使用基于web的女子或CAD吗?您可能需要新密码政策| 2011-10-19

使用基于web的女子或CAD吗?你可能需要新的密码策略

2011年10月19日

2的评论

这些调用每月更换一次密码,或添加额外的字符,真的不工作。不工作。不管你做什么,你的系统和你的系统管理员比你想象的更不安全。难怪索尼,五角大楼……和你……很容易的目标。如果你使用网络合作CAD或BIM的工具,你可能需要重新思考你的密码策略。

我会解释为什么,如何接近最大密码安全,用最小的努力。最重要的规则是不要重复使用的密码。但是有更多的故事。

与欧特克WS (www.autocadws.com)、宾利导航器(www.bentley.com/en-us/products/projectwise%20navigator/)和(截止9月20日)Graphisoft BIMx (www.gsBIMx.com)允许基于网络的协作和开放共享文档,它从来都不是容易的地方未经授权的个人文件,他们可以抓住。

同时,CAD供应商,长期以来合理安全的私人赞助的网站为自己的用户合作,与iPad的独特魅力;春天以来许多已经发布了iPad的工具。但iPad一样伟大,图形处理能力并不是它的强项。这意味着从工作文件转换成iPad可以处理(和回来如果使用标记工具)。每一步应该需要一个不同的密码。

BIMx是共享的工具设计7.5亿Facebook用户,可以查看他们在www.gsBIMx.com,通过iTunes下载它们。将用户完全理解BIMx和产品之间的区别意味着只有机密协作?到目前为止,如果你想分享BIMx模型私下里,你将它附加到电子邮件或使用一个通用的共享工具(如YouSendIt或Dropbox(多个用户访问一个特定的目录中“共享”)。

危险超越违反客户端安全需求,特别是CAD图纸常常携带参数表以及其他专有数据。设计公司的网上银行账户被小偷。与消费账户,不要指望银行把钱还给你的。

密码是目前安全链中最薄弱的一环。几乎是不可能的,例如,打破WPA2-the常用的无线加密标准的蛮力。但容易猜密码是数十亿倍。

那些密码!

这里的建议是基于两个引人注目的论文发表在去年的ACM (电脑机械协会)计算机和通信安全会议上。这两篇论文是基于测试攻击真正的密码列表(3200万)已经被黑客入侵,黑客本身。论文有:

“现代密码过期的安全:一个算法框架和实证分析”,通过张Yinqian和其他在北卡罗来纳大学教堂山分校。(见相关链接PDF报告)。

“密码创建策略的测试指标需要通过攻击大套透露密码,”Matt堰(现在在横切)和其他人,明白了http://goo.gl/wqcX从堰的博客。

你必须说服你的系统管理员(和客户安全规则写进合同),密码建议烤到几乎所有安全software-advice基于NIST电子认证指南sp800 - 63是错误的。

NIST计算“香农熵”(内在随机性)的密码,并生成一个“熵分数”级别密码的韧性。你得分4位熵的第一个字符,额外的比特为额外的字符和更多的比特资本化和使用数字和特殊字符(像——_ ^)。这种过于乐观的计算网站使用您选择的密码当你进入它,并拒绝密码法官太弱。

香农熵是不一样的“猜测”熵,主要是因为密码倾向于遵循一个模式。资本化倾向于密码的第一个字符。数字往往是最后的一串字母,等等。黑客也利用“字典”的常用单词和模式。例如,字母“e”是迄今为止最常用的英文字符,和“1”最常见的号码。事实上,10个最常见的数字和组(123年,1、2、4、3、123456年,12日,7日,13日,和5)占26%的所有使用的数字密码。

添加数字字母实际上是用户的要求更少的创新;前10位数字组合占超过36%的所有数字!

论文显示容易猜测,考虑到常见的分组。密码策略,满足了NIST一级准则应该只允许在允许攻击者猜测密码的尝试与一个概率1024(1 16384年系统认证级别2)。但在堰的将近1%的7 +字符密码破解测试只有四个猜测。

堰说,NIST指南也大大低估了许多的安全密码抵抗网络攻击。这将导致过度繁重的密码创建策略,不允许许多密码实际上是安全的。

安全改善如果密码策略包括一个“黑名单”禁止某些abc123等常用密码。但是随着时间的推移,这将用户经常让他们blacklist-worthy采取其他密码。所以系统管理员必须发展他们的政策。

也进化:您或您的系统管理员需要了解Android和iOS (iPad / iPhone操作系统)。微软认证的安全不再是足够的。

密码管理软件提示

你可以跟踪那些真正难以突破的% ^ &39Fd& ! ! !密码密码管理器。苹果产品有一个内置的,有基本的密码“记忆”功能的浏览器。但对于无缝功能在所有您所使用的设备,这里有一些建议:

http://keepass.info/——免费,开源。

http://www.roboform.com/——跟踪你的密码并跟踪填写表单数据。

http://www.manageengine.com/ -密码管理器有免费版本适合较小的办公室,和一个企业版。

http://www.winguardpro.com/所有窗口,商店,这个免费软件是了不起的。

史蒂夫·罗斯曾在网络上的各种数据加密技术委员会审查标准。他还指出,第一个(如果不是第一)论文研究现实生活中的密码是由他的一个邻居,后期国家安全局密码学专家和UNIX先驱罗伯特·莫里斯,1新利18备用978年。3000年一群用户,三分之一的密码包含250000个单词都容易受到字典攻击。结合有限的蛮力攻击时,有86%的密码可能被破解。您可以通过editorsteve@gmail.com与写信给他