Esiste uno standard FIPS 181 per la generazione casuale di password con seed alfanumerici?

2

NIST consiglia FIPS 181 come generatore di password casuali per password "facili da ricordare".
Per quanto ho capito lo standard:

  • genererà una password in minuscolo e con alcuni syllabuls pronunciati

La mia domanda è se esiste uno standard alternativo che:

  • include oltre l'alfabeto minuscolo, l'alfabeto maiuscolo e i numeri
  • non è necessario facile da ricordare

Se non esiste uno standard per tale generatore di password, è sufficiente cambiare il seme per FIPS 181 o esiste un'alternativa migliore?

    
posta MedAli 28.05.2014 - 09:52
fonte

1 risposta

1

Si noti che FIPS 181 risale al 1993, che è antico, in termini di sicurezza informatica, e dubito che il NIST lo stia raccomandando attivamente, specialmente dal momento che si dice che include solo lettere ASCII minuscole, rendendo le password molto più facili da crack.

Ad un livello più profondo, dal momento che l'obiettivo è che le password siano imprevedibili, non è generalmente buona norma promulgare uno standard che servirebbe semplicemente a limitare l'insieme di possibili password. Ciò renderebbe più semplice il lavoro dell'aggressore.

Consiglio di incorporare input casuali nel tuo modo di pensare quando si crea una password, ma poi di modificarlo a modo tuo per renderlo ancora meno prevedibile. Il programma apg sembra quello che stai cercando ed è adatto a quel tipo di utilizzo, dal momento che è facile modificare i parametri e quindi modificare i suoi suggerimenti. Fa riferimento a FIPS 181, ma in realtà per impostazione predefinita genera password che includono simboli, cifre e lettere maiuscole e lettere minuscole e che possono essere limitate o meno a quelle più pronunciabili.

La prima cosa che probabilmente vorrai modificare (a seconda del tuo modello di minaccia) è usare l'opzione -m per aumentare la lunghezza minima di almeno 12 caratteri in modo che ci sia abbastanza entropia in essi. Vedi entropia del generatore automatico di password FIPS-181 - Sicurezza delle informazioni Stack Exchange per qualche background sull'entropia di tali password.

Si noti che non raccomando di usare nessuna delle molte pagine web che generano password usando apg o simili - questo è solo chiedere a qualcuno di ricordare (o spiare) tutti quelli che vengono distribuiti e aggiungerli ai loro dizionario di cracking. Evidentemente non era chiaro nel lontano 1986 agli autori di RFC 972 - Protocollo generatore di password , che sorprende incredibilmente nel mio file / etc / services ....

Vedi anche RFC 4086 - Requisiti di casualità per la sicurezza

    
risposta data 16.12.2014 - 16:56
fonte

Leggi altre domande sui tag