Wikipedia memiliki ringkasan yang bagus tentang topik ini
Praktik kata sandi yang umum Kebijakan kata sandi sering kali memasukkan saran tentang manajemen kata sandi yang tepat seperti:
- jangan pernah berbagi akun komputer
- tidak pernah menggunakan kata sandi yang sama untuk lebih dari satu akun
- tidak pernah memberitahukan kata sandi kepada siapa pun, termasuk orang yang mengaku berasal dari layanan pelanggan atau keamanan
- jangan pernah menuliskan kata sandi
- jangan pernah mengomunikasikan kata sandi melalui telepon, email atau pesan instan
- berhati-hati untuk logout sebelum meninggalkan komputer tanpa pengawasan
- mengubah kata sandi setiap kali ada kecurigaan mereka mungkin dikompromikan
- kata sandi sistem operasi dan kata sandi aplikasi berbeda
- kata sandi harus alfa-numerik
- membuat kata sandi SEPENUHNYA acak tetapi mudah untuk Anda ingat
Saran dari TU Delft :
Karakteristik kata sandi yang dapat diterima
- kata sandi berisi setidaknya delapan karakter, dan
- itu mengandung setidaknya satu huruf besar, dan
- itu mengandung setidaknya satu huruf kecil, dan
- itu mengandung setidaknya satu digit atau karakter lain seperti! @ # $% ^ & () {} [] <> ..., dan
- ini bukan istilah dalam bahasa atau jargon yang akrab, dan
- itu tidak identik atau berasal dari nama akun yang menyertainya, dari karakteristik pribadi atau dari informasi dari keluarga / lingkaran sosial seseorang, dan
- mudah diingat, misalnya dengan kalimat kunci, dan
- itu bisa diketik dengan lancar.
Praktik terbaik untuk melindungi kata sandi
- hindari penggunaan kata sandi yang sama untuk pekerjaan dan kehidupan pribadi;
- menganggap semua kata sandi sebagai informasi sensitif, dan tidak membaginya dengan akun kolega, anggota keluarga atau kenalan lainnya;
- jangan mengungkapkan kata sandi kepada kolega, bos seseorang atau kenalan lainnya, baik dalam keadaan normal atau dalam hal cuti atau sakit;
- tidak menyebutkan kata sandi apa pun di depan umum, melalui telepon atau komunikasi yang tidak terenkripsi;
- jangan pernah menuliskan kata sandi di lokasi yang dapat diakses secara bebas;
- jangan memberikan petunjuk tentang mnemonik yang digunakan untuk mengingat kata sandi Anda;
- jangan pernah memberikan informasi tentang kata sandi dalam kuesioner atau formulir keamanan;
- jika diduga ada penyalahgunaan, maka laporkan ini ke organisasi keamanan dan segera ubah semua kata sandi yang terlibat;
- jika seseorang ingin mengetahui kata sandi, maka rujuk dia ke kebijakan ini.
Untuk barang pribadi saya gunakan
sumber
Anda perlu memilih frekuensi "masuk akal" untuk seberapa sering mereka harus diubah. Terlalu cepat dan orang-orang akan berubah menjadi
<old_password>+<number>
(atau yang serupa), begitu lambat dan Anda meningkatkan risiko kata sandi dikompromikan. Mungkin perlu diselidiki apakah ada aturan yang bisa Anda buat untuk mencegah hal ini.Anda juga harus memiliki aturan yang mengatakan kata sandi tidak dapat digunakan kembali untuk begitu banyak perubahan (mungkin 10) sehingga orang tidak hanya bertukar antara dua (atau tiga) kata sandi untuk akun mereka.
Buat kata sandi setidaknya alfanumerik dengan setidaknya satu modal. Untuk membuatnya sedikit lebih aman, tambahkan bahwa harus ada setidaknya satu karakter non alfanumerik juga.
sumber
Anda dapat memiliki sesuatu seperti pembuat kata sandi seperti SuperGenPass . Jadi mereka bisa memiliki kata sandi yang lemah tetapi string yang dihasilkan akan sangat kuat. Tapi itu akan lebih untuk login situs web.
Pilihan lain adalah:
sumber
Pada hari Jumat saya harus mengubah kata sandi di situs klien saya. Aturan yang mereka miliki konyol. Mereka semua yang standar harus memiliki huruf besar, tanda baca, panjang minimum, dll.
Masalahnya adalah mereka sangat kompleks sehingga hampir tidak mungkin menemukannya, terutama karena pesan kesalahan tidak memberi tahu Anda persyaratan tambahan yang mereka miliki.
Saya menelepon help desk dan mereka berkata, gunakan saja seperti ini Pa5word # (bukan kata sandi asli) dan kemudian terus tambahkan nomornya ....
Saya menemukan sistem ini benar-benar gila karena mereka menghentikan Anda dari menggunakan frasa sandi misalnya "thisismypasswordforjanurary" sangat mudah diingat dan sangat aman, tetapi sebagian besar sistem tidak akan mengizinkan jenis-jenis frasa sandi tersebut.
Jadi saya akan memilih panjang minimum yang tinggi, katakanlah 15-20 karakter sehingga orang tidak bisa hanya menggunakan kata-kata dan kata sandi gaya l33t tidak diperlukan.
Apa pun yang Anda pilih, saya akan memastikan Anda mendokumentasikan apa batasannya, dan mengapa ada dan beberapa contoh bagi pengguna untuk membantu mereka menghasilkan batasan yang aman.
sumber
Sebagian besar responden di sini langsung menyarankan kebijakan. Yang menjawab pertanyaan jadi itu bagus. Tetapi menurut saya, Anda perlu bertanya pada diri sendiri terlebih dahulu: seberapa penting informasi yang Anda lindungi?
Misalnya, kebijakan kata sandi untuk departemen pertahanan untuk mengamankan informasi rahasia mungkin akan sangat berbeda dari kebijakan yang akan Anda gunakan untuk akun email sekali pakai.
sumber
Versi pendek:
Bagian admin saya mengatakan kata sandi 12-16 karakter dengan huruf dan angka huruf besar dan kecil. Juga harus memiliki bagian teks acak yang tidak ada dalam kamus. Harus memadai untuk mencegah serangan brute-force berbasis jaringan.
Sebagai pengguna, saya suka kata sandi yang mudah diingat, meskipun mungkin panjang (16 karakter ke atas). Setelah saya menghafalnya, saya bisa mengetiknya dengan cukup cepat. Mungkin alih-alih hanya menegakkan kebijakan, Anda harus menemukan cara pintar untuk mengajari pengguna Anda memilih kata sandi yang aman dan mudah diingat, bukan hanya karakter acak.
sumber