criteri di complessità della password per le password non "inglesi"

10

In un'applicazione internazionalizzata, qual è la migliore prassi per una politica sulla complessità delle password? Non ho fortuna a cercare la risposta. Wikipedia elenca questi articoli per norme sulla password :

  • the use of both upper- and lower-case letters (case sensitivity)
  • inclusion of one or more numerical digits
  • inclusion of special characters, e.g. @, #, $ etc.
  • prohibition of words found in a dictionary or the user's personal information
  • prohibition of passwords that match the format of calendar dates, license plate numbers, telephone numbers, or other common numbers
  • prohibition of use of company name or an abbreviation

Se sono un oratore di lingua non latina, come funzionano le regole minuscole e minuscole? Non è semplice come a-z e A-Z. Che ne è delle ricerche nel dizionario e del divieto di determinati formati? Questo problema sembra ben noto per l'inglese, ma per quanto riguarda le altre lingue e culture?

    
posta Kevin Hakanson 16.07.2012 - 21:28
fonte

4 risposte

6

Molti tentativi di cracking della password drive-by assumono che la password sia un sottoinsieme di caratteri ASCII. Tuttavia, è probabile che gli attacchi mirati (nel modello Advanced Persistent Threat) scoprano che i tuoi utenti non utilizzano password ASCII e cambiano tatto.

Pertanto suggerisco le seguenti regole:

  • Identifica quali lingue saranno probabilmente in uso, in base alla tua base di utenti.
  • Esegui ricerche di dizionario per tali lingue e rifiuta le password basate su di esse.
  • Chiedi ai madrelingua di suggerire parole e frasi comuni non vocali che potrebbero essere utilizzate come password.

Se è possibile identificare i sottoinsiemi di caratteri per ciascun alfabeto, è possibile applicare ad essi punteggi di entropia individuali. Ciò ti consente di richiedere una sicurezza minima per tale password.

Probabilmente la parte più importante è il feedback degli utenti. Chiedi ai tuoi utenti di segnalare i problemi riscontrati con il sistema di password sul tuo sito e suggerisci come migliorare il sistema. Solo un madrelingua può davvero identificare le password deboli in anticipo.

    
risposta data 16.07.2012 - 21:52
fonte
5

Tutti scherzi a parte, il fumetto della Forza password xkcd può avere una particolare rilevanza qui dal momento che è indipendente dalla lingua: верный лошадь батарейка штапель (esempio sotto in russo) è pieno di entropia.

    
risposta data 25.07.2012 - 19:48
fonte
1

Ho trovato un articolo di Microsoft TechNet, Le password devono soddisfare i requisiti di complessità , che sembra applicarsi ai loro prodotti basati su Windows Server. Ciò aggiunge un altro gruppo di caratteri per "lettere" che non sono né superiori né minuscole.

Passwords must contain characters from three of the following five categories:

  • Uppercase characters of European languages (A through Z, with diacritic marks, Greek and Cyrillic characters)
  • Lowercase characters of European languages (a through z, sharp-s, with diacritic marks, Greek and Cyrillic characters)
  • Base 10 digits (0 through 9)
  • Nonalphanumeric characters: ~!@#$%^&*_-+='|(){}[]:;"'<>,.?/
  • Any Unicode character that is categorized as an alphabetic character but is not uppercase or lowercase. This includes Unicode characters from Asian languages.
    
risposta data 25.07.2012 - 19:16
fonte
0

L'analisi dell'entropia presuppone che la password sia contenuta in un insieme di parole o frasi derivate da una lingua conosciuta. Cosa succede se le password non sono composte da frasi trovate in qualsiasi lingua? In altre parole, la frequenza di certe lettere che si verificano in una pagina di testo digitato può essere calcolata e in sistemi basati in latino e in inglese, questo corrisponderebbe a ETAOINSHRDLU che è il più frequente (grazie a Carl, dal suo libro Contact). Quindi le password costituite da stringhe non linguistiche sarebbero le più difficili da decifrare (e di conseguenza le più difficili da ricordare). Esistono molti modi per formulare le password amichevoli senza immergersi nella lingua come fonte per le stringhe della password. Alcune lettere e numeri rima foneticamente e entropia non tengono conto di ciò (a meno che non mi sia sfuggito qualcosa nella sezione sulle librerie soundex). Ironia della sorte, il fatto stesso che abbiamo bisogno di proteggere le password dall'entropia e dall'analisi statistica è anche quello che rende le password meno facili da ricordare. Le norme sulle password sono progettate per garantire un livello minimo di protezione nonostante la lingua in cui viene creata la password.

La questione delle politiche e dei tipi di personaggi di altre lingue non latine è una grande domanda per quelli di noi che lavorano principalmente in set di caratteri basati sul latino. Ad esempio, ci sono caratteri simili alle lingue latine per altre lingue come il tailandese o l'arabo? Che dire di linguaggi basati su simboli e oggetti come il cinese come inflessioni che sono un fattore comune nella lingua inglese nel delineare la differenza tra una frase e una domanda. In cinese, l'inflessione si chiama pinyin, ei pinyin cambiano effettivamente la definizione di una parola piuttosto che delineare la differenza tra un'affermazione o una domanda. Quindi ci sono caratteri speciali in quei linguaggi che possono essere usati come i caratteri speciali nei linguaggi basati sul latino? Ecco come sembra che la domanda stava arrivando.

    
risposta data 02.01.2015 - 20:30
fonte

Leggi altre domande sui tag