Quali sono i criteri di valutazione che un sito utilizza per una password come strong, moderata o meno sicura

3

Sono stato in una specie di sfortuna su come un sito web decida quale password è altamente vulnerabile, strong ecc. Ultimamente al mio account yahoo è stato detto di cambiare la password che sto usando da molto tempo visto che il sito si sente vulnerabile. Devo sapere come si misurano a questo.

    
posta Yatin 02.01.2015 - 19:56
fonte

2 risposte

5

I misuratori di forza delle password sono universalmente limitati dalla quantità di regole e ricerche messe in essi rispetto alla quantità di regole e ricerche messe in strumenti di attacco, in particolare della varietà cracking offline come oclHashcat .

I più comuni misuratori di forza della password utilizzano un algoritmo semplicistico che combina la lunghezza e un'approssimazione dello spazio delle chiavi per dare la tua lettura. Ad esempio, alcuni considereranno una password di 11 caratteri con lettere maiuscole, minuscole, numeri e simboli come "Molto strong".

P@$$w0rd123

Se pensi che la "password" con un capitale iniziale, un po 'di parole comuni e un 123 alla fine sia una password "molto strong", ti suggerisco di leggere su attacchi basati su regole . Nota che alcuni dei set di regole forniti con Hashcat hanno oltre trentamila regole, e le serie di regole sono comunemente usate in combinazione con dizionari di decine di migliaia a miliardi di parole (essenzialmente join cartesiani - per ogni parola di dizionario, applica ogni regola nel set di regole scelto), a seconda di quanto fosse buono l'hashing e quanto l'attaccante avesse investito in GPU.

Alcuni strumenti di misurazione della password includono un dizionario da piccolo a medio e un piccolo insieme di regole (che sono molto più efficienti perché funzionano su una password in chiaro), come zxcvbn ; tuttavia, sono ancora limitati rispetto a ciò che un buon attaccante (ad esempio un team di cracking competitivo a un evento o una ricerca sulla sicurezza, senza contare i veri attori cattivi, usando l'elenco delle password perse).

Il riepilogo è: Se un misuratore della forza della password indica che la password è debole, la password è debole (o lo strumento è completamente rotto).

Se un misuratore di forza della password dice che la tua password è strong, ignorala; Supponiamo che non sappia nulla.

Lunghe password puramente casuali sono più forti che puoi ottenere; Io secondo il minimo di 14 caratteri, e questo è solo per una passphrase generata in modo puramente casuale.

Le combinazioni di parole casuali possono essere ok, ma "corretto punto di riferimento della batteria del cavallo" come esempio specifico è piuttosto negativo, tre delle parole sono in una comune lista di parole in inglese Top 5000 e l'ultima è ancora nel dizionario phpbb e il piccolo dizionario inglese americano di Ubuntu. Ulteriori analisi su la mia risposta a devo rifiutare ovviamente le password scadenti , ma si riduce al fatto che un utente malintenzionato un piccolo sottoinsieme di parole inglesi troverà questo esempio, e molti esempi umani sceglierebbero da soli, senza dover cercare in modo esaustivo da nessuna parte vicino all'intera combinazione di 4 parole in inglese. keyspace

Come minimo, scegli a caso solo parole più lunghe, dopo aver eliminato anche le parole comuni.

  • Ad esempio, prendi il dizionario pazzo inglese di Ubuntu
  • quindi rimuovi tutte le parole di lunghezza 7
  • quindi rimuovi tutte le parole rimanenti che si trovano anche nel dizionario inglese americano
  • quindi usa un generatore di numeri casuali per selezionare linee e casuale, e usa qualsiasi parola sulla linea
  • Ancora meglio, metti anche tra di loro alcuni separatori casuali univoci

Il difetto nel punto corretto della batteria di cavalli e il difetto nella maggior parte degli stimatori di forza della password è lo stesso; fanno matematica presumendo che sia generata casualmente, e senza aiuto, pochissimi umani si avvicinano. Gli hacker lo sanno e lavorano con esso e i risultati di ciò che gli umani hanno scelto prima erano già stati risolti (o erano stati archiviati in testo normale).

    
risposta data 03.01.2015 - 08:34
fonte
0

Oltre agli altri commenti, vale la pena notare che la maggior parte dei controllori della complessità della password ci sono spazzatura !

In effetti, il sito GRC chiarisce che stanno solo testando uno aspetto della complessità.

In realtà, l'uso di tabelle arcobaleno e tecniche simili significa che è possibile avere password lunghe, ma se si utilizza qualsiasi tipo di parola o frase riconoscibile (anche con lettere maiuscole e / o parlate), si riduce enormemente la forza di la password.

Ci sono diverse cose che devono essere fatte correttamente per avere un uso sicuro delle password.

Sul server:

  • strongmente crittografato e amp; archivi di password con hash
  • Autorizzazione di password lunghe
  • Autorizzazione di caratteri alfa, numerici e simboli nelle password
  • Controlli che impediscono i tentativi rapidi di password (aumento di timeout e blocchi)
  • Controlli che impediscono l'estrapolazione del database delle password (Protezione dalla perdita di dati)
  • Controlli efficaci sulla reimpostazione della password (per prevenire attacchi di reimpostazione della password man-in-the-middle)
  • strong ma facile da usare (per utenti legittimi) processo di modifica della password

Dall'utente:

  • Password lunghe (> 12 caratteri, preferibilmente > 16)
  • Password casuali
  • Uso di caratteri alfa, numerici e simboli
  • Nessun riutilizzo di password tra diversi servizi

Raccomando l'uso di un generatore affidabile per password come quella incorporata in LastPass. Raccomando anche l'uso di archivi di password come LastPass e / o Keepass o simili perché le password complesse sono molto difficili da tenere in mente. Per i siti che richiedono frequenti rekeying di password come i siti cloud Microsoft davvero fastidiosi, ti consiglio di utilizzare un modello facilmente memorizzabile ma comunque abbastanza casuale.

    
risposta data 03.01.2015 - 00:44
fonte

Leggi altre domande sui tag