Limita / riduce la lunghezza della password senza preavviso insicuro?

4

Ho riscontrato che il nostro sistema linux taglia la lunghezza di ogni password ad una certa lunghezza, dopo quella lunghezza ogni carattere aggiuntivo sembra essere ignorato.

Questo rende il nostro sistema linux più suscettibile a un attacco del dizionario di forza bruta? Anche la lunghezza di una password al lavoro non è al 100% un segreto, poiché sentirai qualcuno digitare a breve o piuttosto a lungo. Qualcuno malintenzionato potrebbe usare questo per craccare una lunga password con un attacco di dizionario di parole comuni, assumendo che tutti i personaggi complicati siano alla fine?

    
posta HopefullyHelpful 14.03.2016 - 16:13
fonte

1 risposta

5

Assolutamente - e "senza preavviso" è piuttosto brutto qui.

Il tuo esempio (una costruzione che inizia con una parola e ha bit più complicati alla fine) è buona. Anche la " graffetta della batteria di cavalli corretta " di XKCD sarebbe stata ridotta alla sola parola, rendendo lo spazio insignificante alla forza bruta.

Se un utente esperto di sicurezza è a conoscenza di questa limitazione, potrebbe scegliere una diversa costruzione della password, ma è una cosa davvero terribile da chiedere agli utenti di fare. Un utente esperto di sicurezza che è inconsapevole di questa restrizione potrebbe facilmente finire con una sicurezza equivalente alla tua% mediahunter2 password.

    
risposta data 14.03.2016 - 16:17
fonte

Leggi altre domande sui tag