Sono certo che gli attaccanti useranno password comuni prima di iniziare un tentativo di forza bruta. Anche se i dispositivi CAPTCHA (e altri detective / preventivi) sono installati, l'elenco delle password comuni è molto più piccolo delle parole in un dizionario.
Prenderò una posizione diversa e suggerisco che abbia senso non consentire password comuni nella maggior parte dei casi d'uso. La forza di una password è legata alla difficoltà per l'avversario di ottenere l'accesso non autorizzato. Le qualità che la comunità attualmente accetta come password strong si basano sulla difficoltà per un avversario di ottenere l'accesso tramite forzatura bruta, cracking o altri metodi (es. Frasi passate e dispositivi mnemonici aumentano la difficoltà per un passante da memorizzare). XKCD rappresenta questo abbastanza accuratamente in questo fumetto . L'uso di diversi casi, simboli ecc. Aumenta la casualità della password in modo che l'attacco impieghi più tempo per l'esecuzione corretta e aumenti anche la probabilità che vengano rilevati i tentativi.
Guardando più da vicino i metodi di attacco, la top 25 password, insieme a molte altre, sono comunemente popolate nei dizionari. Di solito gli aggressori si attaccano alle password comuni e spesso tentano di esaminare prima la short list. È simile alla pratica comune che molti fornitori spediscono dispositivi con password ben note (ad esempio cisco / cisco, admin / admin) e non impongono la modifica delle credenziali predefinite note. Dal punto di vista del payoff, in genere vale la pena provare prima le password comuni. L'unico motivo per cui un utente malintenzionato potrebbe non adottare questo approccio è quando l'attacco è mirato. In tal caso, l'attaccante può esercitare più cautela perché non vuole lanciare bandiere rosse.
Facendo un passo indietro, uso liberamente il termine "attaccante". L'attaccante può significare un bot (o script automatico), uno script kiddie (un o meno abile) o un individuo esperto. Molte argomentazioni sulla sicurezza confondono il terreno tra la protezione contro l'attaccante auto / non qualificato e abile. Sebbene le tecniche utilizzate per rilevare e prevenire gli aggressori auto / non qualificati in genere seguano il buonsenso, l'esperto malintenzionato sarà probabilmente a conoscenza delle tradizionali strategie di rilevamento / prevenzione e adatterà di conseguenza i propri tentativi. Supponiamo che mi riferisca all'autore automatico / non qualificato a meno che non si qualifichi il livello di abilità.
Seguendo il tentativo di utilizzare password comuni, è più difficile lanciare ulteriori metodi di attacco online come la forza bruta se ci sono sistemi di prevenzione o rilevamento appropriati (ad esempio, registri di accesso / registri di controllo, rilevamento forza bruta). In alternativa, i metodi di attacco off-line richiedono l'accesso a un file di password protetto - se un utente malintenzionato può accedere alle informazioni sulle credenziali (sia esso sottoposto a hash, crittografato o protetto in altro modo). I tester penna (whitehats) spesso seguono il flusso di lavoro dell'utilizzo di account noti per ottenere l'accesso iniziale a un sistema per ottenere un accesso più approfondito alle reti. Indipendentemente da ciò, se un utente malintenzionato ha accesso offline a un negozio di credenziali, ci sono problemi più grandi delle semplici password.
La pratica della sicurezza comporta davvero un compromesso con l'accessibilità. Il sistema meno accessibile è generalmente più sicuro di uno più accessibile. La persona UX / UI pubblicherà storie per rendere la vita molto più facile (sistema più accessibile). La persona di sicurezza dovrà inserire un sistema meno accessibile. Entrambi alla fine dovranno accontentarsi di una posizione accettabile dalla BU / sponsor. Combina il punto precedente con la tendenza per la maggior parte delle persone a dare la colpa (o forse la mancanza di volontà ad accettare la colpa) e il principio che la ruota più squallida viene oliata per prima. Se l'utente è libero di scegliere una password e un utente malintenzionato ottiene l'accesso non autorizzato e provoca il caos, la prima risposta "vittima" sarà "come è successo?" Le dita iniziano a puntare dappertutto e spesso finiscono nella persona responsabile della sicurezza con la domanda, "perché mi hai lasciato scegliere questa password?" Non sto affermando che questo è comune, ma il responsabile della sicurezza è in definitiva responsabile del perseguimento di politiche volte a proteggere gli utenti (e il marchio / datore di lavoro). Il mio punto qui è che a volte non è una buona pratica permettere agli utenti di fare la propria scelta sulle password.
Inoltre, l'accesso al valore dipende dal valore delle informazioni fornite e dall'identità dell'utente.