I primi caratteri X della tua password non possono essere identici al tuo precedente

6

La politica di sicurezza del mio datore di lavoro ha una politica di rotazione della password per la mia workstation. Dopo un recente cambio di password ho ricevuto immediatamente una e-mail che mi diceva di un problema:

According to our records, you recently changed your workstation password, which is synchronized automatically with XYZ. However, this email is sent to inform you that your password could not be set in the system. The most common reason for failure is that the first three characters of a password cannot be identical...

Please change your password once again via the Password Center or Windows.

Come fastidioso che ho bisogno di cambiare la mia password ancora una volta. Ma più curiosamente, avevo l'impressione che politiche come questa sarebbero state impossibili se l'hashing delle password fosse in pratica. Gli amministratori del sistema XYZ dovrebbero sapere quali sono i primi tre caratteri della mia password precedente o sono indicativi di cattive pratiche?

Modifica

first three characters of a password cannot be identical

L'ho interpretato come "... i primi tre caratteri di una password non possono essere identici al precedente ". L'e-mail stessa era piena di errori ortografici e grammaticali (conteneva persino una traccia dello stack) quindi sono andato mentalmente in modalità interpretazione e ora penso di aver interpretato questa riga in modo errato. Leggendo di nuovo probabilmente sta solo facendo un suggerimento. Non voglio ancora saltare in gola all'IT Helpdesk! Tuttavia penso che questo possa essere risolto ipoteticamente come se si riferisse alla password precedente, quindi lascerò la domanda così com'è. (Per inciso, sarei interessato a sapere perché uno potrebbe avere una politica che vieta ai primi tre personaggi di essere identici.)

La password viene modificata tramite CTRL + ALT + CANC in Windows. Quando si verifica ciò, deve verificarsi una sincronizzazione con altri sistemi interni (ad esempio, sistemi di scrittura del tempo).

    
posta chrisjleu 06.07.2016 - 09:21
fonte

1 risposta

5

Se è inteso per dire, "le prime X lettere della password sono le stesse della prima X della password precedente", questo è indicativo di cattive pratiche. Per esattamente le ragioni che hai menzionato.

Le prime X lettere possono essere immagazzinate da qualche parte in testo semplice, il che è male - se un attaccante le mette le mani sopra, rende più semplice un attacco a forza bruta.

Anche se, come @Quentin sottolinea nei commenti, memorizzano solo un hash dei primi caratteri X, questo rende ancora più facile per un utente malintenzionato. Se gli hacker ottengono l'accesso a questo hash, possono forzare l'hash dei primi caratteri X più facilmente dell'hash della password completa. Dopo di ciò, hanno i primi X caratteri della password - rendendo molto più semplice un attacco a forza bruta sull'intera password.

Tuttavia, come indicato da @ hamena314 nei commenti, forse stai interpretando il messaggio sbagliato:

The most common reason for failure is that the first three characters of a password cannot be identical...

Può semplicemente significare che i primi tre caratteri non possono essere identici tra loro .

    
risposta data 06.07.2016 - 09:28
fonte

Leggi altre domande sui tag