Propagazione password, Trend password e Generatore di parole nella mente umana

Naviga le tue risposte
4

Alcune password come "123456", "admin" sono oltraggiosamente popolari, così come le trasformazioni di leet e la concatenazione di cifre.

Gli utenti sembrano raccogliere i suggerimenti della password o semplicemente copiare il pattern delle password degli altri senza dare un pensiero. Le password dovrebbero rimanere segrete, ma il fatto che le password di diversi utenti in molti database trapelati siano identiche o simili indica che le password non rimangono segrete. È solo una coincidenza che gli utenti utilizzino la stessa password o le stesse regole per trasformare la password?

La tendenza della password sembra essere propagata dagli utenti agli utenti mentre le informazioni di oggi vengono propagate attraverso Internet. Questa tendenza raggiunge anche il potenziale aggressore e di conseguenza, nel caso in cui il database delle password sia trapelato, il cracker ha esito positivo. Le password che non sono incrinate, non seguono la tendenza popolare e sono quindi risparmiate dal cracker.

Spesso si sostiene che l'essere umano scelga password facili da ricordare. Ma il fatto che quasi 300.000 utenti Rockyou usassero la password "123456" indica che la maggior parte degli utenti imita semplicemente gli altri in qualche modo per creare le password o è il caso che il generatore di parole nella mente umana è distorto. L'apprendimento per imitazione è una caratteristica evolutiva. Ma la creazione di password richiede unicità e non imitazione.

Quindi, è questa la limitazione della mente umana (o imitazione o generatore di parole distorta), quando si tratta della creazione della password?

Per impedire l'influenza della propagazione della password, possiamo dare suggerimenti unici a ciascun utente per la creazione della password? Le regole di composizione si applicano a ciascun utente di quel sito Web, può essere modificato per ciascun utente?

    
posta Curious 17.12.2014 - 05:54
fonte

3 risposte

3

Penso che tu abbia frainteso gli utenti. Le persone non possono essere intese come codice (cioè un "generatore di parole distorto"). Le persone hanno motivazioni e intese del mondo diverse da quelle che tu o io faccio.

Ad alcuni non importa se vengono violati. Alcuni non capiscono che gli attacchi automatici sono relativamente banali. Alcuni pensano che "perché qualcuno dovrebbe attaccarmi?". Non capiscono che l'automazione non gli interessa personalmente.

RockYou è un "sito di giochi di social media" gratuito. È davvero un sito che molti utenti si preoccupano della sicurezza? Non lo farei, e probabilmente userò una password facile da ricordare che non mi interessa. Inoltre non mi importava della mia password NY Times quando richiedeva la registrazione. Credo che fosse "password" (Vai avanti hax0rz, modifica il mio account NYT!).

    
risposta data 15.06.2015 - 23:45
fonte
2

Uso password non sicura per account removibili che hanno valore 0 per loro. Alcuni siti hanno generalmente uno standard di sicurezza basso e l'utilizzo di una password come 123456 offre agli hacker di tali siti meno informazioni sulle password effettive.

L'altro problema è che i siti hanno vincoli arbitrari sulle password. Se le password avessero una lunghezza massima illimitata, sarebbe molto più semplice generare password univoche. Molti siti limitano la lunghezza della password dell'utente a 4-5 (pin come login con 3 tentativi), 8, 12 o 16.

Ciò significa che le password che sono facili da ricordare devono essere 1-3 parole che si adattano a 12-16 caratteri. Questo limita gravemente la piscina. Il fatto che ogni sito abbia vincoli arbitrari, significa anche che una volta che hai una buona password adatta alla maggior parte degli schemi, è più probabile che tu la riutilizzi, perché ricordare 17 diversi nomi di account, con password diverse che hanno tutti vincoli diversi è quasi impossibile.

Se vuoi che gli utenti generino password univoche, dai loro un minimo di 10 caratteri e una lunghezza massima illimitata / alta.

Questo xkcd lo riassume molto :

    
risposta data 15.08.2015 - 23:52
fonte
1

La maggior parte delle persone non ha il senso di ciò che un utente malintenzionato può fare per tentare di indovinare le proprie password. La maggior parte degli utenti di Internet pensano che sia qualcosa come "nome.della.favorite.singer + data.of" .birth.reversed "è in qualche modo sicuro perché nei loro pensieri un umano non può indovinare qualcosa come il suo nome di cantante preferito + la data di nascita REVERSED. Forse pensano di essere sicuri fino a quando non scoprono la velocità e la semplicità di un dizionario on-line attacco. Ma devo dire che non è solo la mancanza di cultura di Internet il problema. Un sacco di persone che conoscono strumenti come pwgen per generare password, in realtà non li usano perché le password che non sono "umane" sono molto difficili da ricordare senza uno sforzo considerevole. Davvero poche persone sono disposte a fare uno sforzo per qualcosa come una password. Il comfort vince sempre quando si tratta della mente umana.

    
risposta data 15.06.2015 - 22:10
fonte

Leggi altre domande sui tag

Come vengono rilevati i "finti torrette cellulari" Come utilizzare C # per crittografare / decrittografare i dati in cui la chiave privata si trova su una smart card, modulo di sicurezza hardware, chip TPM, ecc.