Perché devo avere una password "strong" per siti come questo? [duplicare]

Ti ricordi all'inizio di quest'anno quando il cloud di Apple è stato violato?

Bene, il cloud di Apple non è stato violato . Alcune celebrità con password veramente deboli hanno indovinato le loro password.

Ma i titoli continueranno a leggere che il cloud di Apple è stato violato. Ed è per questo che non permetti agli utenti di usare password veramente deboli.

Alcuni utenti non forniranno alcuna informazione personale e non si preoccuperanno se il loro account viene violato. Gli altri lo faranno. È facile richiedere password complesse da parte di tutti e è difficile capire quali utenti rientrano in una determinata categoria e richiedono password complesse solo da quest'ultimo gruppo. Quindi perché dovrebbero preoccuparsi di farlo nel modo più difficile?

Modificato per aggiungere: quale esperienza ci mostra è che non puoi affidarti agli utenti per valutare i propri requisiti di sicurezza e scegliere password sicure se hanno bisogno di sicurezza. Un sacco di utenti che vogliono e si aspettano alti livelli di sicurezza selezioneranno comunque password deboli se sono autorizzati a farlo.

Solo perché non ha importanza per te non significa che non ha importanza per nessuno. Ho ottenuto un ottimo lavoro dal sito di lavoro di StackExchange, basato in gran parte sulla mia reputazione sui siti StackExchange. Se il mio account fosse compromesso, potrebbero esserci conseguenze molto reali per le persone come me.

Indipendentemente dal fatto che ti interessi se il tuo account viene compromesso o meno, se un sito richiede una password, perché non richiederebbero che fosse sicuro? Non è necessario che ciò sia un esercizio in teatro sicurezza .

La tua password non solo protegge il tuo account , ma anche l'intera community e la reputazione di questo sito. - Se molti utenti che non si preoccupano dei loro account useranno semplicemente "123" come password, un utente malintenzionato potrebbe facilmente accedere facilmente a qualche centinaia di account SE. Tutti i tipi di protezione SPAM potrebbero essere aggirati utilizzando account utente verificati e l'intera pagina potrebbe essere inondata di pubblicità, calunnia o per la politica più estrema.

Inoltre, tali azioni potrebbero riflettersi male su tutta la rete SE, poiché hanno facilmente permesso che il loro servizio venisse violato e l'intera pagina da utilizzare per propaganda estremista al cioccolato! Inoltre, molte pagine forniscono modi per inviare e-mail, caricare file o altri modi che rappresentano un problema se vengono maltrattati attraverso un numero elevato di account compromessi.

Gli account potrebbero probabilmente essere sfruttati per ospitare contenuti illegali o inviare SPAM ad altre pagine.

Posso accedere con Gmail o Facebook, credo. Quindi si applicano quelle regole. Perché ci costringono? Perché vogliono. Non solo ti preoccupi che il tuo account venga violato, ma potrebbero preoccuparti che il tuo account venga violato. Per te - 1 punto di partenza SE - non è davvero un problema. Per SE - nel tuo caso - se non diventi un utente attivo - non è un problema.

Quindi inizi qui, trovi buone risposte e supporto, ti diverte, inizi a diventare un utente attivo e buono, con una password debole. Poi hai la credibilità e il tuo account viene violato, lo spam viene pubblicato. Non so cosa succederà allora, ma forse il tuo account è chiuso o cancellato. È un sacco di problemi, SE ha bisogno di controllare la tua identità - sprecato tempo ed energia!

A parte il fatto che tutti i tuoi punti sono persi, buoni punti che puoi usare per porre attenzione ai problemi che si sono persi, SE perde un po 'di credibilità. Quindi hanno altri due incentivi per costringerci a usare buone password. In primo luogo rende meno attraente per i cracker cercare di irrompere nei conti, e più è difficile, meno persone cercheranno di farlo. Il secondo è quello del marketing e dell'istruzione: ci insegnano, le persone tech che dovrebbero farlo in ogni caso, a usare buone password e a trovare soluzioni in modo che possiamo ricordarle.

Mia moglie ed io parliamo costantemente con i nostri figli delle abitudini. "Farai ciò che pratichi". La mia abitudine è utilizzare LastPass Premium per tutte le password online e abilitare l'autenticazione di Google o altro supporto per l'autenticazione a più fattori quando possibile.

Francamente, ci sono pochissime password che in realtà conosco o mi interessa sapere. LastPass genererà una password sicura e non devo ricordarla. Ad esempio "8G62USWh @ C! PDP ^ F @".

Inoltre mi piace utilizzare Open ID come Google ID, ad esempio su Stack. Ciò mi consente di utilizzare un'autenticazione strong e multi-fattoriale.

Ma, in modo cinico, hai ragione, questo sito non ha molta importanza per la sicurezza. Ma quale abitudine pratichi?

In primo luogo, dovresti mettere le password sui tuoi conti bancari in modo che le informazioni personali banali come il tuo compleanno non possano essere facilmente usate contro di te.

In secondo luogo, dovresti avere un gestore di password come KeePassX.org che rende relativamente facile la memorizzazione di password ragionevoli ma non estremamente critiche.

In terzo luogo, hai assolutamente ragione che i tipici siti non hanno realmente bisogno di una password complessa, anche se li vogliono.

Nel caso di Exchange Stack, tuttavia, esiste un sito careers.stackoverflow.com in cui è possibile condividere informazioni personali. Probabilmente dovresti proteggere la tua password qui tanto strettamente quanto la tua password di Facebook, ma non così strettamente come dici sicuro la tua password di Gmail.

Alcuni siti Web, incluso Stack Exchange, consentono agli utenti di ottenere privilegi che potrebbero essere eccezionalmente dannosi per l'intero sito Web e la base utente se utilizzati in modo improprio , ad esempio se un utente malintenzionato ottiene il controllo sull'account. Supponendo che il sito esegua correttamente le password di hash quando sono archiviate, non è facile valutare la forza della password (senza usare un attacco di forza bruta che richiede risorse e tempo sul lato server) una volta inviata la password, (In teoria, il valore della forza della password potrebbe essere memorizzato al momento dell'iscrizione per riferimento futuro, ma questa è una misura molto insolita e la ignorerò in questa risposta.)

Supponiamo che un utente di Stack Exchange abbia una password debole. Cosa succede se l'utente partecipa pesantemente per un periodo di tempo e alla fine viene eletto o nominato come moderatore ♦ su un particolare sito SE?