Terminologia corretta quando si descrive la sicurezza della password a un profano

19

Sto scrivendo una pagina per il nostro sito web che descrive le misure che adottiamo per mantenere al sicuro le informazioni dei nostri clienti. In questa pagina una sezione descrive come manteniamo sicure le loro password.

Stiamo utilizzando Secure Password Storage v2.0 che è un'implementazione di PBKDF2. Stiamo utilizzando l'algoritmo hash SHA256, 64000 iterazioni e 24 byte per il nostro sale casuale. Non sono proprio sicuro che questo sia così importante, a parte il fatto che non voglio che la gente venga con i forconi sollevati pensando che stiamo crittografando le password.

È corretto dire "Le password che memorizziamo non possono essere decifrate"? Sono preoccupato che ciò implichi che le password non possano mai essere incrinate, il che semplicemente non è vero. Tuttavia, voglio sottolineare ai nostri utenti che il nostro sistema per memorizzare le password è abbastanza sicuro da non doversene mai preoccupare (purché scelgano una password sufficientemente unica, ovviamente), anche nel caso del l'intero database delle password viene rubato.

Altre opzioni che ho considerato sono "Il metodo utilizzato per memorizzare le password non può essere annullato" o "Nel caso di una violazione, la tua password non dovrebbe essere recuperabile", ma trovo che non possono essere decifrati per essere più comprensibili e al punto, soprattutto perché alcune persone potrebbero non rendersi nemmeno conto che le password non sono archiviate in testo semplice.

    
posta Jaci 31.05.2016 - 20:10
fonte

6 risposte

35

"Riteniamo che la segretezza delle tue password sia molto importante, motivo per cui abbiamo implementato misure che le proteggono strongmente mentre sono archiviate sui nostri server. Una volta inviata la password, la convertiamo utilizzando una funzione crittografica (salata PBKDF2-SHA256 con 64.000 iterazioni per gli esperti di tecnologia), quindi anche se gli hacker sono in grado di violare il nostro sito, non impareranno immediatamente la password.

Questo metodo di memorizzazione delle password rende molto più difficile che la tua password venga violata dai cattivi. La scelta di una password / passphrase unica e valida abbinata a questa tecnologia può aiutare a prevenire l'accesso non autorizzato al tuo account. Persino i nostri dipendenti non conosceranno la tua password originale. "

Simile al suggerimento di Adam, appena ampliato per coprire più delle tue preoccupazioni.

    
risposta data 31.05.2016 - 21:39
fonte
7

I componenti tecnici sono difficili da comunicare. Capire la risposta oltre "Stiamo facendo la cosa giusta" richiede molta conoscenza. Quindi, perché non dire entrambi, qualcosa come:

"Proteggiamo la tua password con una tecnologia molto strong. (Per i geek, sono attualmente 64K iterazioni di SHA2 / PBKDF2)"

    
risposta data 31.05.2016 - 20:52
fonte
2

Is it correct to say "The passwords which we store cannot be decrypted"? I worry that it implies that the passwords can never be cracked, which simply isn't true.

È in qualche modo corretto, anche se la presenza stessa di "decrittografato" in quella frase può portare le persone a saltare alla conclusione sbagliata.

Potrebbe essere meglio spiegato dicendo che le password vengono sottoposte a un "processo di hashing crittografico a una via", che non può essere annullato per trovare la password originale, anche dall'amministratore di sistema.

Se l'unico modo per ottenere la password è il brute-force cracking, allora penso che sia giusto dire che "il processo non può essere annullato". Se si desidera affrontare il cracking della forza bruta, si potrebbe continuare a dire che "l'unico modo per un utente malintenzionato di ottenere la password originale sarebbe indovinarlo correttamente, il che potrebbe richiedere più tempo di una vita umana" assumendo che la password sia scelto in modo sicuro.

Other options I have considered are "The method used to store passwords cannot be reversed"

Sì, penso che sia giusto pretenderlo.

"In the case of a breach, your password should not be retrievable"

Questo non è così conciso secondo me. In primo luogo, "non dovrebbe" è vago, e potrebbe effettivamente essere recuperabile attraverso il cracking della forza bruta, che non è sufficientemente affrontato in questa frase.

C'è una sottile distinzione nella mia mente tra "invertire l'algoritmo" - quale forza bruta non può fare e "recuperare la password" - quale forza bruta può assumere abbastanza tempo.

but I find saying they can't be decrypted to be more understandable and to the point,

Sì sicuramente.

Per quanto riguarda la spiegazione del testo:

We are using Secure Password Storage v2.0 which is an implementation of PBKDF2. We are using the hash algorithm SHA256, 64000 iterations, and 24 bytes for our random salt.

È bene includerlo a beneficio di coloro che comprendono i dettagli tecnici, supponendo che sia inclusa anche una delle spiegazioni più specifiche precedentemente discusse.

    
risposta data 01.06.2016 - 07:47
fonte
1

Che ne dici di questo

"Il nostro uso di tecniche di sicurezza comprovate dal settore garantisce che la tua password non possa essere rubata dal nostro equipaggiamento."

Modifica: la formulazione dovrebbe essere modificata per ogni commento, perché la garanzia (o qualsiasi altra cosa tu la chiami) è soggetta ad ottenere password sufficientemente imprevedibili dall'utente finale. (che non è affidabile)

Forse con un link "Com'è possibile?"

"Utilizzando una tecnica nota come Hashing ripetitivo SHA256, viene memorizzato solo un checksum della password, in questo modo possiamo verificare se la password corrisponde, ma la password originale non può essere recuperata o decodificata. tecnica utilizzata in applicazioni di grandi dimensioni come l'email e l'online banking. "

Non sono un esperto di comunicazione, ma si spera che la prima citazione fornisca le informazioni dei laici, e quindi se qualcuno inizia a interrogarti, farà clic sul link. Se capisci la parola Checksum, allora forse possono capire senza ulteriori ricerche.

    
risposta data 31.05.2016 - 20:44
fonte
1

Seguiamo le best practice del settore per la verifica della password. Ad esempio:

  1. Non registriamo le password dei nostri utenti. Invece registriamo i digest codificati che ci consentono di riconoscere la tua password ma non di più. Non sappiamo quale sia la tua password, ma la riconosciamo quando la vediamo!
  2. Calcoliamo il digest utilizzando algoritmi crittografici estensioni password che randomizzano i digest e utilizzano calcoli deliberatamente lenti . Entrambi questi fattori rendono costoso per gli hacker indovinare le password in blocco.

Nota comunque che le nostre misure non possono proteggere da tutti i rischi e sei la prima linea di difesa . In particolare, i seguenti sono fattori molto importanti che sono sotto il tuo controllo, non i nostri:

  • Non scegliere una password facile da indovinare. Se qualcuno indovina correttamente che la tua password è il nome del tuo coniuge e il tuo anniversario di matrimonio, non c'è nulla che possiamo fare al riguardo. [link a un buon set di linee guida per le password]
  • Non utilizzare la stessa password in più di un sito. Se uno dei siti perde la tua password, gli hacker potrebbero essere in grado di accedere ai tuoi account negli altri. Per evitare di dover memorizzare o scrivere molte password diverse, si consiglia di utilizzare un programma di protezione password sicuro. [link ad alcuni di questi programmi]
  • Non chiederemo mai la tua password nel telefono o via email. Siate consapevoli del fatto che uno stratagemma comune tra i criminali è quello di fingere di essere noi e ingannare voi a dire loro la vostra password. Quindi se ricevi una tale chiamata o e-mail, non fare come ti chiedono.
  • Se ricevi un'email che sembra provenire da noi, chiedendoti di accedere al nostro sito con urgenza, non fare clic sui collegamenti forniti nell'email. Inserisci invece il nome della nostra azienda su un motore di ricerca come Google e segui il risultato da lì. [link alle risorse anti-phishing]
risposta data 07.06.2016 - 04:09
fonte
0

Potresti fare un servizio pubblico e spiegare cosa stai facendo.

Cose come la difesa in profondità - più livelli di difesa. Primo livello che rende i server non accessibili. Secondo livello non memorizza le password in testo semplice. Terzo livello non memorizza le password crittografate. Salatura di quarto livello. Il quinto livello utilizza un algoritmo lento (64.000).

    
risposta data 31.05.2016 - 21:42
fonte

Leggi altre domande sui tag