Come capire la politica della password di GitHub?

2

Oggi ho provato a cambiare la mia password su GitHub, ma il sito ha rifiutato la mia nuova password:

The new password you provided has also been reported as compromised due to re-use of that password on another service by you or someone else. GitHub has not been compromised directly. Your password was not saved. Please choose a stronger password.

Ho capito bene? GitHub vorrebbe che io scelga una password che non è mai stata utilizzata da qualcuno su qualsiasi sito a in qualsiasi momento nella cronologia di Internet. Vedo che è più sicuro, ma ...

Più siti faranno questo? Quali sono le implicazioni? Fa lo spelling della fine delle password memorabili dall'uomo?

GitHub suggerisce utilizzare una password generata a caso salvata in un gestore di password. Che dire delle persone che preferirebbero una password memorabile? Nel mio caso, uso diversi computer e non possiedo uno smartphone.

Nel mio caso, GitHub alla fine ha accettato una passphrase più lunga. Il mio account è anche protetto da autenticazione a due fattori con una chiave U2F.

    
posta Colonel Panic 16.08.2018 - 16:46
fonte

3 risposte

3

GitHub would like me to choose a password that has never been used by anyone on any site at any time in the history of the internet.

Questa è l'idea generale, anche se vorrei riformulare come

GitHub would like me to choose a password that has never appeared on any list of cracked passwords for any user on any site in the history of the internet.

Motivazione:

Ogni volta che un sito famoso ottiene il suo database delle password compromesso, gli hacker pubblicano l'elenco di username:email:password s per tutti gli utenti su quel sito al momento dell'attacco. Il sito haibeenpwned.com cataloga tutti username:password s in cui la password è pubblicamente disponibile. Dovresti controllare qui ogni mese o due (o iscriverti per il loro servizio di notifica) per assicurarti di non essere nella lista! Questo è solo il username:email:password s che sono conosciuti pubblicamente, sono sicuro che i gruppi di hacker di darkweb ne hanno molti di più di quanti ne sappiano di haveibeenpwned.

Questo porta a un paio di tipi diversi di attacchi che Github probabilmente sta tentando di impedire con questa politica delle password.

Attacchi riutilizzati per la password

Gli aggressori che cercano di entrare nel tuo account possono cercarti sui social media e fare un elenco di tutti i nomi utente / account che ti appartengono. Quindi possono cercare questi nei database delle password incrinate e ottenere un breve elenco di password che tu hai usato in passato. Sappiamo che gli utenti tendono a riutilizzare la stessa password su siti diversi.

Github non vuole entrare nel gioco cercando di indovinare quali account su altri siti ti appartengono, quindi è più facile dire "chiunque su qualsiasi sito in qualsiasi momento nella storia di Internet".

Attacchi al dizionario

Gli hacker che eseguono più genericamente il cracking delle password, di solito dopo aver rubato un database di password hash, non possono indovinare tutte le password possibili perché ce ne sono troppe, quindi utilizzeranno approcci basati sul dizionario per le quali indovinare le password . Gli elenchi delle password incrinate (ordinate più frequentemente per prime) sono un dizionario abbastanza buono da usare.

Viste le attuali velocità della GPU, se la tua password è una delle più usate password su quegli elenchi, allora probabilmente sei vulnerabile.

Ancora una volta, per Github è più semplice mettere al bando tutte le password negli elenchi di password screpolate.

Chiedi anche:

What are the implications? Does it spell the end of human-memorable passwords?

Sì, probabilmente. Con il passare del tempo, gli elenchi di password crepate diventeranno sempre più lunghe con meno password memorizzabili (dette anche "deboli") tra cui scegliere. Questo probabilmente accelererà la scomparsa delle password, perché più R & D si concentrano sul rendere i gestori di password / Yubikeys, ecc più user-friendly e costringere le persone oltre i nerd di sicurezza a foglio di metallo a iniziare a usarli. Questa è probabilmente una buona cosa. Spero che altri siti inizino a farlo!

    
risposta data 16.08.2018 - 17:10
fonte
1

Do I understand correctly? GitHub would like me to choose a password that has never been used by anyone on any site at any time in the history of the internet.

Duh. Questo è l'uso della password 101: scegli una password strong e unica. Perché vorresti mai scegliere una password che altri conoscono?

Se Github sa che questa password è stata utilizzata da qualcun altro in qualsiasi momento, a quanto pare la password è stata incrinata in passato. Ciò significa che anche gli attaccanti possono saperlo e crackare il tuo account.

Poiché gli account compromessi non sono nell'interesse di Github, richiedono l'utilizzo di una password sicura. Non mi sembra irragionevole per me.

What about people who would prefer a memorable password?

Puoi comunque utilizzare una password complessa, anche se a seconda della frequenza con cui accedi a Github, uno unico potrebbe essere difficile. Generare una password in modo casuale, scriverla e memorizzarla nei prossimi giorni. Quindi brucia o distrugge la carta.

A volte un gestore di password è impossibile. Ad esempio, non puoi utilizzare il tuo gestore di password quando sei ancora nella schermata di accesso. Quindi quando inizio un nuovo lavoro (o qualcos'altro in cui viene rilasciato un computer), genero una password per il mio account utente e la scrivo. Ogni volta che accedo, cerco di ricordare qualche altro personaggio. Dopo alcuni giorni, sono sicuro che non dimenticherò e posso distruggere la nota. Quando smetterò di lavorare lì, dimenticherò la password dopo alcuni mesi di inutilizzo, ma va bene.

Questo non funziona se hai bisogno di una password univoca per cinquanta siti web, ma è per questo che abbiamo inventato i gestori di password. Hanno tutti i tipi di opzioni di sincronizzazione, quindi lavorare su più computer non è una scusa.

    
risposta data 16.08.2018 - 17:23
fonte
1

Sì, più siti probabilmente inizieranno a farlo, perché è diventato un consiglio NIST per controllare le nuove password degli utenti contro le violazioni della password esistenti. Ancora più importante, ora c'è una facile risorsa pubblicamente disponibile per loro per controllare le password contro . Questo è un tentativo di impedire attacchi di "riempimento di credenziali" e di rendere molto più difficili gli attacchi di dizionario contro le violazioni del database. Una buona guida alla risoluzione delle norme sulle password è disponibile da Troy Hunt se ti interessano alcuni dei ragionamenti e alcune azioni che puoi eseguire come utente.

Non scrive la fine di password memorabili. Esistono tecniche per generare una password memorabile (ma comunque strong e unica) che si basa sulla casualità, come diceware che utilizza 5-8 parole selezionate a caso in una passphrase, passphrase casuali grammaticalmente corrette di lunghezza variabile o password pronunciabili che selezionano sillabe a caso.

Ma ricordare più di alcuni di questi, e ricordare quale passsword va con quale servizio, è anche difficile. Quindi la linea di fondo per te come utente, è che dovresti usare un gestore di password. Genera una password super-strong ma memorabile, ricordalo, usala come password principale e non avrai nemmeno bisogno di vedere quale sia la tua password per Github o la tua banca o Facebook o altro. Non avere uno smartphone non è necessariamente un problema anche se usi più computer, perché molti gestori di password hanno un'opzione di installazione portatile che puoi mettere su una chiavetta USB, o avere un'estensione per il browser o un sito web, che può darti accesso alle tue password.

    
risposta data 16.08.2018 - 17:18
fonte

Leggi altre domande sui tag