Politica raccomandata sulla complessità della password

Alcuni link e recenti ricerche relative alle politiche e la reale resistenza al cracking delle password risultanti sono presentate da Matt Weir in Reusable Security: Nuovo documento sulle metriche di sicurezza delle password e CCS Paper Part # 2: Entropia password

Si nota un rapido takeaway: "forzare gli utenti a cambiare la password ogni sei mesi non è molto utile"

Vedi anche altre domande qui come questo .

Le password sono generalmente considerate fondamentalmente rotte, quindi qualsiasi politica sulle password è un tentativo di puntare tutto al meglio. Detto questo, una politica di password "best practice" includerà almeno i seguenti requisiti, oltre alla lunghezza minima della password :

Invecchiamento della password:

A età massima per la password, in modo che la stessa password non venga utilizzata indefinitamente

Una cronologia password , per impedire agli utenti di tornare a una delle N password precedentemente utilizzate (e quindi non modificarle affatto).

Alcune politiche avranno anche un minimo di età , per impedire alle persone di cambiare la loro password N volte (e quindi aggirare efficacemente il meccanismo della cronologia delle password, e non cambiarlo affatto ).

(Si noti che gli ultimi due di questi controlli servono a impedire agli utenti di tentare di aggirare il primo! Questo è un altro indizio che le password sono piuttosto infrante)

Complessità password :

In genere questi includono requisiti per caratteri 'speciali', o l'uso di diverse classi di caratteri, con l'obiettivo di aumentare il numero effettivo di bit nella password e aumentare la quantità di tempo necessario per forzare una password.

È anche utile avere una politica che non consente solo parole del dizionario (come password ), ma parole derivate dal dizionario (es. password123 , drowssap321 ecc). L'obiettivo qui è di prevenire attacchi di dizionario che possono accelerare il cracking automatico delle password.

Oltre a questo è possibile discutere ogni sorta di altri requisiti e valori esatti per i vari parametri (gli utenti devono cambiare le password ogni 90 giorni o 30 giorni o ogni 5 minuti? ecc.), così come la quantità di entropia che si ottiene / perdere i requisiti di complessità - ma dove queste cose contano molto, le password non sono quasi certamente un controllo abbastanza buono in primo luogo.

Sono a conoscenza del fatto che lo sviluppo di un equilibrio tra sicurezza e usabilità è una battaglia continua. Idealmente, gli utenti dovrebbero usare la password più sicura possibile ma molti di loro (forse tutti) non riescono a ricordare queste stringhe complesse.

È la mia esperienza personale che le password più sicure sono frasi o la prima lettera di frasi che conosco. In questo modo crea una stringa di lettere apparentemente arbitraria (usando la frase: non puoi indovinare facilmente questa password --- ycgtpve). Quindi richiedi un numero e creerà una password difficile che un suggerimento non divulga facilmente.

Per quanto riguarda la documentazione, sono riuscito a trovare un paio di risorse sulla creazione di password potenti:

- link

Questo articolo descrive come istruire gli utenti su pratiche di buona password.

- link

Questo articolo fornisce buoni algoritmi per la creazione di password difficili che possono essere facilmente ricordate.

Spero che questo aiuti.

Ecco un piccolo disegno:

Elo studio che lo supporta.

Poiché le restrizioni relative alle password sono generalmente definite da persone con un strong background tecnico ma nessuna conoscenza della psicologia, lo status quo alla fine riduce la sicurezza.

Quello che i ragazzi della sicurezza non riescono a capire è che gli utenti non devono memorizzare UNA password. Si potrebbe pensare "una persona dovrebbe essere in grado di memorizzare una password, anche con il mio carattere speciale pazzo, i numeri e le restrizioni minuscole, giusto?"

Bene, sì.

Ma l'utente deve memorizzare non una password, ma cinque diverse al lavoro e più a casa. Ora abbiamo una situazione in cui l'utente ha cinque password su diversi timer di cambiamento in cui il primo ha bisogno di almeno tre caratteri speciali, il secondo non può iniziare con un numero, il terzo non consente "$" e "/" per qualsiasi motivo, il quarto deve essere lungo esattamente 8 caratteri e il quinto deve contenere almeno 10 caratteri e deve avere 3 numeri.

Ora indovina cosa faranno gli utenti! Lo faranno ...

a) dedica risorse infinite alla ricerca del sistema di password perfetto che soddisfi tutti i timer di modifica e le restrizioni della password contemporaneamente, utilizza password completamente indipendenti per i diversi sistemi e tuttavia può ancora essere memorizzato

b) gettare le mani in aria e arrendersi. Scrivi le password su un pezzo di carta (non criptato ovviamente) e incollalo nel cassetto della scrivania.

c) usa ogni trucco del libro per calmare in qualche modo tutte le restrizioni e comunque essere in grado di ricordare tutte le password. Ciò include l'utilizzo della stessa password per tutti i sistemi, laddove possibile (compresi i sistemi a bassa sicurezza), utilizzando numeri in esecuzione per placare i timer di modifica, utilizzando un set molto piccolo di password predefinite in modo da poter indovinare la propria password in un paio di tentativi (tra altre cose).

In qualche modo la maggior parte dei tipi di sicurezza sembra credere che a) sia la risposta corretta. Per la vita di me non riesco a capire perché, però.