home *** CD-ROM | disk | FTP | other *** search
/ InfoMagic Standards 1993 July / Disc.iso / inet / isoc / isocnews / issue1_1 / 040.33a < prev    next >
Encoding:
Text File  |  1993-02-08  |  2.9 KB  |  68 lines
  1.  
  2.  
  3. N-1-1-040.33  Passwords, Our Keys to the Network, Jeffrey I.
  4. Schiller*, <jis@mit.edu>
  5.  
  6.  
  7. Perhaps one of the most useful doors that crackers are finding open on
  8. the Internet today are the passwords of others.
  9.  
  10. For most users, passwords are the way that they prove their identity
  11. to computers on the network, and the way that crackers forge their
  12. identity in order to break in.  The road to better security on the
  13. Internet starts with good password choices.
  14.  
  15. By definition a good password is one that is easy for you to remember,
  16. but difficult for anyone else to guess.  You want it to be easy to
  17. remember, so that you don't need to resort to writing it down.  It
  18. should be obvious why you don't want others to guess it!
  19.  
  20. Here are some guidelines to help you choose a good password (from the
  21. Site Security Policy Handbook (FYI 8, RFC 1244):
  22.  
  23.      DON'T use your login name in any form.
  24.      DON'T use your first, middle, or last name in any form.
  25.      DON'T use your spouse's or child's name.
  26.      DON'T use other information easily obtained about you (like license
  27.        plate numbers, telephone numbers etc.).
  28.      DON'T use a password which is all digits, or all the same letter.
  29.      DON'T use a word found in a dictionary (of any language!).
  30.  
  31.      DO use a password with mixed-case alphabetics (if your system
  32.     allows it).
  33.      DO use a password with non-alphabetic characters (digits or
  34.     punctuation).
  35.      DO use a password that is easy to remember.
  36.      DO use a password that you can type quickly, without having to look
  37.     at the keyboard.
  38.  
  39. You should also change your password frequently.  Just in case your
  40. password has been compromised by an intruder, changing it will
  41. probably lock them out.  If your password grants access to sensitive
  42. information, you also need to consider if crackers are attempting
  43. computational attacks.  These attacks, typically done offline using
  44. information already obtained from your system, for example a password
  45. file, may take weeks to succeed.  However if you change your password
  46. before the offline attack completes, you have won!
  47.  
  48. System Administrators may wish to check the quality of the passwords
  49. that their user community are using.  Several programs exist,
  50. depending on the type of computer system you have, that allow you, the
  51. System Administrator, to attempt to "crack" your users passwords.  In
  52. this fashion you can warn those who have poor passwords.  Some
  53. programs can even be put in place that disallow the selection of a
  54. password which fails to meet some or all of the guidelines given
  55. above.
  56.  
  57. A good source of information on this and other security related topics
  58. is FYI 8, RFC1244, "The Site Security Policy Handbook".  This
  59. document, available free from distribution sites around the Internet,
  60. is a valuable source of information and references to other security
  61. related works.
  62.  
  63. In future issues we will discuss other Internet security issues, like
  64. protecting passwords as the traverse the network.
  65.  
  66.  
  67. *MIT Network Manager, Massachusetts Institute of Technology
  68.