GitHub would like me to choose a password that has never been used by anyone on any site at any time in the history of the internet.
Questa è l'idea generale, anche se vorrei riformulare come
GitHub would like me to choose a password that has never appeared on any list of cracked passwords for any user on any site in the history of the internet.
Motivazione:
Ogni volta che un sito famoso ottiene il suo database delle password compromesso, gli hacker pubblicano l'elenco di username:email:password
s per tutti gli utenti su quel sito al momento dell'attacco. Il sito haibeenpwned.com cataloga tutti username:password
s in cui la password è pubblicamente disponibile. Dovresti controllare qui ogni mese o due (o iscriverti per il loro servizio di notifica) per assicurarti di non essere nella lista! Questo è solo il username:email:password
s che sono conosciuti pubblicamente, sono sicuro che i gruppi di hacker di darkweb ne hanno molti di più di quanti ne sappiano di haveibeenpwned.
Questo porta a un paio di tipi diversi di attacchi che Github probabilmente sta tentando di impedire con questa politica delle password.
Attacchi riutilizzati per la password
Gli aggressori che cercano di entrare nel tuo account possono cercarti sui social media e fare un elenco di tutti i nomi utente / account che ti appartengono. Quindi possono cercare questi nei database delle password incrinate e ottenere un breve elenco di password che tu hai usato in passato. Sappiamo che gli utenti tendono a riutilizzare la stessa password su siti diversi.
Github non vuole entrare nel gioco cercando di indovinare quali account su altri siti ti appartengono, quindi è più facile dire "chiunque su qualsiasi sito in qualsiasi momento nella storia di Internet".
Attacchi al dizionario
Gli hacker che eseguono più genericamente il cracking delle password, di solito dopo aver rubato un database di password hash, non possono indovinare tutte le password possibili perché ce ne sono troppe, quindi utilizzeranno approcci basati sul dizionario per le quali indovinare le password . Gli elenchi delle password incrinate (ordinate più frequentemente per prime) sono un dizionario abbastanza buono da usare.
Viste le attuali velocità della GPU, se la tua password è una delle più usate password su quegli elenchi, allora probabilmente sei vulnerabile.
Ancora una volta, per Github è più semplice mettere al bando tutte le password negli elenchi di password screpolate.
Chiedi anche:
What are the implications? Does it spell the end of human-memorable passwords?
Sì, probabilmente. Con il passare del tempo, gli elenchi di password crepate diventeranno sempre più lunghe con meno password memorizzabili (dette anche "deboli") tra cui scegliere. Questo probabilmente accelererà la scomparsa delle password, perché più R & D si concentrano sul rendere i gestori di password / Yubikeys, ecc più user-friendly e costringere le persone oltre i nerd di sicurezza a foglio di metallo a iniziare a usarli. Questa è probabilmente una buona cosa. Spero che altri siti inizino a farlo!