Utilizzo della password "password con contatore"

10

Quando viene richiesto di aggiornare le loro password dopo che sono diventate obsolete (sia dopo 30, 60, 90 giorni - qualunque cosa sia implementata dalla policy), molti utenti semplicemente incrementano il numero che potrebbero essere stati forzati ad aggiungere dalla password la politica.

Sono interessato a sapere quanto sia diffusa questa pratica, non necessariamente chi la sta effettivamente facendo.

I sistemi mantengono già una cronologia delle password (con hash) per impedire il riutilizzo immediato. Quanto sarebbe male se dovessi conservare anche una cronologia della somma ASCII del testo in chiaro e osservare se tale somma viene incrementata quando la password viene modificata?

    
posta Nev Stokes 07.05.2014 - 17:07
fonte

3 risposte

19

È possibile verificare se alcuni utenti lo fanno senza salvare alcun dato aggiuntivo che potrebbe potenzialmente indebolire la sicurezza. Basta controllare quale sarebbe stata la loro password precedente quando seguono questo schema e confrontarlo con il vecchio hash.

Quando un utente aggiorna la propria password, crea permutazioni della nuova password prendendo ciascuna cifra nella password e diminuendola di una. Quindi calcola gli hash di queste permutazioni e verifica se corrispondono all'hash della vecchia password. Ad esempio, quando cambio la mia password in Pas5word!14 calcoleresti gli hash per

Pas4word!14
Pas5word!04
Pas5word!13

Quando uno di questi corrisponde al mio vecchio hash, mi hai preso.

    
risposta data 07.05.2014 - 17:15
fonte
1

Quando l'utente deve inserire la vecchia password prima di cambiarla in una nuova, è possibile provare a verificare quante sono le nuove e le vecchie password uguali. Poiché ciò può essere fatto sul lato client, non è necessario salvare la cronologia delle somme ASCII.

    
risposta data 07.05.2014 - 17:15
fonte
1

Avere un checksum (somma di caratteri) memorizzato in aggiunta a un hash indebolirà la robustezza contro la forza bruta estremamente (specialmente se non si utilizza un modulo corto). Se questo è un problema per te o no, non possiamo dirlo.

Consiglierei di fare studi di ricerca sociale di questo tipo quando indeboliscono la sicurezza del sistema. Basta usare i tipici filtri per le password che aumentano le differenze con le modifiche della password e si fanno.

    
risposta data 08.05.2014 - 01:37
fonte

Leggi altre domande sui tag