Perché i siti Web costringono l'utente a utilizzare una password lunga e complicata quando la forza bruta non è possibile?

2

Se hai un telefono con pin a 4 cifre e il telefono non viene bloccato a prescindere dal numero di volte in cui inserisci il pin sbagliato, è consigliabile utilizzare 10 o 16 cifre poiché aumenterà il tempo necessario per l'hacker rompere il perno e renderlo impossibile da rompere.

Tuttavia in questi giorni persino semplici siti web impediscono all'utente di provare password casuali dopo 3 o 5 tentativi, a mio avviso questo uccide l'intero concetto di forza bruta.

Ci deve essere qualcosa di sbagliato nel mio modo di pensare, cosa mi sto perdendo?

    
posta Ulkoma 10.11.2015 - 14:17
fonte

2 risposte

7

Al giorno d'oggi, le politiche sulle password degli scenari devono difendersi è il furto del database delle password completo. Questo è qualcosa che accade con frequenza allarmante anche a siti Web molto rinomati.

Quando gli sviluppatori del sito web seguono le migliori pratiche comuni, i database delle password di solito non contengono le password in chiaro, ma archiviano invece un hash di ogni password. Un utente malintenzionato che ha accesso a questi dati può eseguire un attacco di forza bruta offline calcolando i valori hash delle password deboli più comuni e confrontandoli con gli hash nel database. Per difendersi da questo tipo di attacco, gli utenti devono essere motivati a utilizzare password complesse.

    
risposta data 10.11.2015 - 14:40
fonte
0

La tua password può anche essere utilizzata per derivare / proteggere una chiave di crittografia che viene utilizzata per sconfiggere giocatori come la NSA.

Immaginate che la NSA abbia effettivamente accesso illimitato alle reti interne del famoso fornitore di servizi A, ma non può cambiare il codice in esecuzione sui server di A. A quindi crittografa tutti i dati dell'utente con chiavi casuali e le chiavi vengono crittografate dalle password dell'utente prima che vengano memorizzate sui server di A. Ora, anche se la NSA può vedere tutto il traffico e i contenuti del server, a meno che non violino le barriere della memoria tra processi sul server, non possono effettivamente accedere a nessuna chiave segreta o dati utente. Il loro unico attacco qui è quello di forzare la password dell'utente contro la chiave crittografata.

Qui l'NSA può anche essere altri attori nazionali o forze dell'ordine con mandato.

    
risposta data 10.11.2015 - 18:48
fonte

Leggi altre domande sui tag