Recentemente ho scoperto un servizio in cui la password non era case sensitive. Comprendo i principi di base della crittografia e dell'hashing quindi sono un po 'preoccupato, questo servizio memorizza la mia password in testo semplice?
Potresti spiegarmi perché essere in grado di accedere con Caps Lock, quando la mia password NON è in maiuscolo, è male? E dovrei essere preoccupato?
Altri test hanno rivelato che tutte le forme della password sono state accettate, come "HAPPY", "HaPpY" e "hAPPY".
Che tu debba essere preoccupato o meno dipende dalla sensibilità di ciò che stai proteggendo. La serratura che protegge il mio schedario contenente le mie tasse e le mie informazioni mediche non ha bisogno di essere così sicura, e non mi preoccupo che il lucchetto sia progettato a basso costo. Ma voglio che i lucchetti che proteggono i miei soldi siano estremamente sicuri. Dimostra che potrebbero non pensare molto chiaramente alla sicurezza durante la progettazione del sistema.
Rendere le password senza distinzione tra maiuscole e minuscole riduce drasticamente il numero di possibilità. Una password con 6 lettere maiuscole e minuscole non ha una password 2 ^ 28 possibile, mentre una password sensibile a 6 caratteri ha 2 ^ 34 possibili password. Questo spazio di ricerca ridotto rende più fattibile un attacco su un database hash trapelato.
Come indicato da Jeff Ferland in basso, il blocco delle maiuscole non significa che il sito non sia case sensitive. Se digito Password, poi premi caps caps, esce PASSWORD. Il caso è semplicemente invertito. Se il sito sta facendo questo, allora la password è ancora case sensitive, ma cerca semplicemente l'originale e la password invertita. Questo semplicemente dimezza lo spazio di ricerca. Questo è semplicemente un compromesso tra usabilità e sicurezza, dal momento che la gente di solito ha il blocco dei tappi e non lo sa, e (almeno IMO) uno buono.
È impossibile stabilire se il servizio stia memorizzando la password in chiaro da questo unico fatto. È banale cambiare tutto in un caso prima che l'hashing sia terminato.
Se un sistema di password memorizza la tua password in chiaro non ha CONNESSIONE se è case sensitive o no. Un sacco di sistemi mal progettati richiedono password sensibili al maiuscolo / minuscolo ma li memorizzano in testo semplice.
Per quanto riguarda la necessità o meno di preoccuparti, qualsiasi sistema che non richieda password sensibili al maiuscolo / minuscolo ha notevolmente ridotto la quantità di password uniche a metà o meno. Può essere comodo per l'utente, ma per esempio, una password di 8 caratteri che non distingue tra maiuscole e minuscole ha 208.827.064.576 (208 miliardi) possibili variazioni. Che tiene conto del maiuscolo o minuscolo? 53.459.728.531.456 (53 trilioni) combinazioni. La quantità di tempo che un cracker a forza bruta deve eseguire per trovare la tua password è molto più piccola quando Case non è un problema. Aggiungi cifre (0-9) e quel numero quadruplica a 213 trilioni.
Ovviamente, gli utenti tendono a ignorare le buone funzionalità di sicurezza della password, come l'uso di password con caratteri misti, non riutilizzare le password, modificarle regolarmente, non usare parole del dizionario, quindi potrebbero aver deciso di non richiedere password troppo complesse. / p>
Il comportamento relativo al Caps Lock non ti dice nulla sull'algoritmo di hash utilizzato sul lato server.
Può essere che l'hash sul server sia effettivamente calcolato usando la tua password esattamente come l'hai inserita. Ma su una password non valida il server potrebbe semplicemente capovolgere il caso di ogni lettera che hai inserito e riprovare con quello. Tale approccio non ha praticamente alcun impatto sulla sicurezza, ma può ridurre significativamente il numero di casi di supporto, se gli utenti dimenticano spesso che il loro blocco maiuscolo è attivo.
È anche possibile che la password non sia maiuscole e minuscole. Di nuovo, non ti dice nulla sull'hashing. Potrebbero semplicemente convertire l'intera password in minuscolo (o in maiuscolo) prima dell'hashing. Ciò riduce la quantità di entropia possibile, quindi su un sistema di questo tipo la tua password deve essere lunga circa il 15% per avere la stessa forza.
Essere in grado di effettuare il login con caps-lock non significa necessariamente che la password sia memorizzata in testo normale perché il servizio potrebbe applicare maiuscole a tutte le password prima di eseguire l'hashing e archiviarle nel database, e ovviamente sta facendo lo stesso quando un utente accede.
L'uso di lettere maiuscole e minuscole in una password è consigliato per rendere le password più difficili da indovinare.
L'accesso con capslock è pericoloso perché in sostanza si stanno eliminando interi elenchi di password avendo tutto in maiuscolo. La password più sicura è una combinazione di lettere maiuscole e minuscole, almeno un numero e almeno un carattere speciale e deve avere una lunghezza compresa tra 8 e 16 caratteri.
Leggi altre domande sui tag authentication encryption passwords hash