Si stanno compiendo sforzi per creare standard per le password?

I misuratori della forza della password spesso sbagliano nel loro apprezzamento per ciò che rende una password valida. Spesso ti chiedono di scegliere caratteri speciali con un minimo di considerazione su quanto sia verosimile la tua password prodotta. Vedi Telepathwords per un esempio di come dovrebbe essere un indicatore di forza della password informato.

Ad esempio, P @ s5WorD . è considerato molto sicuro dalla maggior parte dei misuratori di forza della password, tuttavia un buon strumento per la violazione delle password controllerà sempre le variazioni di una parola del dizionario (specialmente quella popolare come password ), il che significa che non si è passati da uno spazio di input da 26 a 95, ma piuttosto uno spazio di input di 26 + poche decine di permutazioni per parola in quello spazio di input. Questo è semplicemente dovuto al modo in cui gli umani creano password; in realtà non creiamo password casuali perché non le ricorderemo.

La ricerca di molte password si concentra sull'aiutare le persone a creare password più complesse, a ricordare password più lunghe o persino a ricordare le password fornendo un'immagine sull'interfaccia utente di autenticazione intesa come promemoria, che spesso ignora il fatto che le persone scelgono e password simili per far fronte al numero di credenziali che devono gestire . Le persone non vogliono selezionare una password basata su alcuni segreti / suggerimenti forniti dall'interfaccia utente o password più lunghe o complesse; vogliono ricordare meno e meno password perché ne hanno abbastanza! Vedi questo articolo di Sasse et al. su uno studio di autenticazione fatto ... su dipendenti NIST. Inoltre, ci sono alcuni studi sul campo su quante credenziali le persone gestiscono online (ad esempio il Floriencio and Herley 2007 carta, che è già un po 'vecchia, probabilmente le persone hanno molti più account ormai.

Una volta capito questo e il fatto che i database delle password (non sempre crittografati) vengono rubati quotidianamente (quindi il problema principale non è la sicurezza delle password ma la gestione e la memorizzazione delle password), si inizia a capire che il problema è la maggior parte dei provider di servizi non ha idea del perché applichi una politica e imita solo ciò che vede gli altri fanno ... perpuetare i requisiti e le norme della password inutilizzabili e non scalabili nel tempo.

In passato c'era uno sforzo per creare identità federate con servizi come OpenID ma i provider di servizi preferivano mantenere il controllo sui propri clienti identità per una manciata di ragioni, il che significa più interfacce di autenticazione e più password per gli utenti.

Ci sono iniziative interessanti là fuori per rimpiazzare le password (vedi Pico ), ma temo che non ci si debba aspettare alcun miglioramento del settore durante la notte.

Ne esiste già uno prodotto da NIST . E ci sono buone ragioni per limitare una lunghezza massima della password.

Inoltre, a seconda del settore in cui ti trovi, gli standard / i requisiti potrebbero essere già stati definiti. Ad esempio PCI-DSS o Dipartimento della Difesa . Il problema qui è che ci sono più standard, non ce n'è uno singolo .

I limiti devono essere impostati, entrambi superiori come limiti inferiori. In caso di password, un esempio potrebbe essere PBKDF2-HMAC-SHA1 (a condizione che gli utenti generino le password in modo casuale) un algoritmo di hashing della password comunemente utilizzato. Se la password supera 64 byte di lunghezza, verrà troncata a 20 byte (applicando un hash SHA-1 alla password ) altrimenti non supererebbe il blocco. Naturalmente questo è ancora molto più di 12 caratteri, ma se inizialmente si prevede di utilizzare una password di 70 byte, questa verrà ridotta a 20 byte, altrimenti l'algoritmo non sarà in grado di lavorare con la password.

Modifica:

Un esempio più valido è elencato nei commenti. Non c'è motivo di avere password di dimensioni diverse di MB, in quanto ciò non aggiunge alcuna sicurezza rispetto a una password di 1024 caratteri. Avere una password così estesa potrebbe comportare un comportamento imprevisto all'interno dell'applicazione.

Il problema è che non puoi controllare la forza di una password in primo luogo. O più precisamente: possiamo riconoscere alcune password deboli (modelli troppo brevi e ovvi), ma non sappiamo come sia la password strong .

Né la lunghezza né la presenza di "caratteri speciali" rendono automaticamente una password strong. E una password relativamente breve che contiene solo caratteri alfanumerici non è automaticamente cattiva. Pertanto, qualsiasi politica relativa alle password è, nel migliore dei casi, un tentativo grossolano di filtrare la spazzatura evidente e di far pensare alla sicurezza della password.

Uno standard universale per le password semplicemente non è fattibile e probabilmente nemmeno sensato. Una politica che potrebbe funzionare bene per un pubblico potrebbe fallire completamente per un pubblico diverso. Ad esempio, per lo più generi password casuali con un gestore di password. Costringermi a seguire un determinato schema è privo di senso e fastidioso. D'altra parte, la stessa politica potrebbe effettivamente aiutare qualcuno con meno esperienza tecnica. Beh, non puoi averli entrambi. Penso che l'unico criterio su cui tutti possano essere d'accordo sia la lunghezza minima.

Oltre alla risposta di Steve, perché avere qualsiasi metodo per la follia nella tua password lo rende vulnerabile, il miglior consiglio è renderlo casuale e lungo. Quanto tempo?

22 sembra avere ragione se è un campionamento casuale dell'alfabeto di 62 caratteri: a-z, A-Z, 0-9.

E dovrebbero essere unici da sito a sito.

Ma come faccio a ricordare tutte queste password di garblygoop casuali, lunghe e uniche ??? Non lo fai. Utilizza un gestore di password!