Qual è esattamente l'impatto sulla sicurezza quando si costringono le password degli utenti a contenere un determinato carattere?

3

Alcuni anni fa un amministratore di sistema del grande centro di calcolo (in un campus) ha imposto la password di ogni singolo utente per contenere il carattere $ in una posizione arbitraria. Hanno presto abbandonato questa politica, ma mi sono sempre chiesto cosa si potrebbe ottenere da questo. Questo renderebbe effettivamente le password più sicure o le renderebbe più deboli?

Lasciando da parte il fattore umano questo avrebbe avuto sulla memorabilità delle password, la mia ipotesi era che questo avrebbe nessun effetto su come si deve rompere una password poiché è noto che uno dei caratteri è $ . Tuttavia, dato che la posizione del carattere e la lunghezza della password erano arbitrarie, forse c'è dell'altro.

Riesci a far luce sugli effetti di questa politica e perché qualcuno la applicherebbe?

    
posta bitmask 15.03.2013 - 15:36
fonte

2 risposte

3

Se lasciati ai propri dispositivi, le persone tendono a scegliere password deboli (ad esempio il nome dei loro figli / madre / fidanzata / monarca). Questo è un dato di fatto. Educare gli utenti a le virtù delle password difficili da indovinare attraverso la casualità è un compito che richiede tempo e fatica. Spesso sembra più facile e veloce espellere in qualche modo gli utenti fuori dalla loro zona di comfort, costringendoli a scegliere le password in un set che lo renderà "per costruzione" più casuale. La maggior parte delle fidanzate non ha un "$" nel nome, quindi l'aggiunta obbligatoria del simbolo del dollaro renderà la password "più casuale", o almeno così si spera. In pratica, però, le persone prima pensano alla password che vorrebbero avere, quindi aggiungono (con aggiungendo ) tutto ciò che serve per placare il sysadmin; quindi metteranno il segno del dollaro alla fine, quasi sistematicamente. La password non sarà "Gwendoline" ma "Gwendoline $". Pertanto, la sicurezza extra è, nel migliore dei casi, lieve. E gli utenti saranno meno felici, ovvero, a parità di condizioni, una cosa negativa per la sicurezza.

    
risposta data 15.03.2013 - 15:44
fonte
3

In pratica stai riducendo l'entropia generale della tua password, dato che uno dei personaggi sarà sempre conosciuto.

Questo effetto è ulteriormente amplificato dal fatto che la maggior parte degli umani sono creature prevedibili. Se li imponi di posizionare un carattere arbitrario da qualche parte nella loro password, c'è un'alta probabilità che il carattere sia il primo o l'ultimo carattere della password.

    
risposta data 15.03.2013 - 15:39
fonte

Leggi altre domande sui tag