Le password complesse sono necessarie nelle applicazioni web? [duplicare]

2

Se esiste un'applicazione web che contiene dati importanti, quanto è importante utilizzare una passphrase complessa / lunga / sicura?

Quando utilizzo ad esempio qualcosa come "applefreezer" come password per il mio account admin in un forum, si direbbe che non è molto sicuro. Nessun carattere speciale, non abbastanza lungo, parole e combinazioni prevedibili. E, naturalmente, non lo userei mai con un pezzo di hardware crittografato importante.

Ma se so che un'applicazione web è programmata per prevenire attacchi brute force e persino elenchi di password, perché dovrei avere bisogno di una passphrase che resista a questo tipo di attacchi?

Un motivo potrebbe essere che qualcuno potrebbe crackare la password quando lui / lei ha hackerato i dati dal mio database. Ma onestamente, se qualcuno ha hackerato il server, la password è insensata comunque. Certo, è importante quindi che non sia riutilizzato in altre applicazioni.

TL; DR ho bisogno di password complesse per applicazioni che impediscono attacchi bruteforce / list?

    
posta 22.02.2017 - 20:23
fonte

2 risposte

3

Supponendo di possedere tutte le tecniche di prevenzione della forza bruta popolare. Sei ancora un servizio web che serve gli utenti. Pertanto, è necessario consentire un certo margine di manovra nelle procedure di accesso. Ora, gli attacchi brute force di accesso hanno più probabilità di essere mirati a target di alto valore, quindi un utente malintenzionato probabilmente si impegna a compromettere il tuo account.

Supponendo che un utente malintenzionato possa provare 10 password ogni ora (probabilmente più severo di qualsiasi normale servizio Web), è comunque possibile provare 7200 password al mese da un singolo endpoint di attacco. Ora considera un attaccante dedicato con più di un computer che tenta di accedere al tuo account.

Questo rende le password come applefreezer che si trovano in cima alla lista delle password, un po 'vulnerabili. A seconda del valore che si assegnerebbe al proprio account su quel servizio web specifico, potrebbe essere tollerabile o meno.

Quindi ci sono sono ragioni per cui le password complesse dovrebbero essere utilizzate ovunque, indipendentemente dalle altre difese. Ma se non sei un obiettivo di alto valore allora sì, le tecniche di mitigazione della forza bruta sono una difesa piuttosto solida, anche con una password debole.

TL; DR: hai ragione, le mitigazioni della forza bruta sono sufficienti per permetterti di usare una password debole. Ma poiché la forza bruta di solito è mirata a bersagli di valore elevato, un aggressore sarà abbastanza paziente da provare a lungo e rompere le password deboli.

    
risposta data 22.02.2017 - 21:01
fonte
0

Immagino che il più grande pericolo di usare applefreezer come password sarebbe che in caso di violazione, un utente malintenzionato potrebbe imparare qualcosa sul tipo delle password usa e getta che usi. Quindi, anche se potrebbe non essere fortunato con applefreezer su un altro sito, potrebbe usarlo come suggerimento per costruire il suo prossimo attacco. Questo presuppone che ti stia prendendo di mira in modo specifico.

    
risposta data 22.02.2017 - 23:15
fonte

Leggi altre domande sui tag