Siti Web che impongono standard di password deboli (aggiornato) [duplicato]

Naviga le tue risposte
5

Nota : non ho intenzione di nominare i siti web che hanno questi orribili standard per i loro clienti e utenti.

Ho dovuto cambiare le mie password per il mio aggiornamento di routine solo di recente negli ultimi mesi, molti dei miei servizi principali che uso forzano gli standard delle password più deboli. Questi standard più deboli, che tutte le mie password devono avere, sono simboli speciali ( !@#$%^&* ) e altri requisiti speciali.

Alcuni dei principali problemi che hanno generato la mia password utilizzando i loro standard di una password sono i seguenti:

  • Non iniziare con un numero
  • Non deve avere un carattere speciale
  • Deve contenere da 8 a 12 caratteri (a seconda del servizio)

Perché dovrebbero promuovere password più deboli con questi requisiti?

Credevo che le password dovessero (al momento) essere lunghe quanto vogliamo, avere caratteri speciali e a chi importa se inizia con un numero, ecc, ecc, ecc.

Aggiornamento 1

Potrei aver dimenticato i dettagli di ciò che sta succedendo, ma posso fornire ulteriori informazioni sui problemi che vedo vedendo qui.

Uno di questi servizi è la mia società bancaria e l'altro è il mio fornitore di servizi di telefonia mobile. Sono bloccato con questi due servizi dati dove vivo. Questi servizi sono ampiamente utilizzati, quindi dovrebbero essere in grado di garantire una sicurezza di alta qualità.

    
posta Traven 29.07.2014 - 21:05
fonte

3 risposte

14

Se usi la stessa password per diversi siti distinti, allora tu stai facendo qualcosa di sbagliato. Ogni password deve essere specifica del sito. Pertanto, non ci sarà alcun motivo per cui gli "standard più deboli" abbiano un impatto su "tutte le tue password".

(Allo stesso modo, non vi è alcun motivo razionale per modificare tutte le password regolarmente. Esiste un'usanza diffusa di frequente rinnovo della password, ma è una "pratica comune", certamente non una "migliore pratica".)

Se disponi di password specifiche per sito, i requisiti progettati in modo errato avranno un impatto solo su quel sito. In definitiva, ogni sito mantiene la propria sicurezza e i "requisiti della password" ne fanno parte. Se un sito impone una dimensione massima della password di 8 caratteri, significa che:

  • Il proprietario del sito non ha una buona conoscenza della sicurezza.
  • Il sito è molto probabilmente debole in molti modi; i requisiti di password strane sono, di solito, solo la punta dell'iceberg.

Quindi, concentrarsi sulla password non ha senso. La sicurezza di quel sito puzza e non puoi farci nulla , tranne isolare il sito problematico, cosa che avviene non riutilizzando le password.

    
risposta data 29.07.2014 - 21:18
fonte
6

Spiegazioni per le regole delle password deboli

Bene, quelle sono ovviamente regole sbagliate. Ma ecco alcune possibili spiegazioni (o "spiegazioni") per questo:

Must not start with a number

Il proprietario del sito potrebbe effettivamente pensare che questa sia una buona regola. Per evitare ad esempio 1234546 o semplicemente anteporre una frase comune a '1' (ad esempio 1password )

Must not have a special character

Il proprietario potrebbe temere che il loro sistema (modulo, algoritmo di crittografia, ...) non possa gestire caratteri speciali o che questi siano un rischio per la sicurezza.

Must be a max of 8 to 12 characters long (depending on the service)

Alcuni algoritmi di crittografia troncano la password dopo 8 caratteri . Questo non significa che una password non può essere più lunga, ma il proprietario potrebbe pensarlo. Potrebbero anche temere che un utente inserisca una password ridicolmente lunga, che potrebbe temere possa rompere il loro sistema.

Ancora una volta, questi non sono buoni motivi, ma i motivi che qualcuno potrebbe avere.

Informazioni sull'aggiornamento: perché non modificare queste regole?

Also, these two services that I am stuck with rules my area and where I live.

e

With all of that money, resources, and some of the IT employees in the industry, they should be up on standards

Non sembra che abbiano un grande incentivo a cambiare. La perdita di clienti sembra improbabile se si tratta di un servizio importante che solo due società forniscono. A seconda del Paese, probabilmente è necessario aspettare per una causa (che potrebbe anche non arrivare) e (nel caso sia addirittura vinta) pagare una piccola quantità di denaro.

E cambiare un grande sistema non è così facile come sembra. Se si tratta di un vecchio sistema (che potrebbe essere benissimo), potrebbe essere possibile che in realtà non possa gestire caratteri speciali (specialmente non tutti i caratteri utf8). Perché cambiarlo quando funziona adesso? (è quello che probabilmente stanno pensando - se questo è anche un problema di cui sono a conoscenza)

    
risposta data 29.07.2014 - 22:14
fonte
3

Un motivo per applicare password più deboli è che una password più debole è più facile da ricordare per l'utente. Quando l'utente dimentica la propria password, deve essere utilizzata una procedura di recupero automatico della password. Una tale procedura di solito comporta che una password in chiaro sia inviata a un account di posta elettronica. Questo offre un sacco di superficie di attacco che è al di fuori del controllo del sito web. Meno spesso gli utenti dimenticano le loro password, meno spesso hanno bisogno di avviare questa procedura.

D'altra parte, gli scenari di attacco in cui la forza delle password è importante, come la brute-forzatura del loro modulo di login o il furto del loro database, sono sotto il loro controllo. Possono prendere misure per prevenirli.

Quando le persone hanno bisogno di scegliere tra il rischio che possono controllare e il rischio che non possono, tendono a scegliere il primo.

    
risposta data 29.07.2014 - 21:54
fonte

Leggi altre domande sui tag

I virus possono rubare gli indirizzi MAC? Perché l'indirizzo MAC è cattivo? Come funzionano i programmi anti-exploit?