Gabay sa seguridad
Password vs Passphrase
Ihambing ang random character password at random-word passphrase, kabilang ang memorability, entropy, storage, at mga ligtas na gamit.
Buod
Ang password ay karaniwang isang string ng random na mga character. Ang passphrase ay karaniwang isang pagkakasunod-sunod ng mga salita. Alinman ay maaaring maging malakas kung ito ay random na nabuo, natatangi, at ligtas na naimbak o naisaulo. Ang tamang pagpili ay depende sa kung kailangan mo ng maximum compactness, madaling pag-type, o memorability.
Gamitin ang passphrase generator kapag gusto mo ng random na mga salita, o ang password generator kapag ang isang site ay umaasa ng compact character password.
Random character password
Ang random character password ay mahusay: bawat character ay maaaring magdagdag ng search space. Ito ay perpekto para sa mga password manager, admin panel, WiFi, banking, email, at developer secrets. Ang downside ay mahirap itong isaulo at hindi kaaya-ayang i-type sa maliliit na keyboard.
Random-word passphrase
Ang passphrase ay mas madaling basahin at i-type. Ang mahalagang salita ay “random.” Ang isang pangungusap na iyong inimbento, isang quote, isang liriko ng kanta, o isang pamilyar na parirala ay maaaring mahulaan ng pattern-based tools. Ang isang passphrase ay dapat gawin mula sa mga independiyenteng napiling salita mula sa isang sapat na malaking listahan.
Praktikal na rekomendasyon
- Gumamit ng random character password para sa karamihan ng mga account na naka-store sa isang manager.
- Gumamit ng passphrase para sa mga credential na maaaring kailanganin mong tandaan.
- Huwag gumamit muli ng alinmang format.
- Iwasan ang mga personal na parirala, quotation, pangalan, at petsa.
- Suriin kung ang mga puwang o separator ay tinatanggap ng destinasyon.
Detalyadong gabay
Ang gabay na ito ay nakatuon sa pagpapasya sa pagitan ng random character password at random passphrase. Ito ay isinulat para sa mga taong nangangailangan ng parehong secure na naka-store na password at memorable login secrets, kaya ang praktikal na layunin ay hindi upang lumikha ng isang dramatikong claim sa seguridad. Ang layunin ay pumili ng isang password habit na makakaligtas sa pang-araw-araw na paggamit: sign-in forms, password manager, mobile keyboard, account recovery, shared device, at ang paminsan-minsang serbisyo na may kakaibang validation rules. Ang isang secure na rekomendasyon ay kapaki-pakinabang lamang kung ang isang tunay na tao ay maaaring sumunod dito nang tuloy-tuloy.
Ang pinakaligtas na panimulang punto ay randomness plus uniqueness. Ang randomness ay nangangahulugan na ang halaga ay pinili mula sa isang malaking espasyo sa pamamagitan ng isang cryptographically suitable random source, hindi inimbento mula sa isang kaarawan, pangalan ng alagang hayop, keyboard pattern, o paboritong quote. Ang uniqueness ay nangangahulugan na ang parehong password ay hindi ginagamit saanman. Ang isang password na mahaba ngunit ginamit muli ay maaaring mabilis na mabigo pagkatapos ng isang hindi kaugnay na breach, habang ang isang natatanging random password ay naglilimita sa pinsala sa iisang account kung saan ito ginamit.
Para sa paksang ito, ang isang praktikal na preset ay apat hanggang anim na random na salita para sa memorability, o random character para sa password-manager storage. Maaari mong ilapat ang preset na iyon gamit ang passphrase generator at pagkatapos ay i-store ang huling halaga sa isang pinagkakatiwalaang password manager. Ang PwdGen ay bumubuo ng mga halaga nang lokal sa browser gamit ang Web Crypto; ang nabuong password ay hindi ipinapadala sa isang PwdGen server. Ang lokal na disenyong iyon ay nagbabawas ng server-side exposure, ngunit hindi ito nagpoprotekta laban sa bawat banta. Ang isang malisyosong browser extension, isang compromised device, isang phishing page, o hindi ligtas na clipboard handling ay maaari pa ring mag-expose ng isang secret pagkatapos itong mabuo.
Ang pinakakaraniwang problema na dapat iwasan ay ang mga sulat-kamay na parirala, sikat na quote, liriko ng kanta, personal na slogan, at dictionary phrases na pinili ng isang tao. Ang mga problemang ito ay mahalaga dahil ang mga attacker ay bihirang kailanganing i-brute-force ang bawat posibleng password kapag ang mga gawi ng tao ay nagbibigay sa kanila ng shortcut. Ang credential stuffing, phishing, leaked password list, at account-recovery abuse ay kadalasang mas makatotohanan kaysa sa isang purong mathematical search. Iyon ang dahilan kung bakit ang pinakamahusay na payo ay pinagsasama ang password quality sa account-level controls tulad ng MFA, passkeys, recovery-code storage, at regular na pagsusuri ng recovery email o phone settings.
Gamitin ang checklist na ito kapag inilalapat ang rekomendasyon:
- Gumamit ng random na napiling mga salita, hindi isang pangungusap na iyong inimbento.
- Panatilihing consistent ang mga separator sa destinasyon form.
- Huwag gumamit muli ng passphrase sa iba’t ibang account.
- Gumamit ng manager para sa mahahabang random password.
Kung ang isang website ay tumanggi sa ideal setting, huwag pilitin ang password sa isang mas mahinang pattern sa pamamagitan ng kamay. Ayusin ang isang variable sa isang pagkakataon. Kung ang mga simbolo ay tinanggihan, panatilihing naka-enable ang uppercase, lowercase, at numbers at dagdagan ang haba. Kung ang maximum na haba ay mababa, gamitin ang pinakamalaking tinatanggap na haba at tiyaking natatangi ang halaga. Kung ang isang password ay kailangang basahin nang malakas, i-print, o i-type sa isang telebisyon o router screen, isaalang-alang ang pagbubukod ng mga nakakalitong character at dagdagan ang haba upang mabayaran ang mas maliit na alphabet.
Sa wakas, tandaan ang hangganan ng password advice. Ang isang malakas na password ay isang layer ng depensa, hindi isang garantiya. Hindi nito magagawang ligtas ang isang phishing page, ayusin ang malware, o mabayaran ang isang serbisyo na hindi maayos na nag-iimbak ng mga credential. Ang kapaki-pakinabang na gawi ay boring ngunit matibay: bumuo ng isang natatanging halaga, i-store ito nang ligtas, protektahan ang recovery path, at palitan ito nang mabilis kung pinaghihinalaan mong na-expose.
Mga madalas itanong
Ang passphrase ba ay palaging mas malakas kaysa sa password?
Hindi. Ang isang random na passphrase ay maaaring maging malakas, ngunit ang isang pamilyar na quote o pangungusap ay hindi katumbas ng random na napiling mga salita.
Kailan ako dapat pumili ng passphrase?
Pumili ng passphrase kapag maaaring kailanganin mong tandaan o i-type ito nang manu-mano, lalo na para sa isang password-manager master credential.
Ilang salita ang dapat gamitin sa isang passphrase?
Apat na random na salita ay isang praktikal na panimulang punto; magdagdag ng mas maraming salita para sa mas mataas na halaga ng paggamit o mas maliit na wordlist.