Quali regole dovrebbero essere applicate agli utenti per creare una password sicura?

4

Sto cercando una guida definitiva alle regole che determinano una password "strong" per l'autenticazione del sito web. Sembra che molti siti web abbiano molte regole diverse e non sono sicuro di quale sia l'opzione migliore per consentire agli utenti di creare password forti, ma comunque facili da ricordare.

    
posta Eric Belair 10.04.2013 - 19:17
fonte

2 risposte

6

Vedi questo .

Punti importanti:

  • Non puoi testare la forza della password, guardando solo la password. Il livello di sicurezza della password è una proprietà di come viene generata la password, che non è possibile misurare o addirittura stimare più o meno approssimativamente semplicemente guardando la password ("metri di password" sono uno scherzo - una delle migliori barzellette: il tipo che molte persone credere).

  • Se imponi regole rigide sulle password, gli utenti si ribellano e indulgono in pratiche che degradano la sicurezza (ad esempio scrivendo la password su una nota nascosta sotto la tastiera o riutilizzando le password tra i siti).

  • Puoi aiutare gli utenti dando loro un generatore di password che segue regole entropiche elevate (questa volta conosci come vengono generate le password, così puoi misurare entropia). Il metodo "cavallo giusto" sarebbe una buona idea.

risposta data 10.04.2013 - 19:29
fonte
6

Molte delle regole che vedi in pratica sono abbastanza inutili. Richiedere almeno una lettera maiuscola e un numero infastidiscono gli utenti che non sono autorizzati a selezionare password , ma non riesce a indurli a sceglierne uno buono. In generale, scelgono invece Password1 . Quella password passerebbe molti filtri, ma ancora è stata fatta trapelare oltre 100 000 volte.

Puoi provare a rendere le tue regole più complesse. Diciamo che il numero non può essere alla fine! Bene, i tuoi utenti pigri lo metteranno in primo piano. Quella password è stata trapelata oltre 2 000 volte. Puoi continuare questo gioco di gatto e topo con i tuoi utenti, ma è un gioco che perde. Infastidirai sempre più i tuoi utenti e, a meno che non abbandonino per la frustrazione, continueranno a scegliere le password di merda. Le persone sono pigre e non è possibile cambiarle con regole complicate o calcoli di entropia.

Quindi, cosa fare invece?

  • Limiti di lunghezza: dovresti avere una lunghezza minima. Questo dovrebbe essere almeno 8, ma 10 o 12 è probabilmente meglio. Se l'algoritmo di hash ha una lunghezza massima (ad esempio, bcrypt taglia tutto a 72 caratteri), dovresti applicare anche quella lunghezza massima in modo che gli utenti non credano che la loro password sia più lunga di quanto non sia in realtà. Ma non applicare una lunghezza massima corta come 32 senza motivo.
  • Password comuni blacklist: è importante. Molto importante. È necessario verificare la password su un lungo elenco di password perse. Se la password è stata trapelata più di N volte (personalmente, direi per N = 1), bloccala. Ad oggi, la migliore lista di questo tipo è Password pwned .
  • Scelte ovvie nella lista nera: Una scelta allettante di password è semplicemente il riutilizzo del nome utente o altre informazioni personali fornite, il nome del sito o una sua variazione, o un termine strongmente correlato all'argomento del sito. Un modo per farlo è verificare che la password superi il requisito di lunghezza minima anche dopo aver rimosso tali parole. Non vuoi permettere agli utenti di selezionare LetItGo come password sul tuo sito fan di Frozen.
risposta data 07.05.2018 - 13:33
fonte

Leggi altre domande sui tag