Bingung tentang menggunakan password yang "akan memakan waktu berabad-abad untuk istirahat"

Kalkulator online yang mendasarkan hasil mereka pada satu set tertentu dari asumsi, orang-orang yang mungkin tidak berlaku dalam salah satu kasus. Tidak ada dasar untuk percaya kalkulator untuk memberikan wawasan tentang bagaimana seorang penyerang mungkin memilih untuk memecahkan sandi.

Misalnya, jika saya tahu bahwa anda menggunakan pola, dan bagaimana pola itu, maka saya akan menyesuaikan saya bruteforcing untuk menyelaraskan dengan pola. Tidak ada cara untuk kalkulator online untuk menghitung itu. Ada faktor lain yang sejenis untuk memperhitungkan. "Entropi" adalah semua tentang membuat sebagai banyak keacakan mungkin. Mengatur pola telah banyak berkurang keacakan, terlepas dari karakter yang digunakan.

Jadi, ya, jangan ban seperti pola yang jelas, jika yang memenuhi tujuan anda.

Saya tidak memiliki kekhawatiran tentang metode yang melarang password ini, meskipun. Anda mungkin akan berjuang pertempuran yang salah.

Hanya ingin tahu, saya diperiksa ini sangat terkenal situs web(login page) dan menyatakan bahwa ini akan memakan waktu berabad-abad untuk istirahat.

Situs-situs tersebut tidak dapat diambil sebagai injil. Banyak yang tidak berharga, dan bahkan untuk orang-orang yang baik hasilnya harus diinterpretasikan secara hati-hati. Pertama-tama, sebagai aturan umum, sebuah kekuatan checker dapat secara meyakinkan memberitahu anda bahwa password yang lemah, tapi tidak benar-benar membuktikan kepada anda bahwa password yang kuat—password yang dapat't menemukan kesalahan dalam bisa jatuh untuk beberapa serangan yang meter doesn't model. Untuk beberapa contoh ekstrim, ini Ars Technica artikel sukses retak serangan pada beberapa jika tidak mengesankan panjang passphrases:

segera, banjir sekali-keras kepala sandi mengungkapkan diri mereka sendiri. Mereka termasuk: "aku akan melihat wajah anda lagi?" (36 karakter), "pada mulanya adalah firman;" (29 karakter), "dari kejadian sampai wahyu" (26), "saya tidak ingat apa-apa" (24), "thereisnofatebutwhatwemake" (26), "givemelibertyorgivemedeath" (26), dan "eastofthesunwestofthemoon" (25).

Hal lainnya adalah bahwa hanya karena satu meter mengatakan kepada anda bahwa itu hakim password yang kuat doesn't berarti bahwa semua meter tersebut dilakukan. Misalnya, zxcvbn pemeriksa, yang merupakan salah satu yang terbaik, berpikir ini adalah pecah dalam 3 jam oleh serangan offline jika password hashing adalah lemah:

password:              23##24$$25%%26
guesses_log10:         14
score:                 4 / 4
function runtime (ms): 3
guess times:
100 / hour:            centuries  (throttled online attack)
10  / second:          centuries  (unthrottled online attack)
10k / second:          centuries  (offline attack, slow hash, many cores)
10B / second:          3 hours    (offline attack, fast hash, many cores)

match sequence:
'23##24$$25%%26'
pattern:               bruteforce
guesses_log10:         14

Itu perkiraan 2 menit untuk1!2@3#4$5%6^, 2@3#4$5%6^7& dan a!b@c#d$e%f^ dengan 10B/serangan kedua (3 tahun di 10k/detik), sehingga orang-orang itu berpikir bahkan lebih buruk. (Meskipun tidak mencetak semua dari mereka 4/4. Meter ini merekomendasikan bahwa anda benar-benar menerima apapun dari password ini, karena perkiraan mereka're cukup mungkin untuk menahan serangan jika aplikasi anda telah menerapkan lambat hashing password. Tapi analisisnya benar-benar terbukti mereka're lemah untuk serangan tertentu yang anda harus mengurangi.)

Perhatikan bahwa zxcvbn model serangan hanya didasarkan pada pengetahuan umum tentang bagaimana sebagian besar pengguna memilih password—itu doesn't memiliki pengetahuan khusus tentang bagaimana organisasi anda's sandi kebijakan atau praktik-praktik yang mungkin memungkinkan berupa serangan untuk seseorang yang belajar mereka. Dan selalu ingat, alat ini dapat memberitahu anda bahwa password yang lemah, tetapi tidak bahwa itu adalah kuat—zxcvbn perkiraan abad ke celah aku akan melihat wajah anda lagi?, yang dari Ars artikel kami tahu benar-benar telah retak di kehidupan nyata.

Sekarang, aku berdiri bingung dengan daftar, harus saya tanda ini jenis-jenis tertentu password sebagai rentan dan melarang pengguna akan bagi mereka, bahkan jika mereka mengambil waktu yang sangat lama untuk istirahat?

Naluri anda bahwa password ini harus dilarang sebenarnya ternyata memiliki beberapa pembenaran, seperti yang ditunjukkan oleh zxcvbn hasil. Masalahnya adalah bahwa anda're mungkin untuk berhasil dalam menyusun sebuah daftar terbatas dari password yang sama-sama rentan, atau pola-pola yang seorang penyerang mungkin berhasil mengeksploitasi. Misalnya, untuk menangkap semua password yang zxcvbn berpikir adalah sebagai rentan sebagai yang terakhir tiga, anda'd perlu daftar dengan 1,2 triliun entri (10B password/second × 2 menit). Tidak praktis. Bahkan jika anda mencoba untuk menyingkat hal-hal kecil daftar pola untuk menolak, saya tidak't hitung pada berhasil memikirkan penyerang anda.

Satu hal yang pasti anda harus lakukan adalah menggunakan password yang kuat hashing, dengan bcrypt atau Argon2 password fungsi hash. Ini adalah apa yang zxcvbn hasil di atas menyebutnya "lambat hash," dan itu mungkin membuat anda entri kata sandi jauh lebih sulit untuk istirahat. (Tapi sekali lagi, ingat kekuatan checker dapat memberitahu anda bahwa beberapa password pasti aman, tetapi bukan itu's aman.)

Hal yang harus anda pertimbangkan selain itu:

• Gunakan daftar kecil (ribuan) password yang dikenal untuk menjadi sangat umum, dan melarang orang-orang. Daftar tersebut dapat dengan mudah ditemukan secara online.
• Gunakan Troy Hunt's 500M+ dilanggar password list, yang juga memiliki API online. (Pastikan anda membaca materi pada k-anonimitas sehingga anda don't benar-benar mengirim password ke API!)
• Menggunakan smart kekuatan meter perpustakaan seperti zxcvbn, yang jauh lebih canggih alternatif untuk deteksi pola seperti apa yang anda're merenungkan.
• Menerapkan kedua faktor otentikasi, sehingga password tidak anda hanya garis pertahanan.

Guessability password yang berarti mengetahui sesuatu tentang jenis password orang mungkin memilih. Kita semua tahu "Password" ditebak karena itu's kata dalam bahasa inggris. Tapi untuk tahu bahwa anda harus tahu bahasa inggris, atau memiliki konsep bagaimana bahasa inggris atau bahasa terkait lainnya mengeja kata-kata. Alien dari suatu tempat di sekitar Betelgeuse yang's pernah terpapar dengan bahasa inggris atau bahasa lain bahasa manusia isn't akan tahu bahwa "Password" mudah ditebak. Dengan kata lain, pola yang agak subjektif, yang (melampaui tingkat tertentu) membuat mereka sangat sulit untuk memprediksi di muka.

Demikian pula, untuk beberapa password pada daftar anda isn't segera jelas apa pola. 1!2@3#4$5%6^ terlihat agak "random" pada pandangan pertama, tapi anda'll dengan cepat melihat bahwa pada keyboard QWERTY, it's hanya 1-6, dan bergantian setiap karakter dengan tombol shift.

Selain itu, jika seseorang menunjukkan anda password CPE1704TKS anda juga mungkin berpikir itu's password yang baik. Ia memiliki 10 karakter huruf dan angka, ada's tidak dapat ditentukan pola berulang untuk itu, dan itu's bukan kata dalam setiap bahasa manusia. Anda'd menjadi salah meskipun, dan ini isn't besar password karena itu's sandi yang digunakan untuk meluncurkan rudal nuklir di akhir film Wargames.

Untuk alasan ini, menggunakan perhitungan "crackability" (berdasarkan panjang dan pemilihan karakter) dari situs acak yang sebagian besar palsu. Selain itu mereka bergantung pada seseorang untuk memperoleh password hash, yang itu sendiri adalah keamanan utama kompromi. Mereka're ganda palsu karena mereka menyiratkan anda tahu seberapa cepat hash membutuhkan. Hashing kecepatan yang bervariasi dengan banyak pesanan dari besarnya tergantung pada algoritma mana anda've dipilih. Jadi mengambil "crackability" skor dengan sebutir garam. Sebagian besar serangan di password hari ini menggunakan password yang umum, atau kembali password tidak dicuri password hash.

Ini benar-benar datang ke bawah untuk hanya mempertahankan daftar "bad password" yang orang lain telah ditemukan selama bertahun-tahun yang memiliki arti khusus. Dugaan saya adalah bahwa's di mana keamanan orang-orang yang datang dari.

Hal ini tidak mungkin untuk membuktikan bahwa password yang diberikan adalah sulit untuk retak.

Apa yang anda maksud dengan (benar) pernyataan bahwa "sangat rentan" adalah bahwa tidak ada yang lebih mudah ditebak algoritma untuk menghasilkan mereka, yaitu "hit nomor deretan keyboard QWERTY di seperti dan sederhana seperti pola". Hal ini terjadi untuk menjadi algoritma yang's mudah untuk mengenali manusia yang menghabiskan sepanjang hari menekan jari-jarinya di keyboard tersebut, tetapi pola pada keyboard tersebut sebenarnya agak "non-jelas untuk komputer", karena pada kenyataannya sebagian besar program komputer don't peduli sama sekali tentang tata letak fisik dari kunci-kunci†.

Saya bisa juga memberikan contoh seperti YWJjZGVmZ2hpamts, yang anda mungkin berpikir ini cukup aman password anda, tetapi anda akan benar-benar menjadi salah, karena hal itu terjadi untuk menjadi Base64 encoding string abcdefghijkl, dan itu mungkin tampak totally obvious untuk AI yang string foremostly sedikit pola.

Gagasan dari cara sederhana yang diberikan sedikit informasi yang dapat dinyatakan disebut Kolmogorov kompleksitas. Meskipun definisi sederhana, ini benar-benar sangat rumit konsep: itu sangat tergantung pada bahasa yang anda ingin mengungkapkan segala sesuatu, dan itu adalah uncomputable. Benar-benar yang terbaik yang anda bisa lakukan adalah mengevaluasi semua program singkat di ekspresif bahasa pemrograman dengan standar perpustakaan, tapi kalau tidak,'t berhasil‡ itu tidak berarti menjamin bahwa tidak ada rendah-entropi cara untuk menghitung password dalam bahasa lain yang termasuk satu yang penting fungsi standar. Jika anda didn't tahu tentang tata letak QWERTY, anda juga mungkin berpikir bahwa asdfqwerzxcv lebih aman, meskipun kejelasan ketika anda tahu itu.

Kesimpulannya: jika anda menemukan apapun rendah entropi representasi dari password yang diberikan, maka ya, melarang hal itu. Tapi tidak pernah membawa siapa pun's (termasuk program's) pernyataan pada nilai nominal yang diberikan password lebih aman jika mereka don't tahu bagaimana password yang benar-benar dihasilkan. Jika anda ingin memastikan benar-benar tak bisa dibobol password, satu-satunya cara untuk memastikan bahwa mereka keluar dari kuantum mekanik fisik proses acak.

†program Apapun yang bersangkutan dengan password cracking should tahu layout keyboard meskipun, karena itu's juga diketahui bahwa manusia cenderung untuk menggunakan pola tersebut. Juga, 23##24$$25%%26 cukup mudah bahkan without mengetahui tata letak keyboard, karena jumlah baris adalah hampir memerintahkan dalam ASCII. Jadi, situs ini benar-benar melakukan pekerjaan yang mengerikan di sini.

‡Yang's bahkan mengabaikan run-time masalah. Apa yang anda're lakukan di sini adalah hanya sebagai keras seperti brute-memaksa unknown password.

Password seperti "12345678" bisa dianggap random, jika anda ingin. Jika anda menggunakan generator password acak, probabilitas menghasilkan "12345678" adalah sama dengan "4h2Ud8yG" (hanya mengingat password alfanumerik). Dan "12345678" dapat menjadi sulit untuk istirahat sebagai "4h2Ud8yG", jika anda bruteforce itu secara acak dalam kisaran dari "00000000" untuk "ZZZZZZZZ". Tetapi kebenaran adalah password yang seharusnya't hanya menjadi acak, mereka harus mencari ** random juga. Mengapa? Karena penyerang akan sering menggunakan bruteforce berdasarkan kamus atau pola, sehingga password yang sudah't berdasarkan pada kata-kata atau pola yang lebih aman. Juga jika kata-kata dan pola yang digunakan untuk membuat password yang mudah diingat, maka kemungkinan semua password lainnya yang digunakan oleh orang yang sama akan lebih mudah untuk mengingat dengan cara yang sama. Jadi jika seorang penyerang mencuri salah satu dari password anda dan itu terlihat seperti "John75", mereka cenderung untuk istirahat mayoritas password anda dengan bruteforcing pola seperti "nama + nomor", "kata + nomor", atau beberapa variasi. Tetapi jika penyerang mencuri salah satu dari password anda dan itu terlihat acak seperti "4h2Ud8yG", maka mereka tidak't dapat mengekstrak informasi dari itu.

Jadi anda benar ketika anda mengatakan mereka password yang anda miliki adalah benar-benar tidak aman. Mereka don't bahkan memiliki semua entropi anda pikir mereka punya! Dan ini adalah karena password entropi didasarkan pada cara password terlihat seperti, atau cara password dibuat. Password seperti " 1!2@3#4$5%6^", jika anda berpikir seperti "jumlah diikuti oleh simbol, enam kali", anda akan memiliki (10x10)^6 = 10^12 kemungkinan. Yang kurang dari kemungkinan sederhana 8 karakter password yang terbuat dari huruf kecil dan angka: 36^8 = 2.8 x 10^12 kemungkinan. Tapi jika anda berpikir bahwa contoh password seperti "jumlah diikuti oleh simbol pada tombol yang sama, mulai dari 1 dalam urutan menaik, enam kali", maka total kemungkinan adalah... hanya satu!

Pertama, orang-orang password stregth indikator pedoman, bukan kebenaran mutlak.

Kedua, seberapa aman password, atau berapa lama itu akan mengambil untuk retak tergantung pada beberapa faktor. Untuk memahami hal ini lebih baik,'s penting untuk memahami bagaimana password 'break' di tempat pertama.

Ada 3 serangan umum pada password:

1. Penyerang mencoba untuk masuk ke layanan dengan menebak password
2. Penyerang ditemukan sama kombinasi username/password di tempat terpisah pelanggaran dan sekarang menggunakan itu terhadap pbb yang dilanggar layanan (credential isian)
3. Penyerang yang diperoleh database dump layanan, dan memiliki password hash. Mereka're sekarang brute-forcing hash untuk mengetahui plaintext password.

Untuk mencegah penyerang langsung menebak password, kita menegakkan semacam 'entropi aturan' DAN kita tingkat-membatasi usaha logon. Cara ini penyerang dapat't brute-force layanan anda secara langsung.

Untuk mencegah Credential isian yang lebih sulit.Terlepas dari seberapa kuat anda kekuatan kata sandi, it'akan sedikit membantu jika pengguna memiliki password yang sama pada terpisah dilanggar sistem -- dan bahwa sistem disimpan dalam plaintext!

Beberapa perusahaan (terutama Amazon, LinkedIn dan OpenTable) bahkan mengakses data pelanggaran dan memperingatkan pelanggan mereka -- meskipun pelanggaran yang luar mengatakan perusahaan-perusahaan. Ini membantu melindungi terhadap mandat isian (sedikit!), tapi mungkin sedikit terlalu jauh.

Akhirnya, ada's khas brute-forcing sandi hash. Ini adalah di mana seorang penyerang telah entah bagaimana berhasil meraih pengguna sandi hash dan sekarang mencoba untuk menebak plaintext dari hash. Berikut ini's di mana kita sering mendengar it'll memakan waktu berabad-abad untuk istirahat kiasan.

Biasanya para penyerang akan menggunakan alat seperti ocl-hashcat dalam kombinasi dengan wordlist umum password (seperti Rockanda atau Top1000 password, dll) untuk menebak plaintext. Penyerang mungkin juga brute-force setiap kombinasi huruf, angka dan karakter khusus, tapi ini isn't umum, karena itu's kurang efisien dari wordlist.

Yang memperlambat serangan, kita biasanya bergantung pada :

• Kuat menggunakan fungsi hash (Bcrypt bukannya MD5)
• Pengasinan individu password (untuk memaksa penyerang untuk brute force one by one)
• Mencegah pengguna menggunakan password yang lemah
• Mencegah pengguna menggunakan password dalam data sebelumnya pelanggaran (karena wordlist yang terdiri dari sebelumnya menembus password).

Untuk terakhir 2, NIST merekomendasikan sebagai berikut:

Saat memproses permintaan untuk membentuk dan mengubah hafal rahasia, petunjuk AKAN membandingkan calon rahasia terhadap daftar yang berisi nilai-nilai yang diketahui sering digunakan, diharapkan, atau dikompromikan. Misalnya, daftar ini DAPAT mencakup, tetapi tidak terbatas pada:

• Password yang diperoleh dari pelanggaran sebelumnya jasad.
• Kata-kata kamus.
• Berulang-ulang atau berurutan karakter (misalnya 'aaaaaa', '1234abcd').
• Konteks-kata-kata tertentu, seperti nama layanan, username, dan turunannya.

Jelas, pelayanan harus memaksa reset password sekali pelanggaran ditemukan pada layanan mereka.

Singkatnya, don't menjadi bingung tentang mengambil berabad-abad untuk istirahat omong kosong. Oleskan wajar set praktik di seluruh melindungi password dan anda harus baik, tidak bergantung sepenuhnya pada kekuatan password indikator untuk menentukan postur keamanan. Ini NIST link adalah tempat yang baik untuk memulai.

Sebagian besar saran online di password, untuk membuatnya lebih ramah, tanpa ada dasar yang kuat sama sekali. Ini berlaku terutama untuk disebut kompleksitas password, yang didasarkan pada mitos dari tahun 80-an dan untungnya - setelah penulis asli pada NIST mengakui tahun lalu - pada jalan keluar.

Anda dapat tidak memperkirakan kekuatan password tanpa memahami apa yang anda ancaman yang sebenarnya. Semua sepele kalkulator online ini adalah omong kosong karena mereka hanya melakukan beberapa matematika tanpa mempertimbangkan apa yang anda mencoba untuk melindungi terhadap.

Ancaman anda bisa brute-forcing. Dalam kasus seperti ini, hal pertama yang harus lakukan adalah untuk tidak membiarkan serangan brute-force. Jika seseorang memasukkan password yang salah seratus kali dan anda're tidak mengunci dia keluar, anda melakukan sesuatu yang salah yang tidak ada hubungannya dengan kekuatan password. Hal kedua yang harus dilakukan adalah panjang > kompleksitas (put yang ke Google, artikel yang bagus).

Jika anda ancaman adalah dictionary attack pada hash password, hal pertama yang harus dilakukan adalah untuk melindungi anda hash dengan benar. Yang kedua adalah untuk benar garam dan hash dengan tepat fungsi hash (bcrypt, scrypt, dll. - tidak MD5 atau SHA1). Yang ketiga adalah untuk tidak membiarkan kamus sederhana kata-kata dan permutasi. Menggunakan logika yang sama bahwa kerupuk gunakan, beberapa dari mereka yang tersedia secara publik.

Jika anda ancaman bahu-surfing atau post-it stiker, anda ingin menghindari yang tidak masuk akal kompleksitas penegakan, dan pastikan anda pengguna benar-benar dapat mengingat password mereka dan jenis mereka dengan cepat. Lagi, panjang > kompleksitas. Membuat panjang minimal 12 karakter, tetapi memungkinkan kata majemuk.

Dan sebagainya...

Singkatnya: Pertimbangkan ancaman, don't percaya sepele matematika perkiraan.

Hanya ingin tahu, saya diperiksa ini sangat terkenal situs web (login page), dan menyatakan bahwa ini akan memakan waktu berabad-abad untuk istirahat.

Klaim tersebut selalu sangat meragukan.

Masalah mendasar adalah bahwa untuk menghitung berapa lama waktu yang dibutuhkan seorang penyerang untuk memecahkan sandi yang anda butuhkan model penyerang.

Ideal penyerang akan mencoba password dalam urutan dari yang paling mungkin untuk paling tidak mungkin. Tentu saja real penyerang doesn't tahu bagaimana mungkin setiap password yang diberikan sehingga mereka harus menebak, mereka biasanya akan menggabungkan beberapa jenis kamus (yang jika penyerang agak kompeten akan mengandung lebih banyak dari sekedar kata bahasa inggris biasa) dengan sekelompok generasi aturan.

Masalahnya adalah bahwa model yang digunakan oleh penyerang password strength meter yang sering jalan di belakang sebenarnya penyerang dalam ukuran dari kamus dan kompleksitas aturan mereka.

Masalah mendasar dengan sandi pembatasan ini adalah bahwa apapun batasan yang anda buat pengguna akan sering melakukan minimal untuk mendapatkan password mereka untuk lulus.

Sekarang ini dapat menambahkan beberapa entropi, ada biasanya lebih dari satu minimal cara membuka password sehingga melewati aturan, tetapi entropi menambahkan jauh lebih kecil dari naif analisis mungkin menyarankan. Misalnya jika anda memaksa pengguna untuk menambahkan nomor ke kata sandi mereka dengan jumlah yang tidak proporsional dari mereka cenderung untuk memilih 1.

Anda mungkin bingung karena dengan asumsi bahwa adalah mungkin untuk menentukan password kerentanan apriori. Sebaliknya, hal ini sangat tergantung pada pola yang sebenarnya penyerang akan mencoba pertama kali. Oportunistik penyerang mungkin akan mencoba sebuah kamus atau daftar password bocor terlebih dahulu. Namun dengan menempatkan bahkan jumlah moderat usaha, mereka bisa mendapatkan cukup tepat. Ini adalah alasan mengapa itu adalah kehilangan pertempuran untuk menegakkan pedoman password. Sebagian besar pedoman yang mendorong pengguna untuk mengikuti berbagai persyaratan minimal ketika memilih password mereka. Hal ini dapat membantu brute-memaksa mereka. Misalnya,

• minimal panjang password dari karakter X memungkinkan penyerang untuk menghindari mencoba semua password yang lebih pendek dari X dan bukan fokus pada password panjang X, X+1, atau X+2 dengan asumsi bahwa banyak pengguna hanya memenuhi minimal persyaratan panjang.

• Menegakkan pola seperti "huruf kecil, huruf besar, angka dan karakter khusus", penyerang dapat mengasumsikan bahwa ada pengguna yang berasal password mereka menggunakan persis pola ini.

• Ini akan menjadi mungkin untuk memberikan umpan balik apakah mereka password adalah password bocor, tapi kemudian ada risiko bahwa mereka hanya akan berakhir memodifikasi itu sampai lolos. Sekali lagi, ini adalah sebuah petunjuk untuk penyerang tentang bagaimana untuk mengarahkan mereka memaksa kasar.

• Panjang maksimum adalah cukup jelas. Dalam kasus terbaik, panjang mengurangi manfaat dari menggunakan password manager. Dalam kasus terburuk, mereka dapat petunjuk untuk mendasari keterbatasan teknologi dari sistem login. Juga, mereka menempatkan batas atas pada kasus terburuk upaya penyerang harus mengeluarkan.

Untuk menentukan seberapa keras password crack, anda harus tahu entropi, yang jelas situs ini dapat't tahu. Mereka membuat perkiraan terbaik mereka dan kemudian kembali bahwa sebagai hasilnya.

Dalam rangka untuk benar menghitung password's entropi, anda harus berasumsi bahwa penyerang tahu banyak tentang bagaimana password yang telah dibuat sebagai pencipta lakukan. Jika sang pencipta selalu menyertakan salah satu dari dua 10-huruf kata-kata, maka penyerang harus tahu bahwa salah satu dari kata-kata tersebut akan hadir dan apa yang mereka.

Dari ini anda dapat melihat bahwa pola ini sangat entropi rendah (tidak lebih dari 7 bit). Tapi sejak website don't tahu itu, mereka menilai hal itu sebagai jauh lebih tinggi. Jika anda ingin password yang baik, anda harus memiliki keacakan. Cara untuk mendapatkan pengguna untuk menerima dan memiliki keacakan ke password adalah masalah. Lebih baik untuk mencoba untuk mencari tahu bagaimana untuk mendapatkan orang lain untuk melakukan password atau kata sandi yang setara.