Perché un requisito della password proibirebbe un numero nell'ultimo carattere?

51

Nella configurazione di un nuovo sistema oggi (Juniper Space, piattaforma di gestione della rete basata su Linux), mi sono imbattuto in una bizzarra richiesta di password di cui sono curioso. Dopo aver effettuato l'accesso all'interfaccia utente Web con le credenziali predefinite, mi è stato richiesto di modificare la password, che è buona, e sono andato a fare, ma la mia password generata casualmente è stata rifiutata perché l'ultimo carattere era un numero. Questo mi è sembrato ancora più strano, dato che la password che ho fornito per l'interfaccia della riga di comando è finita in un numero ed è stata accettata.

Nellamiaesperienza,irequisitidipasswordcomequestoingenerehannoqualcheragionamentosottostante, come Q e Z non sono presenti su vecchi tastiere telefoniche o compatibilità dei sistemi legacy o j ust pianura sistemi / politiche / qualunque . Tuttavia, sto avendo un momento molto più difficile spiegare questa particolare politica con una di queste spiegazioni.

Qualcuno ha qualche idea del ragionamento alla base di una politica sulle password che proibirebbe un ultimo carattere numerico?

    
posta HopelessN00b 14.10.2016 - 20:52
fonte

3 risposte

55

Probabilmente è uno sforzo per scoraggiare le password che si adattano a formati comuni o maschere di caratteri. Se una politica password richiede l'uso di un numero, molte persone sceglieranno di mettere il proprio numero alla fine di una parola o di una parola. Ecco alcuni esempi di ambienti aziendali:

Gli aggressori amano questa abitudine degli utenti perché rendono più facile la loro password ibrida che rompe o indovina gli attacchi. Possono concentrarsi sulla combinazione di elenchi di parole con numeri aggiunti alla fine piuttosto che un approccio di forza bruta che richiede più tempo.

Quindi alcune organizzazioni implementano una politica come questa nel tentativo di migliorare la sicurezza, facendo in modo che gli utenti inseriscano i propri numeri in un luogo meno prevedibile. Sembra che nella tua situazione non stiano combinando questo con nessun altro controllo di complessità e rifiutando invece tutte le password che finiscono in un numero, indipendentemente da quanto siano casuali. Non è un ottimo modo per implementare questo tipo di controllo, ma non sono i soli a prendere questo approccio.

    
risposta data 14.10.2016 - 22:13
fonte
28

In base all'esperienza, la regola Must not reuse previous 6 passwords può indurre gli utenti a utilizzare uno schema di rotazione della password in cui la password corrente passa ciclicamente da something-that-fits-the-other-rules1 a something-that-fits-the-other-rules7 , per semplificare se stessi quando si obbedisce alla regola Must change password every 90 days che è comune nell'uso aziendale.

Gli strumenti di cracking delle password potrebbero utilizzare la conoscenza di questa abitudine nell'individuare password da indovinare.

La regola Must not contain number as the last character potrebbe essere un tentativo di aggirare tali schemi per costringere gli utenti a scegliere nuove password significativamente diverse da quelle precedenti.

    
risposta data 15.10.2016 - 00:02
fonte
-4

Perché i programmatori pensano alla programmazione dei computer e non a come le persone reali operano. Si trovano dove possono esercitare un potere arbitrario, così fanno, dimenticando il vero problema. In questo caso il problema è "rendere il sistema sicuro nonostante il comportamento naturale delle persone".

"Rendi le regole per le password davvero complicate, falle cambiare loro ogni settimana" - praticamente ti garantisce di trovare la password su una nota Post-It bloccata sul monitor.

    
risposta data 16.10.2016 - 16:06
fonte

Leggi altre domande sui tag