和您要防范的风险)来开发威胁模型,然后根据对那些特定威胁最有效的活动对安全方法进行建模。 电子前沿基金会(EFF)有 ,我鼓励所有人阅读。
在我的威胁模型中,我非常担心密码对(尤其是) 的安全性,在这种中,攻击者使用可能的或已知的密码列表来尝试闯入系统。 阻止字典攻击的一种方法是让服务提供商进行速率限制或在一定数量的失败后拒绝登录尝试。 另一种方法是不在“已知密码”数据集中使用密码。
创建了 (HIBP)通知人们何时在泄漏的数据转储和破坏中发现他们的信息。 如果您尚未注册,则应该这样做,因为仅注册便不会暴露任何东西。 特洛伊(Troy)已从这些数据中收集了超过5.5亿个现实世界的密码。 这些是真实的人使用的密码,并且被窃取或意外公开的数据所暴露。
该站点不会发布纯文本密码列表,但不必发布。 根据定义,该数据已经存在。 如果您曾经重复使用过密码或使用过“通用”密码,那么您将面临风险,因为有人正在构建这些密码的字典以立即尝试。
最近,Firefox和HIBP宣布他们正在以简化违规搜索。 美国国家标准技术研究院(NIST)建议您对照已知 ,如果发现,请进行更改。 HIBP通过通过API公开的密码检查功能支持此功能,因此易于使用。
现在,将网站的完整密码列表发送给网站将是一个坏主意。 虽然我信任 ,但有一天可能会受到影响。 相反,该站点使用称为的过程,该过程使您可以检查密码而不会暴露密码。 这是一个三步过程。 首先,让我们回顾一下步骤,然后我们可以使用pass-pwned插件为我们完成此操作:
我使用 ,这是一个基于的密码管理器。 它具有许多扩展,可以在上获得,也可以作为单独维护的 。 这些扩展之一是 ,它将使用HIBP检查您的密码。 Fedora 29、30和Rawhide都包装了pass和pass-pwn 。 您可以使用以下方法安装扩展名 :
sudo dnf install pass pass-pwned
或者您可以按照各自网站上的手册进行操作。
如果您刚刚开始使用pass ,请阅读获取很好的概述。
以下将快速设置通行证并检查存储的密码。 本示例假定您已经具有GPG密钥。
# Setup a pass password store $ pass init < GPG key email > # Add the password, "hunter2" to the store $ pass insert awesome-site.com # Install the pass-pwned extension # Download the bash script from the upstream and then review it $ mkdir ~ / .password-store / .extensions $ wget https: // raw.githubusercontent.com / alzeih / pass-pwned / master / pwned.bash -O ~ / .password-store / .extensions / pwned.bash $ vim ~ / .password-store / .extensions / pwned.bash # If everything is OK, set it executable and enable pass extensions $ chmod u+x ~ / .password-store / .extensions / pwned.bash $ echo 'export PASSWORD_STORE_ENABLE_EXTENSIONS="true"' >> ~ / .bash_profile $ source ~ / .bash_profile # Check the password $ pass pwned awesome-site.com Password found in haveibeenpwned 17043 times # Change this password to something randomly generated and verify it $ pass generate -i awesoem-site.com The generated password for awesome-site.com is: < REDACTED > $ pass pwned awesome-site.com Password not found in haveibeenpwned
恭喜,您的密码现在比以前更安全! 您还可以一次 。
定期检查密码泄露是在大多数威胁模型中帮助抵御大多数攻击者的绝佳方法。 如果您的密码管理系统不那么简单,则您可能需要升级到pass等 。
翻译自:
应用宝应用认领并签名
转载地址:http://ahizd.baihongyu.com/