Quanta sicurezza è compromessa se accettiamo altri caratteri come login (diversi dalla password originale)?

Naviga le tue risposte
11

Mi sono appena reso conto che Facebook accetta 3 forme di password:

Source :

Facebook actually accepts three forms of your password:

  1. Your original password.

  2. Your original password with the first letter capitalized. This is only for mobile devices, which sometimes capitalize the first character of a word.

  3. Your original password with the case reversed, for those with a caps lock key on.

Ovviamente stanno sostenendo che la sicurezza compromessa è insignificante. La mia domanda è: la sicurezza compromessa è davvero insignificante?

Quanto facilmente un hacker è in grado di ottenere un accesso con 2 "buchi" aggiuntivi?

    
posta Pacerier 15.09.2011 - 17:02
fonte

2 risposte

15

Queste regole significano fondamentalmente che invece di avere una password valida per un account, ce ne sono tre (due, se la password originale inizia già con una lettera maiuscola). Teoricamente, questo divide lo sforzo dell'attaccante fino a 3, ma in realtà un po 'meno di quello perché "PASSWORD" è molto meno probabile come password scelta dall'utente che "Password".

Quindi, in parole povere: queste regole rendono gli attacchi per indovinare le password tre volte più semplici . Ciò non significa che facciano attacchi facili .

    
risposta data 15.09.2011 - 17:20
fonte
1

Facebook è corretto. È una diminuzione insignificante della sicurezza per un enorme aumento dell'usabilità.

Anche rendere le password un milione di volte più facili da indovinare non è un grosso problema. Questo è quello che fanno molti altri siti. Per risolvere lo stesso problema, trattano semplicemente tutte le maiuscole e minuscole allo stesso modo. Ciò significa che una password di 9 lettere avrà un milione di combinazioni, e quindi diventerà un milione di volte più facile da indovinare.

Mentre questo genere di cose rende le password "più deboli", i siti Web possono fare cose per rendere le password più "forti". Un modo è quello di imporre lunghezze minime delle password o obbligare gli utenti a includere punteggiatura / numeri. Un altro modo è "rafforzare la chiave", o ripetere ripetutamente l'hashing di una password molte volte. Ad esempio, alcuni siti hanno cancellato la password 1000 volte, il che rende 1000 volte più difficile da decifrare.

Alcune persone scelgono password semplici come "123456" che possono essere indovinate indipendentemente da quanto sia strong il sistema. Allo stesso modo, alcune persone scelgono password come "# hd & G !! nv * 63" che non possono essere indovinate, non importa quanto sia debole il sistema. Rendere il sistema un milione di volte più strong o un milione di volte più debole protegge e mette a rischio solo il piccolo numero di password sul bordo tra i due.

    
risposta data 21.09.2011 - 18:29
fonte

Leggi altre domande sui tag

Come faccio a verificare di avere una connessione SSL diretta a un sito web? L'azienda di servizi pubblici non ha password di hash nel database