Da dove provengono le linee guida comuni di "lunghezza minima della password"?

7

Non molto tempo fa, la saggezza comune era che le password dovevano avere almeno 8 caratteri. In questi giorni, il minimo più comune è 12.

Da dove provengono questi valori comuni? È interessante notare che 8 è esattamente il numero di caratteri in "password" - ha avuto qualcosa a che fare con il primo?

C'era qualcuno in particolare che ha detto "8" o "12", e il resto dell'industria ha seguito la loro raccomandazione? O c'era qualche OS o applicazione comune che decideva arbitrariamente il loro minimo, che veniva poi duplicato da tutti gli altri?

    
posta Iszi 16.12.2013 - 19:47
fonte

3 risposte

10

Le password Unix, con la vecchia funzione crypt() basata su DES , erano limitate a 8 caratteri (e il bit più alto di ogni byte è stato ignorato). Pertanto, un limite inferiore di oltre 8 caratteri semplicemente non avrebbe funzionato.

La forza trainante per una dimensione minima della password è l'efficienza della forza bruta: le password piccole sono incondizionatamente deboli perché provare tutte le combinazioni di, diciamo, 7 caratteri, può essere fatto con hardware relativamente economico e non troppo molto tempo. In particolare, nel caso della vecchia funzione crypt() basata su DES, il costo computazionale di provare una password è basso. Pertanto, in un contesto "vecchio Unix" (tipico delle sale computer degli anni '80), una dimensione minima di 8 è la migliore che si possa sperare, e davvero non si vogliono permettere password più piccole.

Penso che l '"8" derivi da quello. Il resto è una questione di storia, sociologia e banane .

    
risposta data 16.12.2013 - 20:11
fonte
2

La testimonianza dello scimpanzé

Più di 15 anni fa ho lavorato come amministratore di sistema su Tru64 come sistema operativo sviluppato su OSF / 1 da Digital Equipment Corporation . Questo sistema è stato costruito su un'architettura a 64 bit e ha fatto molti progressi nella sicurezza fondamentale. Uno di questi era permettere di usare DES per gestire password fino a 16 caratteri. Dato che ero già ben informato della facilità con cui era possibile rompere un DES a 56 bit, ero uno dei primi a usare password più serie. In quel momento ho calcolato che per me la dimensione ottimale delle password era piuttosto tra 12 e 16.

Purtroppo un giorno ... ho commesso uno stupido errore nel digitare la mia password accedere in remoto sul mio sistema. Sapevo di aver sbagliato a digitare un personaggio perché ero su una tastiera straniera. E ha funzionato. Questo era un raffreddore virtuale doccia d'acqua dritta nel cervello.

Ho immediatamente interrotto il mio lavoro in corso (e ho abbandonato completamente la banana). Ho dato la caccia al brutto bug. Un carattere dopo l'altro, ho accorciato la mia password per trovare dov'era l'errore.

Il limite è stato scoperto rapidamente: era alle 8. Qualunque fossero i personaggi inserito dopo gli 8 primi corretti, questa password troncata è stata accettata. Un bug è stato immediatamente inserito in DEC, e una lezione è stata appresa nel modo più duro.

Lo stesso giorno ho subito chiesto a tutti i miei colleghi e utenti di smettere di usare password più lunghe di 8 caratteri, perché erano solo false sicurezza. Dovrebbero rimanere a un limite di 8 caratteri poiché per alcuni server l'altro i caratteri non facevano parte del processo authentication .

Apparentemente senza l'origine della storia, molti miei colleghi hanno trasmesso questa paura religiosa fino ad oggi ☺. Quindi puoi vedere il sistema preistorico che ancora non può attraversare questa barriera di 8 caratteri senza che la paura ancestrale perda i loro personaggi.

Non rimarranno bloccati in questa paura per sempre o ... forse lo faranno.

    
risposta data 16.12.2013 - 22:58
fonte
1

12 deriva dallo stato attuale dell'arte nell'hardware di hashing brute-force. Una persona facoltosa, ma al contempo ordinaria, può acquistare due dozzine di schede grafiche, montarle su un telaio ben raffreddato, caricare alcuni software GPU specializzati ed eseguire 348 miliardi di hash al secondo. Sono sufficienti i computer per forzare tutte le possibili password di 10 caratteri in un intervallo di tempo ragionevole. (A meno che non siano protetti da PBKDF2 con molti round.)

12 personaggi casuali è un po 'meglio di 10 personaggi casuali, ma è scomodamente vicino ad essere a pochi dollari dal facile da crack di domani.

Passphrase molto più lunghe sono ancora migliori, ma se sono solo coppie di parole del dizionario, cadranno facilmente anche loro.

Una nota simile è la risposta alla domanda "Perché i numeri di telefono del Nord America sono a 7 cifre?" I test effettuati dalle compagnie telefoniche hanno dimostrato che è vicino al limite di ciò che un essere umano potrebbe ricordare in modo affidabile. È una guida scadente, soprattutto se l'utente utilizza una parola del dizionario come password, ma è facile vedere come il consiglio può portare da una situazione all'altra.

    
risposta data 17.12.2013 - 01:38
fonte

Leggi altre domande sui tag