È un rischio per la sicurezza ricordare agli utenti i requisiti della password al login?

Naviga le tue risposte
9

Mi trovo regolarmente a cercare di accedere a siti Web in cui non ricordo la password che uso. Faccio alcune ipotesi su ciò che avrei potuto usare, ma di solito finiscono per doverlo resettare.

Una cosa che renderebbe il processo più semplice per me sarebbe se i siti mi ricordassero quali fossero i requisiti della password. (Ad esempio, se sapessi che la password deve essere di 8 caratteri, con una lettera maiuscola e un numero, non indovinerei nulla che non soddisfi tali requisiti.)

Ma mi sembra così ovvio, quindi ci deve essere qualche ragione per cui i siti non lo fanno - c'è qualche rischio per la sicurezza di fare questo?

    
posta DHall 17.01.2012 - 15:04
fonte

2 risposte

11

Se qualcuno vuole crackare le password per alcuni utenti del tuo sito, conoscere le regole della password può aiutarlo a ridurre il suo elenco di "potenziali password" eliminando le password che il server non avrebbe accettato in primo luogo. Tuttavia , se:

  • l'attaccante può anche registrarsi come utente (come nel caso di molti siti Web, dove la creazione di account è gratuita);
  • la "pagina di registrazione" elenca già i requisiti della password;

quindi si può presumere che l'attaccante abbia già quell'informazione. Quindi, non danneggia la sicurezza per richiamarli nella pagina di accesso.

In ogni caso, mantenere segreti i requisiti della password sarebbe difficile, dal momento che sono stati mostrati a tutti gli utenti. Un segreto condiviso da più di 3 o 4 persone non è più un segreto. Pertanto, si può presumere che l'utente malintenzionato conosca già i requisiti della propria password e visualizzarli nella pagina di accesso non gli offre ulteriori vantaggi.

C'è il rischio che la visualizzazione dei requisiti della password nella pagina di accesso possa confondere alcuni utenti, in quanto tali requisiti vengono solitamente visualizzati nelle pagine di registrazione, non nelle pagine di accesso. Dovrai stare attento nella tua formulazione e presentazione. Un altro possibile problema di usabilità è se modificate i requisiti della password a un certo punto, per nuove password: alcune password vecchie ma ancora valide potrebbero non riuscire a soddisfare i nuovi requisiti e, ancora una volta, gli utenti corrispondenti potrebbero essere confuso dal disallineamento. Tuttavia, questi non sono problemi di sicurezza (tranne che gli utenti confusi sono, generalmente parlando, un potenziale pericolo per la sicurezza).

    
risposta data 17.01.2012 - 15:17
fonte
2

Per ogni serie ragionevole di requisiti di password "minimi", no.

Ad esempio, se il requisito minimo è di 8 caratteri alfanumerici e la lunghezza massima accettata è di 12 caratteri alfanumerici, la conoscenza dei vincoli riduce lo spazio di ricerca da 36 ^ 12 a (36 ^ 12-36 ^ 8), che è una riduzione dello 0,00005% (1/36 ^ 4 = 1 in 1,7 milioni). La riduzione sarà ancora più piccola se la lunghezza massima è maggiore di 12.

Allo stesso modo, sapendo che la password deve avere almeno un carattere "non alpha" riduce lo spazio di ricerca solo di un importo insignificante.

Per "deve essere all'interno" (lunghezza massima, caratteri consentiti) i requisiti possono ridurre notevolmente lo spazio di ricerca. Ma un sistema di password sensato dovrebbe consentire almeno 16 caratteri alfanumerici e idealmente 32 o più (per consentire l'uso di passphrase), il che è sufficiente per rendere irrealizzabile la forza bruta.

E, come nota la risposta di Tom, l'attaccante scoprirà i vincoli abbastanza presto se sarà in grado di creare il proprio login / modificare la propria password.

    
risposta data 17.01.2012 - 21:17
fonte

Leggi altre domande sui tag

proxy SSL Blue Coat man-in-the-middle o cosa? Non si verifica un conflitto IP durante lo spoofing ARP?