Controllo della password

Naviga le tue risposte
14

La maggior parte delle norme sulle password richiede che la password sia lunga almeno 8 caratteri e contenga simboli di almeno 3 classi (lettere minuscole, lettere maiuscole, numeri, altro).

Il problema è che una password "pa $$ w0rd!" sarà passato attraverso tale politica mentre allo stesso tempo, sarà trovato / incrinato da uno strumento come John The Ripper in pochi secondi. (o in caso di "pa $$ w0rd" da una ricerca nella tabella arcobaleno)

Come posso negare l'utilizzo di tali password? (Chiedo principalmente i meccanismi PAM, ma le soluzioni Windows saranno utili anche per altre persone)

Come rilevare automaticamente le password basate sulla modifica delle parole del dizionario utilizzando le parole pronunciate, aggiungendo solo 1 o 2 simboli o numeri, cambiando caso e modifiche simili.

È possibile verificare la presenza di password deboli utilizzando strumenti come John o le tabelle arcobaleno come "best practice"? Dovrei assolutamente farlo quando comincio a gestire una nuova rete?

    
posta Hubert Kario 14.08.2011 - 15:21
fonte

2 risposte

13

Could checking for weak passwords using tools like John or rainbow tables be considered "best practice"?

Assolutamente, in effetti, molte distribuzioni Linux fanno un po 'di questo fuori dalla scatola. Dovresti dare un'occhiata a pam_cracklib, che applica una serie di test a una nuova password prima di accettare una modifica. È lo stesso di quello vecchio? Il vecchio si è invertito? Quasi tutti gli stessi personaggi dell'ultimo? La password esiste nel dizionario che hai specificato per verificare?

Trovo che la recensione di Hal Pomeranz su pam_cracklib sia un ottimo punto di partenza. Giustamente fa notare che non è ben documentato, il che rende più difficile per gli amministratori utilizzarlo per proteggere i propri siti, e presenta una semplice guida per renderlo sensato.

Questo riguarda la manutenzione preventiva di buone password, che è sicuramente una "migliore pratica". Un'altra procedura che segue è il cracking attivo, in cui gli amministratori eseguono John the Ripper contro i propri sistemi e, quando la password di un utente è incrinato, costringono l'utente a cambiare la propria password. Ciò potrebbe essere fatto su base continuativa o su base programmata (trimestrale / semestrale / annuale). Ci sono alcuni problemi da considerare prima di scegliere di fare questo; vuoi che i tuoi amministratori conoscano le password degli utenti quando si rompono? Hai un posto sicuro in cui non puoi accedere a un attaccante? Se gli utenti aggiornano le password con la stessa rapidità con cui vengono violate, sarà troppo intenso? ("Tutti gli utenti devono cambiare le loro password nei giorni che terminano in" Y "...)

Infine, la tua domanda si concentra sulla forza della password. Per motivi difensivi, ti invito a prestare attenzione anche alla codifica hash delle password. Le password Unix / Linux possono essere sottoposte a hash con DES, MD5 o Blowfish; è configurabile a livello di sistema. Molti sistemi usano l'algoritmo più vecchio e più comune, DES, che è banalmente rotto. Se puoi modificare le impostazioni del tuo sistema e le tue password in MD5 o Blowfish, diventerà molto più difficile per gli hacker crackare le tue password, anche se l'utente sceglie "Pa $$ w0rd" come password.

    
risposta data 14.08.2011 - 18:38
fonte
1

Qualcosa da considerare è la psicologia. Invece di chiedere agli utenti una password, chiedigli una pass phrase o richiedi loro quattro password e applica 20 caratteri.

È sempre meglio fornire ai tuoi utenti una guida positiva che porti ad un esito desiderabile rispetto alla punizione per non aver rispettato i requisiti del mistero.

    
risposta data 20.07.2013 - 00:07
fonte

Leggi altre domande sui tag

Invio HTTP 403 come. 200 - "Identificazione silenziosa dell'amministratore" Come viene verificato un firmatario del certificato X509?