È una cattiva pratica chiedere solo i singoli caratteri di una password? [duplicare]

11

Alcuni siti Web finanziari che uso utilizzano le password in un modo particolare. Invece di chiedermi l'intera stringa password, mi chiedono solo di entrare, ad es. "3 °, 5 ° e 8 ° carattere della password", cioè una combinazione casuale di caratteri della stringa password.

Penso che questo avrebbe senso se è fatto usando una tabella di numeri casuali condivisa, ecc. Ma questa è una password. Per fare ciò, dovrebbero memorizzare la mia password senza hashing, o memorizzare gli hash per tutte le combinazioni che vogliono chiedere, il che suona anche male. Ho ragione di pensare che questa è una fata cattiva pratica di sicurezza?

    
posta Enno Shioji 03.08.2014 - 19:21
fonte

2 risposte

31

Hai sostanzialmente ragione; questa è una pratica sbagliata, per diversi motivi:

  • Come si nota, richiede l'archiviazione lato server della password come testo normale o in qualche formato reversibile.
  • La digitazione di una password funziona ripetutamente su " memoria muscolare ", che consente all'utente di "ricordare" la sua password come sequenza di gesti sulla tastiera; chiedere lettere specifiche esercita parti distinte del cervello e può indurre comportamenti pericolosi, ad esempio annotare la password.
  • Se il sito richiede solo tre caratteri, allora un utente malintenzionato ha una buona possibilità di ottenere l'accesso semplicemente rispondendo con tre lettere casuali. Anche gli attacchi del dizionario online possono funzionare. (Ovviamente, i siti Web delle banche spesso lo accoppiano con un sistema di blocco del trigger, ma un attaccante intelligente passerà a un altro account di destinazione prima di raggiungere il limite di autolock.)

I tre principali motivi per cui i siti bancari fanno:

  1. Se chiedono solo tre lettere, non sempre le stesse, un keylogger o un surfista non saranno in grado di immediatamente la sua conoscenza acquisita illegittimamente. Può essere considerato come una sorta di contenimento del danno, in cui la password è solo parzialmente divulgata.

  2. Chiedere solo alcune lettere è una misura di sicurezza sanzionata da Hollywood. È un grande spettacolo. I clienti, non essendo consapevoli di ciò che la sicurezza delle informazioni realmente comporta, lo vedranno e penseranno "wow, that secure!".

  3. Molte persone del settore non sono meno impressionabili dei clienti medi. Parecchi "architetti della sicurezza" vedranno un simile sistema e anche pensano "wow, that secure!".

risposta data 03.08.2014 - 19:40
fonte
2

Questa è una pessima pratica. Le password oggi DEVONO essere sottoposte a hash per coprire la possibile perdita del database delle password. Il fatto che singoli elementi della password possano essere utilizzati per l'autenticazione significa che viene utilizzata una crittografia reversibile invece dell'hashing, come già indicato da TP. Questo è un problema perché se viene rubato sia il database che la chiave di crittografia, TUTTE le password vengono perse. Hashing (con password sicure) lo rende impossibile. Almeno le persone che utilizzano password sicure sono sicure se le password sono sottoposte a hash.

Credo che la ragione per cui alcune istituzioni crittografano invece dell'hash sia che la password completa potrebbe essere necessaria nel back-end per qualche scopo, come l'ulteriore autenticazione. Alcuni siti utilizzano le ultime 4 cifre della password come "domanda di sicurezza" quando viene contattato l'help desk. Ma questo è un motivo orribile, ed è probabilmente fatto in quanto l'approccio della domanda di sicurezza che i siti più affidabili utilizzano non è ancora stato implementato.

Ho persino visto la password effettiva mostrata nella mia e-mail quando ho dovuto richiedere un reset - è più complicato implementare una reimpostazione della password via e-mail, quindi richiedere una nuova password, piuttosto che inviare semplicemente la password! La linea di fondo è che è più facile mantenere la password crittografata (o anche in chiaro) e utilizzarla per altri scopi piuttosto che implementare un meccanismo di reimpostazione della password per richiedere una nuova password.

Un altro motivo per cui questo è negativo è che la maggior parte della gente che si interessa alle password oggi usa solo un gestore di password. La richiesta di singoli elementi di una password complessa è soggetta a errori e molto più difficile che solo utilizzando un gestore di password sicuro.

Infine, nei casi in cui le password deboli sono comunemente utilizzate, la crittografia con una chiave così strong può essere più sicura dell'hashing, dal momento che gli hash delle password deboli possono essere rapidamente violati oggi. Ma in questo caso, è preferibile l'hashing e la crittografia, non solo la crittografia.

    
risposta data 04.08.2014 - 05:47
fonte

Leggi altre domande sui tag