Per un sito web commerciale, è importante imporre alcune restrizioni alle password per accedere al sistema?
Eg. speciale $ char, maiuscole e minuscole, numeri, almeno una lunghezza minima ...
Un sistema CAPTCHA può essere sufficiente per sostituire le restrizioni della password?
I sistemi CAPTCHA non sostituiscono in alcun modo una buona politica di password. Non stanno affrontando gli stessi problemi.
I sistemi CAPTCHA aiutano solo quando qualcuno sta tentando un attacco online contro il tuo sistema. Se la tua applicazione presenta un buco che consente a un utente malintenzionato di scaricare un database pieno di hash delle password, posizionare un CAPTCHA su ogni pagina non farà nulla.
Avere politiche di password forti ma ragionevoli per impedire agli utenti di utilizzare password esilaranti e deboli.
Se gestisci un sito Web in cui gli utenti possono registrarsi e proteggere il proprio account con una password, allora dovrebbe editare una politica di lunghezza minima della password - e , per favore , nient'altro. Regole più severe, il più delle volte, controproducenti. Per sicurezza adeguata, è necessario arruolare la cooperazione dell'utente, che esisterà solo su base volontaria. Quanto più impone , tanto meno gli utenti saranno disposti ad aiutare. Rendere gli utenti Angry è già una mossa stupida quando gli utenti sono clienti (non vuoi respingere i clienti, vero?), Ma per sicurezza è letale.
Un punto saliente è che la password non ha lo scopo di proteggere tu , ma l'utente stesso . Assicurati di renderlo noto all'utente. L'educazione è la chiave, non la coercizione.
Oltre alle norme, puoi fornire alcuni strumenti utili, ad es. un generatore automatico di password - niente di troppo drastico, diciamo 8 caratteri (mi piacciono molto le password composte da due lettere, poi due cifre, poi due lettere, poi due cifre: tali password, come 'ke89fz44', non sono troppo difficili da memorizza e offre ancora una quantità non ridicola di entropia, un po 'sopra i 32 bit, che è più di quanto si possa sperare quando gli utenti scelgono "casualmente" nella loro testa).
Penso che dovresti applicare alcuni requisiti per le password. Se gli hash delle password vengono compromessi e alcuni utenti sfortunati utilizzano password123 come password, il suo account potrebbe essere compromesso molto rapidamente anche se le password sono state sottoposte a hash e salate. Un utente malintenzionato con la password in chiaro e il nome utente potrebbero facilmente compilare CAPTCHA. CAPTCHA è più utile per scoraggiare gli attacchi automatici o impedire ai robot di registrare una tonnellata di account.
I captcha possono essere violati utilizzando strumenti automatici. Le password complesse rendono più difficile agli hacker tentativi di password a forza bruta e aiutano a ridurre il numero di password "comuni".
Le norme sulle password dovrebbero essere applicate per i siti web , nessuna domanda. Collabora con i tuoi utenti per determinare una politica che abbia senso.
A volte una politica di password super-sicura può dare al sito web un'immagine di sicurezza e stabilità, che può influenzare l'impressione di un utente sul sito. Oppure, una politica di password scomoda può disattivare gli utenti. Trovare un equilibrio è un trucco ed è il trucco per la sicurezza (bilanciamento dell'usabilità con la sicurezza).
No. Dovresti utilizzare accesso federato ed evitare l'intero problema. Seleziona un fornitore di identità che corrisponde o supera il livello di rischio delle informazioni che stai proteggendo. Lascia che si preoccupino delle password.
Leggi altre domande sui tag authentication captcha password-policy