Impedisci il riutilizzo della password su siti diversi

6

In genere sono contrario a regole troppo rigide o complesse per accettare password (regole come "Deve contenere almeno un carattere maiuscolo, un numero e un simbolo" e cose simili, vedi anche XKCD # 936: password complessa breve o passphrase lunga del dizionario? ). Di solito preferisco calcolare una metrica strengthness (basata su caratteri speciali inclusi e lunghezza) e se è sopra una soglia give accetto la password, non importa se è strong perché è un testo in minuscolo di 32 caratteri o perché è composto da 10 caratteri ma contiene anche caratteri in caratteri cinesi).

Mi piace questo approccio perché è facile per gli utenti finali e, presumendo che gli utenti con una buona formazione scelgano frasi d'accesso , Tendo a considerare le loro password ragionevolmente sicure.

Tuttavia:

  • Gli utenti potrebbero erroneamente usare frasi incredibilmente comuni ( il mio nome è adriano o cose del genere). Non appena saranno disponibili statistiche valide (forse sono disponibili anche ora ma non sono a conoscenza), un utente malintenzionato che ha ottenuto un elenco di password con hash può utilizzare tali statistiche per le passphrase guess .

  • Non posso essere sicuro della sicurezza di altri siti e vorrei impedire agli utenti di riutilizzare la stessa password per ogni sito che hanno una registrazione.

Ho pensato di chiedere loro di includere una determinata parola casuale nella loro password, qualcosa del tipo: Digita la tua password, assicurati di includere la parola "miele" in essa . È ragionevole? AFAIK non dovrebbe indebolire l'hashing con parole / pattern ripetitivi perché la parola viene scelta casualmente da un dizionario abbastanza grande (e specifico per una lingua).

Sì, possono semplicemente aggiungere la parola richiesta al testo esistente (ad esempio "il mio nome è adriano, miele" ) ma dal punto di vista del cracker non dovrebbe avere importanza perché la parola è casuale e alla fine anche i separatori aggiuntivi miglioreranno la sicurezza.

    
posta Adriano Repetti 14.03.2016 - 11:50
fonte

3 risposte

5

Type your password, be sure to include word "honey" in it. Is it reasonable?

No, non lo è.

  • I generatori di password casuali potrebbero non supportare l'aggiunta di una parola specifica.
  • È più difficile da ricordare per gli utenti che non utilizzano i gestori di password.
  • Incoraggia gli utenti a scegliere una password più breve di quella che avrebbero potuto usare senza la condizione, solo perché vogliono ricordarla facilmente.
risposta data 14.03.2016 - 12:14
fonte
3

Se si dispone di una pagina di registrazione pubblica, è necessario presumere che eventuali restrizioni della password che gli utenti dovranno seguire saranno conosciute da un utente malintenzionato. Questo perché chiunque può iniziare il processo di registrazione per vedere quali sono le restrizioni della password. Semplicemente visitando la pagina molte volte un utente malintenzionato potrebbe creare il proprio dizionario delle parole richieste e rimuovere in modo efficace tutti i possibili vantaggi di averlo in primo luogo.

Ora considera che ci sono alcuni svantaggi, (già menzionato in altre risposte), il risultato netto di questa idea è: Non raccomandato .

    
risposta data 14.03.2016 - 17:01
fonte
1

Un problema con questa idea è che gli utenti sono davvero prevedibili. Se riesci a includere una parola, è probabile che faranno una breve frase con quella parola e, dato che sono su Internet, probabilmente sarà osceno.

Ad esempio, se viene data la parola "miele", è probabile che si ottengano variazioni su "BloodyHoney", "F ** kingHoney", "Odio il miele". Puoi scegliere il dizionario più grande che desideri, ma è probabile che infuri gli utenti, quindi è probabile che eseguendo un attacco del dizionario contro di esso con le imprecazioni anteponendo e aggiungendo parole comuni, è probabile che ne vengano restituiti almeno alcuni.

Infastidisci anche le persone che usano i gestori di password: devono impostare regole specifiche per il tuo sito, quindi è più probabile che se ne vadano. Lo faccio con siti che hanno regole speciali per i caratteri speciali e sono più indulgente di alcune persone che conosco!

    
risposta data 14.03.2016 - 12:09
fonte

Leggi altre domande sui tag