Regole complesse per la password - è ragionevole?

EDIT - Hey down voter (s), controlla il documento. Immagino che tu abbia paura di un dibattito ragionevole in questo spazio. Forse, come comunità di sicurezza, stiamo infliggendo inutili sofferenze ai nostri utenti. Vale la pena esplorare?

Mi sono sempre chiesto delle regole per le password e ho ritenuto che non sarebbero state necessarie.

Questo documento sostiene (abbastanza efficacemente) che dovremmo riconsiderare la segretezza dell'Utente e scaricare la password complessa regole. Cioè, non utilizzare le informazioni pubbliche (come l'indirizzo di posta elettronica) per l'ID utente e invece l'organizzazione assegnare un ID utente. Se consideri l'entropia totale dell'account, cioè log(UserID)+log(Password) , allora un ID utente più ampio e non facilmente indovinato funziona contro un utente malintenzionato, nel frattempo l'utente può impostare il browser o la sua app per ricordare l'ID utente. L'utente può anche conservare un file (crittografato o meno, non importa) con i mapping sito / applicazione / user_id sul computer.

Se vuoi dire che questo lascia l'utente aperto agli attacchi di malware, beh, allora, le password complesse non lo fermeranno neanche.

Se si desidera scrivere l'ID su carta, quindi (1) chiuderlo in un cassetto (al lavoro / a casa) o (2) lasciarlo nascosto da qualche parte vicino al computer (a casa). Un Real Attacker (tm) con accesso fisico a un computer ha molte opzioni oltre a richiedere un id utente (o anche una password). Registratori di chiavi fisiche, copie del disco, singoli utenti e unità esterne, ecc. Se il computer è a casa, un essere umano abbastanza vicino da rubare un ID utente dalla carta (bloccato o meno) è l'ultima delle preoccupazioni del proprietario del computer. / p>

Tuttavia, mantenere una copia elettronica dell'ID utente sul computer va bene. Stiamo difendendo contro l'attacco più probabile qui (indovinando la password attraverso l'interwebs), non il meno probabile.

Uno dei miei istituti finanziari fa questo (ID account assegnato) e consente una password numerica. Sento che il mio account è abbastanza sicuro.

Due punti da notare:

1. È buona norma presumere che altre misure di sicurezza abbiano fallito. Si puo 'dire che le password non sicure dovrebbero essere permesse perché i siti non dovrebbero permettere che i dettagli perdano, o che dovresti assumere che ci siano protezioni per la forza bruta in atto. I requisiti della password richiedono che gli utenti si discostino dal comportamento stabilito e creino password che sono più avanti ai bordi della curva a campana della frequenza. Minore è la password, più difficile è spezzare un attacco di dizionario. Aumentare l'entropia respinge la forza bruta.

2. Utilizzando l'argomento che "posso pronunciare una parola che non puoi indovinare, quindi la regola generale dovrebbe essere quella di consentire a tutti di creare le proprie password libere" è un errore. La maggior parte delle persone non fa password assumendo intenzioni contraddittorie. Fanno password basate su ciò che possono ricordare e la sicurezza è una preoccupazione secondaria. I requisiti della password impongono il rispetto della sicurezza o li costringono a non utilizzare i recidivi frequenti degli elenchi di password.

Le regole per le password sono un livello di più livelli intesi a mantenere le persone al sicuro, nell'ipotesi che gli altri non vadano a buon fine / non vengano seguiti, più ne abbiamo, più probabilmente faremo abbastanza lavoro per avere importanza.

Ora, il vantaggio relativo delle regole di complessità della password rispetto ad altre rotte di efficacia simile è completamente un'altra domanda, ma la domanda se siano migliori di nessun requisito, allora la risposta è sì.

Aggiungerò la risposta di Jozef, quello che ha detto è corretto.

La premessa che "Se un utente malintenzionato può ottenere l'hash della password, possono sicuramente leggere tutto e fare qualsiasi altra cosa nel sistema." non è corretto. Sì, un utente malintenzionato potrebbe aver scaricato la tabella contenente tutti gli hash, ma se è presente una regola di complessità, l'attaccante avrà un tempo molto più difficile di crackare gli hash. Inoltre, se è in atto un algoritmo di hashing competente, come bcrypt, non ci si deve preoccupare troppo del fatto che la propria password venga violata prima che il sito si accorga che il datatable è stato scaricato. In questo scenario, la tua password verrebbe modificata prima che qualcuno potesse accedere al tuo account.

Inoltre, supponendo che la tua password di 5 caratteri sia stata sottoposta a hash con md5, un computer configurato con Hashcat potrebbe crackare quella password più velocemente di quanto si potrebbe dire "Password complessa".

Immagina di avere una botnet che controlla 100 computer. Se non mi interessa quale utente crackare (ho solo bisogno di accesso), allora ogni computer avrà 5 tentativi * 3 utenti (supponiamo) prima che il suo IP venga bloccato. Questo da solo mi dà 1.500 ipotesi, abbastanza per decifrare alcune delle password più deboli là fuori.

Poiché il blocco degli IP per un lungo periodo di tempo non ha senso (ad esempio, sul mio server blocco gli IP solo per 10-30 minuti), la botnet sarà in grado di riprovare lo stesso attacco domani con altre 1.5 ipotesi.