Impedire la presenza di caratteri consecutivi in una password aumenta effettivamente la sicurezza?

La prevenzione di caratteri consecutivi riduce la sicurezza. Si tratta di un tentativo di impedire password semplici da indovinare come 00000000 , e di impedire alle persone di riempire le password deboli fino a soddisfare le lunghezze minime, ad es. %codice%. Tuttavia, impedisce anche l'uso di una vasta gamma di password complesse.

Attenendosi solo alle password minuscole di otto caratteri per semplificare l'analisi, ci sono 208.827.064.576 possibili password. Circa 56.000.000.000 di queste password contengono caratteri identici consecutivi, quindi, nel tentativo di impedire l'uso di password deboli, hai ridotto la complessità di un attacco di forza bruta di circa un quarto.

Sì e no.

No

Il "no" è ovvio. Tutto ciò che limita il tipo di password che puoi creare rende lo spazio di ricerca più piccolo. Altri hanno mostrato la matematica su questo.

Si

La parte "sì" è più sottile, e non sono sicuro che sia ancora più vera visto che non ho visto nessuna ricerca recente su questo.

Le password che rispettano le "regole di complessità" non sono intrinsecamente più sicure delle password che non lo sono. E in effetti c'è un vero senso in cui le regole di complessità indeboliscono le password. Ma quando chiediamo alle persone di conformarsi alle regole della complessità, tendono a generare password migliori.

Quindi il valore di questi requisiti riguarda la psicologia e il comportamento umano. Se si specificano alcune "regole di complessità", è più probabile che si ottenga una migliore creazione di password.

Un caso semplice

Come notato in modo completo qualsiasi cosa che riduce il set di password che le persone possono creare renderà il sistema più debole. Ma ora considera le seguenti due politiche

Criterio 1: le password possono essere qualsiasi sequenza da 8 a 24 caratteri di lunghezza composta dal carattere stampabile US-ASCII.

Criterio 2: come per la politica 1 eccetto che le password potrebbero non appartenere a un elenco delle 10.000 password più comuni.

Si noti che la politica 2 definisce un sottoinsieme appropriato di serie definito dalla politica 1, e quindi è più debole in un certo senso. Ma spero che la maggior parte delle persone concorderà sul fatto che la politica 2 ha molte più probabilità di produrre password più forti rispetto alla politica 1.

Risoluzione del paradosso

Potrebbe sembrare paradossale che limitare il set di password che potrebbero essere utilizzate tenderebbe ad aumentare la sicurezza della password creata, ma la chiave per risolvere il paradosso è riconoscere che non è solo il numero di password che possono essere generato da un sistema che conta, ma dalla loro distribuzione.

Se fosse possibile scegliere una password "legale" come qualsiasi altra, limitare il set sarebbe dannoso. Ma sappiamo che alcune password sono scelte molto più comunemente di altre. La distribuzione delle password scelte dall'uomo è molto lontana dall'uniformità. (A livello superficiale, potrebbe sembrare che segua una distribuzione di legge sulla potenza, ma non su analisi più ravvicinata .

Ma le password scelte dall'uomo seguono una distribuzione molto "grossa" anche se non è una distribuzione della legge di potenza. Se scopriamo che imporre alcune restrizioni appiattiscono la distribuzione (rendendola più vicina alla divisa), quindi il guadagno ottenuto spesso supererà la piccola riduzione dell'insieme di password consentite.

Ma ci sono altri problemi con le regole

Credo che quando alcune di queste regole sono state introdotte per la prima volta, sono riuscite al loro obiettivo. Hanno sostanzialmente appiattito la distribuzione delle password create dall'uomo. Sono meno sicuro che ci riusciranno oggi, e quindi mi piacerebbe vedere una ricerca su questo. Poiché ciò pone un onere considerevole per gli utenti, non è qualcosa che dovremmo infliggerci, a meno che i benefici non siano abbastanza grandi e chiari quanto basta per renderlo utile.

Queste regole hanno portato molte persone a fraintendere grossolanamente ciò che rende una password strong o debole. Vedi "Ho aggiunto"! " alla fine per renderlo sicuro ". Sappiamo che aggiungendo un "!" non rende la password più sicura, ma per molti anni è stato detto alla gente che questo è il tipo di cosa che devono fare per scegliere una password sicura. Quindi non possiamo incolpare nessuno per aver raggiunto quella conclusione.

Sospetto anche che un certo numero di responsabili IT non capisca le ragioni di queste regole di complessità della password. Cioè, non sono solo gli utenti finali che sono stati ingannati nel corso degli anni, ma anche le persone che dovrebbero conoscere meglio. Per questo motivo è improbabile che rivalutino queste vecchie regole guardando a quello che sono (e non dovrebbero fare).

Ho paragonato l'adesione del responsabile IT alle regole sulla complessità delle password come a un "culto del carico". Sono arrivati a credere che le regole e le consuetudini siano vitali per la sicurezza, ma non hanno alcuna comprensione di come e così giudicare male quando tali regole dovrebbero essere abbandonate.

This password is called "weak" by Apple and it won't let me use it 'because of consecutive characters'.

Consideralo in termini di probabilità: se un utente selezionato a caso che ha proposto una password con molti caratteri identici consecutivi è stato esaminato, è più probabile che stiano utilizzando una password come quella che descrivi o una come aaaaaa1! ?

Quindi sì, è una regola noiosa, ma il fatto che impedisca a qualcuno come te di usare le password che descrivi è, di per sé, non un segno nero contro di essa. L'argomento che devi fare e che ritengo sia corretto probabilmente è che la regola è inefficace perché la maggior parte degli utenti che la eseguono finiscono per scegliere comunque una password errata .

It's 20 characters long and hard to guess, what makes it weak?

Il modo in cui descrivi il tuo schema di password ipotetico, nulla in esso ci consente di in modo affidabile la sua forza. Quindi vorrei capovolgere la tua domanda: cosa rende le tue password forti e, soprattutto, quanto ?

Informalmente, i password cracker hanno due strategie a loro disposizione:

1. Formulare teorie su quali password sono più probabili e quali lo sono meno, e indovinare password più simili a quelle improbabili.
   • Gli attacchi di dizionario sono la forma più famosa di questo.
2. Verifica la tua password a velocità molto elevate.

Quindi per misurare la forza di una password, un metodo decente sarebbe quello di progettare un modello simile al numero 1 dell'attaccante e stimare il numero di tentativi che un utente malintenzionato potrebbe fare prima di provare quella password. Alcuni strumenti cercano di farlo, ad esempio, il misuratore della forza della password zxcvb ( demo online con esempi ).

Ma metodi come questi hanno un problema, il che è che si basano sul fatto che il difensore non viene scalzato dall'attaccante. Una soluzione migliore è notare che le due strategie dell'attaccante hanno un contatore molto semplice:

• Scegli le password con uguale probabilità di un set sufficientemente grande .
  1. Pari verosimiglianza significa che non ci sono password più appropriate da attaccare per l'attaccante.
  2. Un set ampio significa che l'attaccante deve indovinare un numero proibitivo di password prima che abbiano successo.

E le migliori strategie per la generazione di password sono costruite attorno a questo:

1. I gestori di password utilizzano generatori di numeri casuali crittografici per generare password casuali e archiviare le password generate in un database in modo da non doverle ricordare.
2. Diceware raccoglie passphrase casuali uniformi usando un generatore di numeri casuali economico e verificabile: rotoli di dado.

Quindi la versione breve: non essere troppo sicuro della potenza del tuo schema di generazione di password homebrew. Scegli una password principale memorabile con un metodo che prevede il lancio di dadi o simili e genera il resto delle password con un gestore di password.