Perché tutti richiedono determinati caratteri di password adesso? [chiuso]

1

Capisco che le password con casi diversi (superiore e inferiore) e numeri e caratteri speciali siano molto più "forti" e più difficili da decifrare rispetto a quelle brevi e tutte minuscole o simili.

Tuttavia, mi chiedo perché tutti adottino questo come standard per le loro password, anche su siti non importanti che non hanno informazioni personali?

Ad esempio, non si intende mancare di rispetto, ma perché la mia password deve essere "strong" per accedere a StackExchange? Non c'è letteralmente niente su questo sito che deve essere "protetto". Qual è la cosa peggiore che può accadere se qualcuno ottiene la tua password? Che possono pubblicare un sacco di risposte sbagliate dal tuo account? lol Sembra semplicemente stupido avere un requisito di password rigoroso per un sito che non ne ha bisogno.

    
posta ZeekLTK 24.09.2013 - 22:39
fonte

6 risposte

10

I ladri di identità hanno a lungo usato un semplice trucco: non appena hai risolto un account per una persona, quella password diventa la prima cosa che provi per tutti gli altri account.

La maggior parte delle volte, questo funziona davvero. La maggior parte delle persone usa la stessa password per tutto. La maggior parte del resto ha poche password, ma non esiste un vero sistema per decidere quali password utilizzare per quali dati, quindi i dati "importanti" e "non importanti" a volte vengono bloccati dietro la stessa password. Per questo motivo, le password del tuo sito potrebbero proteggere dati "importanti", anche se ritieni che i dati sul tuo sito siano "non importanti". Per usare l'esempio SE: e tu? Forse non memorizzi nulla di "importante" su SE, ma blocchi altri dati "importanti" dietro la stessa password? Se lo fai, sei vulnerabile, e anche se non lo fai, molte persone lo fanno.

Non possiamo permettere agli utenti di implementare perfette pratiche di sicurezza, ma possiamo farle implementare una buona pratica: password forti, ogni volta. O per lo meno, possiamo scegliere di educare le persone che non conoscono abbastanza e di astenersi dall'abilitare le persone a cui non interessa abbastanza. Questo è il punto delle password forti, anche su siti come questo.

    
risposta data 24.09.2013 - 22:56
fonte
3

For example, no disrespect intended, but why does my password need to be "strong" to log on to StackExchange? There is literally nothing on this site that needs to be "protected".

Molte persone utilizzano Stack Exchange con i loro nomi veri in quanto aiuta nella ricerca di un lavoro. Non vorrei che qualcuno inserisse nel mio account o lo rubasse. La mia credibilità è in gioco e richiede protezione.

    
risposta data 25.09.2013 - 17:36
fonte
2

Questa è una specie di due domande in una:

  1. Perché oggi sembra esserci una tendenza verso password più lunghe sui siti?

  2. Perché Stack Exchange richiede che le password abbiano una certa lunghezza?

Tratterò prima il n. 1:

Ci sono molte ragioni per cui un sito (anche se alcuni utenti considerano un valore basso) vorrebbe richiedere una lunghezza della password. La lunghezza è il modo più semplice per richiedere password migliori. Spiegare a un utente che è necessario avere almeno uno dei numeri, lettere maiuscole, lettere minuscole, simboli, ecc. È più difficile che dire semplicemente "La tua password deve contenere almeno 8 caratteri".

Aumentare la barra delle password potrebbe (non garantito) ridurre le frodi, i contatti con CS, ecc. C'è anche il problema della reputazione, siti ben noti che permettono alle password molto deboli di venire a galla di volta in volta in articoli e blog. Aggiungendo a questo, un sito può sembrare irrilevante oggi ma 100 milioni di utenti più tardi il valore percepito può cambiare. Quante persone sapevano che si sarebbero interessati al loro account FB cinque anni dopo. Sarebbe comodo se la tua password FB fosse "a"?

Per n. 2 - Politica password di Stack Exchange:

Questo dipende interamente da loro. Una delle due cose probabilmente è accaduta, uno sviluppatore solitario ha colto un requisito dalla sua testa e se ne è andato o ha avuto una discussione e ha preso una decisione motivata basata su.

La tua scelta come utente è di rifiutare la loro decisione e di non utilizzare il sito perché richiedono 8 caratteri e si desidera utilizzare solo 6 o si può scegliere una password di 8 caratteri (e forse lasciare che il browser ricordi la password).

Una cosa da tenere a mente che non tutti condividono la tua visione del mondo o la tua visione dei siti che usano. In questo momento hai 1 punto reputazione in IT Security, quando ne hai alcune migliaia potresti assegnare un valore più alto al tuo account SE.

    
risposta data 25.09.2013 - 00:10
fonte
1

Rispondi alla tua stessa domanda sulla complessità della password. Le password semplici possono essere violate in pochissimo tempo. Le password complesse richiedono tempo per craccare. Richiedere password più complesse fa sì che l'aggressore impieghi più tempo a compromettere un account.

Il tuo account SE potrebbe non valere nulla. Potrebbe essere lo stesso per molti altri. È lo stesso per tutti gli account? Dove sarebbe SE se l'account di tutti fosse compromesso? Dove sarebbe SE se i dati sui server non fossero affidabili - le risposte erano errate?

    
risposta data 24.09.2013 - 22:50
fonte
1

Come sviluppatore web, il pensiero che un utente malintenzionato acceda all'account di qualcun altro senza il suo consenso è inaccettabile per me. Suppongo che la risposta sia che le persone che gestiscono siti come StackOverflow sono orgogliosi del loro lavoro. Penso che aiuti anche gli utenti a credere che i responsabili del sito sappiano cosa stanno facendo.

Da un lato, ho ottenuto il mio ultimo lavoro dal sito di careers.stackoverflow in parte a causa del mio profilo. Come puoi immaginare, la sicurezza del sito è molto importante per me perché il mio account ha avuto un impatto indiretto sulla mia vita finanziaria.

    
risposta data 24.09.2013 - 23:03
fonte
-1

Scenario 1:

Che ne dici di incidere l'account di Thomas Pornin perché ha "password" come password per SE - e poi ti chiedo di installare questo nuovo agente di sicurezza sul tuo computer di produzione per una domanda di hardening servers che hai chiesto. E poi felicemente vivere sempre dopo aver archiviato i miei backup sul tuo server sicuro (o fare anche cose cattive)

Scenario 2: (un po 'più sicuro)

Cosa succede se gli errori di password di SE vengono compromessi e gli hacker sono in grado di violare molte password deboli. Craccare queste password deboli implica essere in grado di forzare la forza dei loro sali. Non sono un esperto di crittografia, ma molti valori di sale corretti possono fornire buoni suggerimenti (come la lunghezza del sale ecc.) A un cryptanalyst per mettere a punto il suo algoritmo di forza bruta. Se si è in grado di farlo, significa che più password vengono facilmente decifrate. Questo sembra un buon incentivo per accettare solo password forti.

Scenario 3

lol It just seems silly to have a strict password requirement for a site that does not need one.

Ha sicuramente bisogno di una buona password. Non so voi ma sarei molto offeso se qualcuno indovina la mia password e inserisce una foto di gatto nella mia immagine del profilo.

Infine:

Le password complesse non servono solo a proteggerti dall'ottenere furto della tua identità, ma anche a creare un solido sistema sicuro che salvaguardi tutti gli utenti che utilizzano il sistema.

    
risposta data 24.09.2013 - 23:11
fonte

Leggi altre domande sui tag