Permetterebbe che le password più brevi siano a volte più sicure?

19

L'atto di richiedere determinati criteri per le password rende più facile la forza bruta?

Mi è sempre sembrato che quando i siti web limitano l'uso di password "non sicure", potrebbe rendere più semplice la forzatura delle password per le password, in quanto rimuove la necessità per gli hacker di controllare una di queste password. Il più elementare di questi requisiti (e probabilmente il più comune) sarebbe la necessità di una password di 8 caratteri o più. È stato discusso in alcuni altri argomenti:

Il consenso generale su questo è che richiedere password più lunghe / più difficili non rende necessariamente più facile craccare perché la maggior parte delle password che non consente non sono comunque password probabili (perché la grande maggioranza delle persone non userebbe una stringa casuale di caratteri).

Mi sento ancora come se la maggior parte delle persone probabilmente usasse una password della lunghezza richiesta o solo 1 o 2 caratteri oltre il limite. Supponendo che l'uso di soli caratteri alfanumerici, richiedendo 8+ caratteri rimuova circa 3,5 trilioni di possibilità di password (la maggior parte di esse sarebbe semplicemente casuale senza senso). Ciò lascia ~ 13 quadrilioni di password di 8-9 caratteri. La mia domanda principale è: Potrebbe fare più di una differenza trascurabile in termini di sicurezza per i siti web che hanno solo requisiti di password a volte?

Esempio: Forse 1/100 tentativi di creare una password non avrebbero bisogno di soddisfare determinati criteri, il che richiederebbe agli attaccanti di testare tutte le password a causa della possibilità che la password fosse inferiore a 8 caratteri

    
posta MisterEman22 19.08.2015 - 22:55
fonte

5 risposte

56

Una domanda correlata che hai perso nella tua lista è questa:

Quanto è importante mantenere il tuo lunghezza della password segreta?

La risposta accettata (disclaimer: la mia) mostra che se si dispone di uno schema di password che consente tutti i 95 caratteri ascii stampabili, lo spazio della chiave aumenta rapidamente ogni volta che si aumenta la lunghezza della password di 1. È possibile controllare tutte le password fino alla lunghezza N in circa l'1% delle volte che ti porterà a controllare solo le password di lunghezza N + 1. Rifiutando qualsiasi password più breve di una lunghezza di taglio, si rinuncia a molto meno dell'1% dello spazio della chiave.

Quindi, ho fermamente sostenuto @Iszi nel dire

The benefit gained by forcing increased length far outweighs the number of possible passwords lost.

Il prossimo punto: andiamo fuori dall'idea che 8 caratteri siano lunghi per una password. Non è. Dici "~ 13 quadrilioni di password" come se fosse un numero elevato. Non è. Secondo questo articolo ( che è una buona lettura btw) la sua password cracking rig potrebbe fare 350 miliardi di ipotesi al secondo, così ogni singola delle 13 password in quadrilione può essere decifrata una ad una in circa 10 ore. E questo è l'hardware del 2013, da allora le GPU sono diventate molto potenti.

La mia opinione è che i siti web possono litigare su chi ha i requisiti migliori per la password, ma sono tutti troppo deboli . La nostra capacità di decifrare le password sta crescendo molto più velocemente della nostra capacità di ricordare quelle più lunghe. Questo perché la sicurezza si scontra con l'usabilità. Prova a dire a chiunque non sia un esperto di tecnologia di aver bisogno di memorizzare una password di 32 caratteri che non contenga parole inglesi e una diversa per ogni account che hanno! Sarai deriso e poi ignorato. I siti web che cercano di imporre qualcosa di meglio di patetiche politiche sulle password devono confrontarsi con montagne di clienti arrabbiati.

La soluzione è eliminare le password tutte insieme e procedere verso una strong autenticazione di tipo 2-Factor, dove il cracking offline non è fattibile. Sfortunatamente le aziende hanno pensato seriamente alle alternative alle password per meno di un decennio e le offerte sono ben lungi dall'essere raffinate (sono afflitte da problemi di praticità e usabilità che impediscono l'adozione di massa), quindi nel frattempo possiamo continuare ad avere questi inutili dibattiti che confrontano uno schema di password per lo più inutile contro un altro. Fine opinione .

    
risposta data 19.08.2015 - 23:55
fonte
12

La risposta è nella tua domanda.

Assuming the use of only alphanumeric characters, requiring 8+ characters removes about 3.5 trillion password possibilities (most of them would just be random gibberish). This leaves ~13 quadrillion passwords that are 8-9 characters.

Stabilire una lunghezza minima, o anche una lunghezza esatta, per le password obbliga l'utente a scegliere una password che si trova in uno spazio di ricerca diversi ordini di grandezza più grande del numero di password più deboli che tali requisiti invalidano .

Per meglio illustrarlo, cerchiamo di semplificare e scrivere effettivamente interi numeri qui. Assumendo password solo alfabetiche minuscole, c'è:

8031810176 possibili password di lunghezza 7 o meno.
200795254400 password possibili con lunghezza di esattamente 8.

Aumenta il numero di possibili caratteri e il numero di password perse diventa ancora più insignificante rispetto alla complessità applicata.

Il vantaggio ottenuto forzando una maggiore lunghezza lontano supera il numero di possibili password perse. E le password eliminate eliminano rischi eccessivamente elevati quando è disponibile una contromisura così semplice ed efficace.

    
risposta data 19.08.2015 - 23:12
fonte
3

L'applicazione non uniforme di una politica di password introduce rischi di sicurezza inutili e sicuramente non migliora la sicurezza.

Permettere l'esistenza di password deboli migliora la probabilità che l'hacker crei un hash usando un elenco di password comuni. Questo problema è aggravato dal numero di utenti che aumenta. Se 1/100 account hanno una password che non è conforme al criterio password e 100.000 account esistono, 1000 account avranno password deboli.

Inoltre, è in realtà più lavoro applicare solo in modo selettivo un criterio solo per un sottogruppo di utenti rispetto a quello per applicare la politica per tutti gli utenti, poiché l'applicazione richiede una logica specifica per non applicare il criterio in determinate circostanze. È più semplice richiedere una politica di password complessa e applicarla uniformemente a tutti gli account.

    
risposta data 19.08.2015 - 23:08
fonte
3

Questa non è una buona idea.

Vorrei anche citare la domanda:

I still feel like most people are probably using a password that is the required length or only 1 or 2 characters over the limit.

Accetto ! Beh, in realtà non presumo che le persone creino password di uno o due caratteri se si imposta la lunghezza minima su 0, ma la maggior parte degli utenti senza restrizioni non creerà password lunghe. Quindi un utente malintenzionato deve solo provare le password brevi, la più comune (come "qwerty" e "dragon") per sfruttare queste persone e avere più successo di se non si fosse applicata la restrizione completamente, poiché come ha detto che ci sono ordini di grandezza meno password con meno di 8 caratteri.

In alternativa si può continuare ad attaccare la porzione di utenti a cui si è ancora imposto il limite minimo di lunghezza e scappare - nel tuo esempio - 99% del "bottino" (vedi @Dennis Jaheruddin ' s commento). Nella sicurezza delle password è tutto sugli ordini di grandezza, quindi non è di grande aiuto - è compensato da un aumento dell'1,01% (1/99) della velocità di cracking. ( Fatto divertente : Moore dice che è fatto in 8 giorni.)

    
risposta data 20.08.2015 - 14:16
fonte
0

A volte la protezione della password è codificata come errata, come per esempio nella realizzazione di NT LAN Manager (NTLM). Se le parole del dizionario o la sequenza ordinata prevedibile utilizzata nei simboli password-7 sono migliori di 8 o 9 10 o 11 o 12 o 13, perché la password è suddivisa in parti di 7 caratteri prima dell'ashing e della crittografia /

Cerca i dettagli qui: link

    
risposta data 15.12.2016 - 07:33
fonte