Votre meilleure défense est d`utiliser un générateur de mot de passe vraiment aléatoire (comme ce site). Toutes les procédures de prélèvement d`une phrase secrète impliquent un compromis entre la sécurité et la facilité d`utilisation; la sécurité devrait être au moins „adéquate” tout en n`étant pas „trop sérieux” utilisateurs ennuyeux. Construisez un bon mot de passe aujourd`hui et réinitialisez vos comptes. En 2012, deux chercheurs de l`Université de Cambridge ont analysé les phrases secrètes du système Amazon PayPhrase et ont constaté qu`un pourcentage significatif est facile à deviner en raison de références culturelles communes telles que les noms de films et les équipes sportives, perdant une grande partie du potentiel de utilisant des mots de passe longs. Comment dois-je gérer le mot de passe pour les autres services Web que j`utilise? Au moins, il sera plus sûr si le hachage est implémenté correctement. Oui, je sais, beaucoup d`entre vous ont parlé et fait cela pendant des années. Même un mélange de ces modèles, tels que [mot commun] + [nombre] sera simple à craquer. Par opposition à un caractère de dix (alpha/digit/spécial) = environ 10 ^ 18-dans si les pirates cibles passent-phrases (qui ils seront)-alors la phrase de passe est 10000 fois moins sécurisé. Essayez comme nous pourrions, les humains finissent généralement par utiliser l`un des quelques modèles prévisibles lors de la création de mots de passe.

Il est bon de choisir des mots pour votre mot de passe qui ne sont pas des mots anglais communs aussi ils ne devraient pas suivre les grammaires formelles. Le nombre de combinaisons qui doivent être testées dans des conditions suffisantes font qu`une attaque de dictionnaire est si difficile qu`elle est inréalisable. Deuxièmement, si bien choisi, ils ne seront pas trouvés dans n`importe quel dictionnaire de phrase ou de citation, de sorte que ces attaques de dictionnaire sera presque impossible. En d`autres termes, si un attaquant sait que vous utilisez un mot de passe Diceware de sept mots, et ils choisir sept mots aléatoires de la liste de mots Diceware à deviner, il ya un dans 1719070799748422591028658176 chance qu`ils vont choisir votre phrase secrète chaque essai . Vérifiez l`onglet réseau de votre navigateur pour vérifier. D`autre part, les mots de passe sélectionnés par l`utilisateur ont tendance à être beaucoup plus faible que cela et en encourageant les utilisateurs à utiliser même les mots de phrases secrètes 2-mot peut être en mesure de soulever l`entropie de moins de 10 bits à plus de 20 bits. La probabilité de deviner une phrase secrète faite de ces mots choisis au hasard devient exponentiellement plus petite avec chaque mot que vous ajoutez, et en utilisant ce fait, il est possible de faire des phrases secrètes qui ne peuvent jamais être deviné. Si la compatibilité descendante avec Microsoft LAN Manager n`est pas nécessaire, dans les versions de Windows NT (y compris Windows 2000, Windows XP et versions ultérieures), une phrase secrète peut être utilisée comme substitut d`un mot de passe Windows.

Si vous voulez utiliser vos paroles préférées à partir d`une chanson, saisissez le premier couple de caractères des mots dans votre ligne préférée, au lieu de corder les paroles entières ensemble. Les pirates savent que les gens utilisent passphrases, alors qu`est-ce que vous faites-vous obtenez une liste de 4000 mots, 4 combos mot = environ 10 ^ 14. Peuvent-ils encore comprendre? Il y a de la place pour le débat concernant l`applicabilité de cette équation, selon le nombre de bits d`entropie assigné. Si votre mot de passe est basé sur n`importe quel type de modèle, en utilisant une combinaison des étapes ci-dessus, il finira par être fissuré. Le commerçant doit demander à l`utilisateur de se réauthentifier après une session inactive pendant 15 minutes. À la fin, l`utilisateur — et son mot de passe — est presque toujours le maillon le plus faible. La FAQ de la phrase secrète PGP [8] propose une procédure qui tente un meilleur équilibre entre la sécurité théorique et la praticité que cet exemple. Lorsque vous avez besoin de plus de sécurité que 30 mots de passe de caractères salés et hachés avec bcrypt, vous n`allez probablement même pas utiliser un mot de passe pour la sécurité plus.