Perché i siti Web costringono l'utente a utilizzare una password lunga e complicata quando la forza bruta non è possibile?

Al giorno d'oggi, le politiche sulle password degli scenari devono difendersi è il furto del database delle password completo. Questo è qualcosa che accade con frequenza allarmante anche a siti Web molto rinomati.

Quando gli sviluppatori del sito web seguono le migliori pratiche comuni, i database delle password di solito non contengono le password in chiaro, ma archiviano invece un hash di ogni password. Un utente malintenzionato che ha accesso a questi dati può eseguire un attacco di forza bruta offline calcolando i valori hash delle password deboli più comuni e confrontandoli con gli hash nel database. Per difendersi da questo tipo di attacco, gli utenti devono essere motivati a utilizzare password complesse.

La tua password può anche essere utilizzata per derivare / proteggere una chiave di crittografia che viene utilizzata per sconfiggere giocatori come la NSA.

Immaginate che la NSA abbia effettivamente accesso illimitato alle reti interne del famoso fornitore di servizi A, ma non può cambiare il codice in esecuzione sui server di A. A quindi crittografa tutti i dati dell'utente con chiavi casuali e le chiavi vengono crittografate dalle password dell'utente prima che vengano memorizzate sui server di A. Ora, anche se la NSA può vedere tutto il traffico e i contenuti del server, a meno che non violino le barriere della memoria tra processi sul server, non possono effettivamente accedere a nessuna chiave segreta o dati utente. Il loro unico attacco qui è quello di forzare la password dell'utente contro la chiave crittografata.

Qui l'NSA può anche essere altri attori nazionali o forze dell'ordine con mandato.