Password Selection StrategiesThe le

Sandi pilihan strategiPelajaran dari dua eksperimen baru saja dijelaskan (Tabel 3.1 dan 3.2) adalah bahwa,ketika tidak dibatasi, banyak pengguna memilih password yang terlalu pendek atau terlalu mudahuntuk menebak. Di sisi ekstrem lain, jika pengguna ditetapkan sandi yang terdiri dari delapankarakter cetak yang dipilih secara acak, sandi cracking tidak efektif mungkin.Tapi itu akan hampir mustahil untuk kebanyakan pengguna untuk mengingat merekasandi. Untungnya, bahkan jika kita membatasi alam semesta password string karaktercukup mengesankan, ukuran alam semesta masih terlalu besar untukizin praktis retak. Tujuan kita, kemudian, adalah untuk menghilangkan guessable password sementaramemungkinkan pengguna untuk memilih sandi yang mengesankan. Empat dasar tekniksedang digunakan:• Pendidikan pengguna• Computer-generated password• Reaktif sandi memeriksa• Proaktif sandi memeriksaPengguna dapat diberitahu pentingnya menggunakan sandi keras-to-duga dan dapatdisediakan dengan panduan untuk memilih password yang kuat. Strategi ini pendidikan penggunatidak mungkin untuk berhasil paling instalasi, terutama mana ada besarpopulasi pengguna atau banyak omset. Banyak pengguna akan mengabaikan pedoman.Orang lain mungkin tidak baik Hakim dari apa sandi yang kuat. Sebagai contoh, banyakpengguna (keliru) percaya bahwa membalikkan sebuah kata atau memanfaatkan huruf terakhir membuatpassword unguessable.

Password Selection Strategies
The lesson from the two experiments just described (Tables 3.1 and 3.2) is that,
when not constrained, many users choose a password that is too short or too easy
to guess. At the other extreme, if users are assigned passwords consisting of eight
randomly selected printable characters, password cracking is effectively impossible.
But it would be almost as impossible for most users to remember their
passwords. Fortunately, even if we limit the password universe to strings of characters
that are reasonably memorable, the size of the universe is still too large to
permit practical cracking. Our goal, then, is to eliminate guessable passwords while
allowing the user to select a password that is memorable. Four basic techniques
are in use:
• User education
• Computer-generated passwords
• Reactive password checking
• Proactive password checking
Users can be told the importance of using hard-to-guess passwords and can be
provided with guidelines for selecting strong passwords. This user education strategy
is unlikely to succeed at most installations, particularly where there is a large
user population or a lot of turnover. Many users will simply ignore the guidelines.
Others may not be good judges of what is a strong password. For example, many
users (mistakenly) believe that reversing a word or capitalizing the last letter makes
a password unguessable.