È più sicuro limitare le password che hanno due caratteri identici in fila?

4

OWASP raccomanda questa pratica e così anche altre società. Penso che abbia un senso a prima vista, ma se ci pensi, in realtà limita l'entropia invece di aumentarla. Quante combinazioni sarebbero ridotte con questa regola? Ho calcolato la loro entropia minima (10 caratteri, tutti e 4 i tipi) per essere 3e19. Non avere personaggi lo limiterebbe un bel po 'immagino. Non so quanto, ma scommetterei che ci sarebbe molto usando il paradosso del compleanno come guida. Se qualcuno può calcolarlo per me e mostrarmi i passaggi, sarebbe molto apprezzato.

Il mio punto è che lo limiterebbe a prescindere. Allora, qual è il vantaggio? C'è un guadagno altrove, forse nella metodologia del cracking della password? Per quanto posso dire, non c'è molto che possa pensare. Qualcuno può spiegare perché i suoi benefici superano i negativi o forse è solo una cattiva regola e perché OWASP e gli altri pensano così.

    
posta Geoff Lee 26.02.2017 - 02:24
fonte

3 risposte

4

Il link che hai condiviso dice:

not more than 2 identical characters in a row (e.g., 111 not allowed)

quindi il tuo limite si applica a 3 caratteri di fila.

Ricorda che qualsiasi limitazione che impone una determinata regola riduce lo spazio di ricerca assoluto per una password. Ad esempio, la richiesta di quattro diversi tipi di caratteri rimuove lo spazio per le password di tutti i caratteri inferiori / tutti superiori / tutti i numeri / tutti speciali.

La speranza con tali restrizioni (3 caratteri identici consecutivi / 3 cifre consecutive / 3 cifre consecutive più un carattere speciale / 3 tasti QWERTY consecutivi ...) è di ridurre la probabilità che gli utenti scelgano una password debole (una che è più probabile che sia già stato "scoperto" e aggiunto a una tabella arcobaleno).

Il vantaggio potrebbe non essere evidente se si pensa al cracking delle password come "stupida forza bruta", ma potrebbe essere più chiaro se si osservano le proporzioni delle password danneggiate da un set di dati di grandi dimensioni che mostra queste caratteristiche deboli.

    
risposta data 26.02.2017 - 04:53
fonte
2

Crackstations la "piccola" lista di password contiene circa 64 milioni di password. Ho fatto il grep per una serie di più di due personaggi identici di fila e ho trovato circa 1,2 milioni di partite *. Ciò significa che meno del 2% di tutte le password in questo elenco contiene più di due caratteri consecutivi.

Da questi numeri, presumo che l'uso di molti personaggi identici di fila non sia una pratica diffusa e quindi non è necessario applicare alcuna precauzione contro di essa.

* Tieni presente che una password "aaaa111" verrà conteggiata due volte.

    
risposta data 26.02.2017 - 20:21
fonte
1

My point is that it would limit it regardless. So what's the benefit? Is there a gain elsewhere, perhaps in the password cracking methodology?

Sì. Anche se è vero che la regola limita l'entropia complessiva, penso che la vera domanda che dovresti porre sia quanto siano realmente comuni le password con tre caratteri identici in una riga.

Ecco un esperimento che potresti fare: ottenere un elenco di password comuni (diecimila probabilmente, ad esempio). Contare il numero di password che contengono tre caratteri identici in una sequenza.

Quindi calcola la frequenza con cui una tale sequenza dovrebbe verificarsi se è stata distribuita casualmente. Se ci sono più password con tale sequenza che le statistiche suggeriscono che dovrebbe esserlo, allora le persone tendono a preferire tali password, il che significa che è sensato proibire tali modelli, perché gli indovini delle password capitalizzerebbero su questa conoscenza e provare prima le password con queste ripetizioni , che ridurrebbe notevolmente lo spazio di ricerca.

Non ho fatto i calcoli, ma ho la sensazione molto strong che la riduzione dell'entropia della password sia il problema minore IFF il modello di carattere identico è in realtà comune nelle password.

If someone can calculate that for me and show me the steps, that would be greatly appreciated.

Sono troppo arrugginito per avere una risposta dal punto di vista matematico, ma quando ero ancora a scuola abbiamo calcolato le probabilità di estrarre un certo numero di palline nere da un sacco contenente palline bianche e nere, rimettendo le sfere. Penso che probabilmente sarebbe il modo di fare i calcoli correttamente, e penso che dal momento che è una probabilità da manuale, potresti essere fortunato a cercare su Google questo tipo di problema.

Per una rapida sensazione per il numero di possibilità che rimuoveresti con la regola dei non identici personaggi nella fila, pensa a quante probabilità avrebbe di ottenere lo stesso numero di occhi con un dado tre volte di seguito (il primo non ha importanza, ma i seguenti due tiri hanno una probabilità di 1/6, quindi 1/36). Se fai lo stesso con una password e supponendo che abbia 64 caratteri univoci tra cui scegliere, ti ritroverai con una probabilità del 98,98% NON di ottenere una sequenza di 3 caratteri identica (1- (1/64) ^ 2 ). Tuttavia, questo non è ancora corretto perché la tua password non ha solo 3 caratteri, è di 10 caratteri, quindi dovresti tenerne conto. Probabilmente devi moltiplicare la possibilità di colpire una sequenza di tre duplicati (1/64 * 1/64) per 8 perché ci sono 8 possibili posizioni in cui la sequenza può essere trovata (che lascerebbe comunque il 99,8% dell'entropia originale)

Modifica: sostituisce la matematica di uso discutibile con più suoni matematici.

    
risposta data 26.02.2017 - 17:50
fonte

Leggi altre domande sui tag