Un'analisi dell'archiviazione dei suggerimenti per le password?

8

Quali sono le implicazioni per la sicurezza di chiedere agli utenti di fornire suggerimenti per la password? Quali sono le migliori pratiche per la memorizzazione dei suggerimenti utente? Quali ricerche sono state fatte sull'utilizzo di suggerimenti per la password forniti dall'utente per guidare le applicazioni di password cracker?

Nota: sembra che il sorprendente sbalordimento di Adobe con 130 M di password crittografate in modo reversibile, memorizzate insieme ai loro suggerimenti, stimolerà il campo ... Punta su XKCD per condividere le notizie e il seducente titolo "Il miglior cruciverba nella storia del mondo": 1286: Encryptic - spiega XKCD

IlnuovometodoGOTCHA:lagenerazioneditestdiTuringdipanOpticpercomunicareacomputereesseriumanirendeilcrackpiùdifficileeportaanchel'intelligenzaartificialesulcampo: Le password Inkblot potrebbero contribuire ad aumentare la sicurezza online - UPI.com .

    
posta nealmcb 04.11.2013 - 16:50
fonte

2 risposte

9

L'impatto reale dei suggerimenti sulla sicurezza è ampio. L'account di Sarah Palin è stato violato perché qualcuno ha scoperto la sua scuola superiore.

I suggerimenti sono essenzialmente informazioni pubbliche. Vengono forniti a qualsiasi persona non fidata che fa clic su "Ho dimenticato la mia password". Solo in quel contesto, la loro crittografia non ha molto senso. Ma Adobe ha dimostrato che l'archiviazione di suggerimenti con password crittografate fornisce ulteriore debolezza.

In generale, la sicurezza deve ancora scendere al giusto hashing delle password salate. Memorizzare le password non è sicuro. Le password Unhashed non sono sicure. La BCE è insicura. Nessuno dei loro errori non era già una conoscenza pubblica comune, ed erano tutti fallimenti nel seguire le migliori pratiche.

Consiglio di criptare suggerimenti? Invece, raccomanderei di utilizzare un processo di reimpostazione della password fuori banda (via SMS o qualche altro metodo) e saltare completamente i suggerimenti.

    
risposta data 04.11.2013 - 17:10
fonte
1

Due implicazioni sulla sicurezza di cui abbiamo discusso (prima di optare per non avere una funzione di suggerimento password):

  • Devi evitare che l'utente sia troppo specifico nel loro suggerimento. (ad esempio "Il mio numero di telefono di casa")

  • Devi evitare che l'utente ne inserisca una parte password nel suggerimento stesso.

Problemi non legati alla sicurezza che sono ancora rilevanti per i processi aziendali:

  • I campi di iscrizione aggiuntivi riducono la conversione.

  • Alcune piccole persone lamentano la presenza di un campo suggerimento, anche se facoltativo.

Sarebbe bello avere alcuni dati difficili dal mondo reale. Quindi, se conosci qualcuno responsabile della gestione degli utenti il cui processo di business coinvolge i suggerimenti per le password e reimposta le domande, indirizzali a questa discussione!

    
risposta data 04.11.2013 - 23:45
fonte

Leggi altre domande sui tag