Qual è l'argomento per la regola della password "Non più di n caratteri ripetuti" piuttosto diffusa?

4

Quindi, capisco perché vengono usate le politiche di password più comunemente usate.

Minimo carattere N? Nessun frutto sospeso basso lasciato per attacchi di forza bruta.

N carattere massimo? Il campo del database può essere solo lungo.

Nessun unicode? Il database sottostante non lo supporta.

Includi almeno una lettera, un carattere speciale, un numero e un heiroglyph? aggiunge alcuni bit extra richiesti.

Quello che non posso per la vita di me capisce però è la regola in cui non possono esistere più di n caratteri consecutivi (comunemente due da quello che ho incontrato) nella password. Non riesco a pensare a una ragione tecnica per farlo, e in realtà riduce il pool di password disponibili, rendendo così un attacco di forza bruta richiedere meno tempo. Questa pratica sembra troppo diffusa per non avere qualche giustificazione , non riesco proprio a pensare a cosa potrebbe essere.

    
posta Sidney 21.08.2015 - 08:16
fonte

4 risposte

1

Questa regola non ha molto senso. Credo che la logica di questa regola sia quella di evitare che le persone riempiano le loro password brevi con la ripetizione di un personaggio (che è un pattern, quindi identificabile dai password cracker) per raggiungere la lunghezza minima, invece di inserire caratteri diversi per creare una password più complessa.

es. se l'utente inserisce Jane1 come password e la lunghezza minima è 8, verrà rifiutata. Quindi l'utente potrebbe semplicemente scegliere Jane1111 . Con la regola applicata, sarà costretto a scegliere qualcosa come Jane1yxc . Tuttavia, potrebbe anche scegliere Jane1234 , che in realtà è più non sicuro di Jane1111.

    
risposta data 21.08.2015 - 16:24
fonte
0

Sta semplicemente cercando di impedire alle persone di aggirare la regola della lunghezza minima aggiungendo caratteri.

es. aB3 non è accettato perché ho bisogno di otto caratteri, quindi userò aB3xxxxx .

Regole come questa sono semplicemente una battaglia persa per i proprietari del sito. Dovrebbero essere incoraggianti e consigliare agli utenti come scegliere password sicure, piuttosto che applicare regole che gli utenti possono eludere. Ad esempio, potrebbero semplicemente eludere quanto sopra utilizzando aB3qwerty .

    
risposta data 22.08.2015 - 09:47
fonte
0

Questo crea solo una piccola diminuzione nello spazio-chiave. Se assumiamo che le nostre password siano lunghe 10 caratteri e tratte da caratteri maiuscoli e minuscoli e numeri (quindi 62 caratteri), allora ci sono 62 ^ 10 password.

In linea di principio, vietare due caratteri ripetuti significa rimuovere, dopo il primo carattere, una scelta per ogni personaggio futuro. Questo è 62 * 61 ^ 10, che è il 14% più piccolo.

Il "no 3 caratteri ripetuti" (che ho visto occasionalmente) riduce lo spazio delle chiavi molto meno, meno dello 0,1%.

Lo scopo di questo requisito è di ridurre la possibilità che gli utenti digitino password "facili da hackerare". In generale le password degli strumenti di hacking non iniziano con aaaaaaaaaa e si aprono la strada a tutte le password possibili, cercano tra le password "probabili" e quelle create prendendo una o due parole del dizionario, incollandole e aggiungendo alcuni numeri , punteggiatura o lettere ripetute, sono il miglior punto di partenza (in quanto è così che la maggior parte delle persone costruisce le proprie password).

    
risposta data 16.10.2016 - 20:02
fonte
0

Credo sia più corretto dire che è una tecnica per garantire un'entropia di livello. Questo può essere comunemente identificato dalla tecnica N-GRAM per la previsione del testo / parlato. Questo è un metodo basato sulla probabilità che un pattern si ripeta.

Suppongo che tu possa ridurre il tuo forzante bruto computazionale se riesci a prevedere con certezza quando un utente sta per ripetere un modello.

    
risposta data 21.08.2015 - 20:50
fonte

Leggi altre domande sui tag