Il problema
Determinare la soglia della tua politica di password è abbastanza obiettivo. A seconda di come viene configurata l'autenticazione, è possibile avere un numero basso di tentativi di accesso non valido (1-3) in un determinato periodo di tempo e un sovraccarico amministrativo più elevato o un numero maggiore di tentativi di accesso errati con un sovraccarico amministrativo inferiore.
Tentativi di accesso non valido in bassa
Considera l'esempio in cui un utente ha solo 1-3 tentativi di accesso errati e viene bloccato dal sistema. Questo riduce al minimo la possibilità di un attacco con password di successo e impedisce quasi tutti i tentativi di bruteforce. Questa soglia offre la massima sicurezza che è possibile raggiungere tramite tentativi di accesso non validi.
Solo alcuni tentativi di accesso errati bloccano l'utente e l'account dovrà essere sbloccato prima di un altro tentativo di accesso. Ciò semplifica la preforme di un DoS su te stesso, il tuo insegnante, il tuo capo o il tuo amico.
Tentativi di accesso errato alto
Un numero ragionevole di tentativi di accesso errati superiori a 5-10 è considerato elevato. Se un utente ha bisogno di 10 tentativi prima di ottenere la password corretta, probabilmente è a causa di accessi poco frequenti o semplicemente non ricorda la sua password.
Con i tentativi di accesso errato più elevati, c'è una maggiore possibilità di successo durante un attacco con password. Se gli utenti digitano la loro password corretta prima della soglia, non vi è alcun sovraccarico amministrativo.
Nessun tentativo di accesso errato
Di solito si trova quando si accede a un sistema locale senza autenticazione di rete, come un PC di casa. Nell'autenticazione di rete, questo metodo richiede di essere sottoposto a un attacco di password.
Ovviamente ciò consentirà un numero illimitato di tentativi di password da parte di chiunque .
Overhead amministrativo
Le aziende e le organizzazioni devono pagare le persone per aiutare a sbloccare account clienti / dipendenti. Il modo più comune è utilizzare un sistema di reimpostazione della password tramite e-mail. Costa denaro sviluppare, supportare, integrare e mantenere un sistema come questo. Tuttavia, è abbastanza conveniente per le altre alternative.
Un help desk ti aiuterà a risolvere qualsiasi problema che il sistema di posta elettronica non è in grado di risolvere. Se un utente ha dimenticato la password del tuo sito, forse ha dimenticato anche la password per la sua password di posta elettronica!
Debolezze
Grandi scuole, banche, organizzazioni possono essere prese di mira con un attacco di password del dizionario. Quando ci sono più account, c'è una migliore possibilità di un attacco riuscito. E quando puoi attaccare un account molte volte prima che venga bloccato, ha una maggiore possibilità di essere compromesso.
Se la scuola UCLA ha 40.000 studenti, ci si aspetterebbe che alcuni degli account possano avere password che includono "UCLA", "bruins", "college" e password deboli.
Conclusione
Spetta ai gestori, agli amministratori e così via scegliere la politica della password adatta alla loro situazione. Molte cose dovrebbero essere incluse in questa decisione e alcune sono: costo della perdita di dati, spese generali amministrative, costo della sicurezza, costo dei potenziali tempi di fermo.