Perché le password con caratteri speciali sono considerate più sicure delle password di lunghezza più lunga? [duplicare]

5

Ad esempio, OWASP considera 10-128 caratteri, con caratteri inferiori, superiori, cifre e speciali personaggi (non capisco perché c'è un limite massimo). Utilizzando le linee guida minime di OWASP e assumendo che ci siano 28 caratteri speciali, l'entropia è 3e19. Ma con una password di 16 caratteri con solo lettere minuscole è 4e22. Lancia in maiuscolo ed è 2e27. I computer possono calcolare a un ritmo piuttosto veloce ma qualunque esso sia, abbassa quella entropia, il che significa che la differenza non è di 22 zeri a 19, ma più vicino a 5 a 2, cioè le differenze sono enormi.

Se la lunghezza è un problema, 12 caratteri inferiore + superiore è 3e20. Altre grandi aziende costringono ancora le persone a utilizzare un minimo di 8 caratteri con caratteri speciali. Perché costringere le persone a utilizzare caratteri speciali - e ai numeri di interno - quando altri 2 caratteri non sono solo più sicuri ma molto più facili da ricordare? Perché sono così anonimi su questo?

Alcune persone sostengono che le password di lunga durata sono cattive perché le persone usano solo parole reali per limitare enormemente l'entropia. A ciò direi la stessa cosa con password più brevi, quindi attacchi con dizionario + regola. Forzare numeri e / o caratteri speciali genera solo password come [word]1! o, peggio, Password1! . Qualcuno può spiegare perché i caratteri speciali sono una necessità in password sicure o perché è considerato in questo modo nonostante le prove contro di esso.

    
posta Geoff Lee 26.02.2017 - 06:48
fonte

3 risposte

2

È UX. Richiedere caratteri misti rende meno probabile che un utente usi una parola o frase comune, il che lo renderebbe molto suscettibile a un attacco al dizionario . L'entropia aggiuntiva è un bonus; come fai notare, i caratteri aggiuntivi sarebbero altrettanto efficaci.

    
risposta data 26.02.2017 - 10:29
fonte
1

È perché se non forzate le persone a usare caratteri speciali, probabilmente non lo faranno, lo stesso vale per i numeri maiuscoli e per i numeri. Se imposti una combinazione di questi elementi, aumenterai sempre l'entropia, perché aumenti il numero di caratteri che potrebbero essere presenti in ogni carattere della tua password.

Indipendentemente dalla situazione, avere un carattere speciale e / o il numero richiesto renderà sempre più difficile spezzare la password. p @ $$ w0rd è più difficile, marginalmente, della password.

Se la domanda è, vale lo sforzo extra e il fastidio per i tuoi clienti, è diverso.

    
risposta data 26.02.2017 - 10:19
fonte
0

Considerare solo lo scenario di un attacco di forza bruta che può essere vero. Tuttavia, quando consideriamo altre tecniche per indovinare la password, questo potrebbe essere falso.

Quando è consentito / forzato l'utilizzo di una password minuscola di lunghezza accettabile (per un'alta entropia), la password deve essere un testo casuale. In uno scenario reale, un utente medio userà parole o frasi da una lingua riducendo così l'entropia poiché sappiamo che l'entropia è l'imprevedibilità.

È una domanda tra $33th1sP@ssw0rd o seethispasswordwhichislongerbutnotsecureenough .

    
risposta data 26.02.2017 - 11:46
fonte

Leggi altre domande sui tag