Ho trovato una pagina Web in cui gli utenti possono essere registrati. Tuttavia, sembra che la lunghezza della password deve essere compresa tra 6 e 12 caratteri.
È un rischio per la sicurezza?
Sì. Le password sono per natura molto inclini a essere gestite in modo scorretto e la maggior parte delle decisioni prese in merito alla sua gestione sono arbitrarie o hanno più motivi di funzionamento che di sicurezza. In particolare, qualsiasi misura che ritaglia lo spazio della password possibile è particolarmente negativa.
Un esempio sono i PIN ATM. Hanno solo 4 cifre (nella maggior parte dei casi, almeno), quindi la maggior parte della loro forza si basa sul fatto che i tentativi sono limitati. Quindi, per uno scenario normale, hai 3 tentativi di indovinare un valore su 10000. Ciò significa una probabilità di successo di 1/3333. Gli umani sono terribili a caso e, di conseguenza, alcuni PIN sono più probabili di altri: 1111, 1234 e così via. Di conseguenza, alcune banche introducono regole: non numeri ripetuti (ora hai solo 5040 possibili PIN), non sequenze matematiche (1234, 2468 ... quanti di questi puoi costruire?), Non schemi di tastiera (PIN a forma di L, una linea retta, ecc.). Dopo aver inserito così tante opzioni, l'attaccante ha ora uno spazio di ricerca molto più piccolo da indovinare e le probabilità sono più favorevoli per loro.
Per un ambiente più aperto (funzionalità più elevate per l'attaccante), ci sono limiti più bassi che hanno senso, dal momento che un attacco di dizionario è quasi banale per le password brevi. Alcuni direbbero 8, alcuni direbbero 10, ma nessuno direbbe che 6 è ragionevole. Se le password sono hash (e salate), arriva un punto in cui le password più lunghe non hanno alcun aumento della sicurezza, ma non ha molto senso limitarle.
Sì , è un rischio per la sicurezza.
La lunghezza della password influisce notevolmente sulla sicurezza degli account.
Supponendo che un sito web consenta solo lettere minuscole [a-z] e limiti la password a 1-4 caratteri.
Ci vorranno solo 26 ^ 4 (456,976) differenti permutazioni. Pertanto, per determinare la tua password saranno necessari solo 456.976 tentativi diversi.
Se aumenti la sua lunghezza a 12 caratteri, ci saranno un massimo di 26 ^ 12 (9,54 x 10 ^ 16) diverse permutazioni.
Per dirla semplicemente, la lunghezza della tua password è sicuramente un fattore di sicurezza del tuo account. Più lunga è la tua password, maggiore è la sicurezza.
Se non hai altra scelta che accontentarti di una lunghezza limitata per la tua password ....
Ecco alcuni modi per rendere il tuo account molto più sicuro per la bruteforcing
Oltre a considerare l'entropia di una password breve come le altre risposte, dovresti considerare perché il sito ha una lunghezza di password limitata. Non esiste una ragione tecnica valida per un sito Web moderno (o quasi qualsiasi altro sistema di autenticazione) per avere una lunghezza massima della password (almeno, non uno qualsiasi umano potrebbe mai superare per caso). Le password non dovrebbero mai essere archiviate in nessuna forma, tranne che per un breve periodo nella RAM; devono essere eseguiti attraverso una funzione di derivazione chiave (i più popolari sono chiamati scrypt , bcrypt e PBKDF2 , in ordine decrescente di difficoltà a crack) e la chiave risultante dovrebbe essere memorizzata nel database insieme al sale e ad altri input KDF (oltre alla password, ovviamente) necessaria per ricavare la suddetta chiave. I KDF non si preoccupano della durata della password; produrranno comunque una chiave a lunghezza costante.
Se un sito impone una lunghezza massima della password, è probabile che non esegua password tramite KDF (o anche una semplice funzione di hash, che è troppo facile da forzare, ma supporta comunque password di lunghezza arbitraria). Ciò significa che stanno memorizzando la password sia in testo normale, sia con crittografia reversibile. La prima opzione è DAVVERO CATTIVO e la seconda non è molto meglio. I database delle persone vengono divulgati abbastanza frequentemente e, quando ciò accade, l'utente malintenzionato può utilizzare direttamente qualsiasi password di testo normale o può decifrare le password (potrebbe essere necessario estrarre un file dal file system del server Web, ma se è possibile ottenere il database può spesso ottenere anche i file e la chiave deve essere memorizzata da qualche parte ). In entrambi i casi, l'autore dell'attacco può ora accedere come qualsiasi utente su quel sito e può anche provare ad accedere con le stesse credenziali su altri siti perché molte persone commettono il terribile errore di riutilizzare le password.
Quindi sì, dovresti essere molto sospettoso nei confronti di qualsiasi sito che impone una lunghezza massima della password.
Considerare l'intero ambiente di sicurezza. Ad esempio, gli sportelli automatici sono solitamente monitorati dalla telecamera. In quell'impostazione utilizzando un pin di 4 cifre potrebbe essere accettabile, dal momento che i tentativi di frode saranno catturati dalla fotocamera.
Se un sito web blocca qualsiasi utente che comporti due errori di password, allora forse una password breve potrebbe essere accettabile. Tuttavia, se il sito Web consente errori di password illimitati e utilizza password molto brevi, allora questo è sicuramente un buco di sicurezza. Le ragioni di ciò sono elencate nelle altre risposte, ad esempio un attacco a forza bruta può riuscire a causa del numero limitato di password possibili.