Disabilitare la nuova password se contiene una sequenza di 4 caratteri presenti in 10 password precedentemente utilizzate [duplicato]

Naviga le tue risposte
1

Sono stato costretto a cambiare la mia password in un account (grande istituto) e aveva una regola che la nuova password non può contenere una serie di 4 caratteri consecutivi che erano in 10 password precedentemente utilizzate. Ad esempio, se la mia password corrente aveva la sequenza "abcd", le 10 password successive non possono contenere "abcd".

La mia prima ipotesi è che l'istituzione stia memorizzando 10 password precedenti in modo decodificabile. La mia domanda è quindi: c'è un modo in cui potrebbero fare una tale procedura in modo sicuro?

In un'altra domanda abbiamo un confronto con la password corrente che verrebbe fornita dall'utente, ma non tratta con 10 (!) password precedenti.

    
posta Dennis 23.03.2017 - 16:13
fonte

4 risposte

3

Sì, questo può essere implementato in modo sicuro attraverso l'uso di un HSM. c'è una domanda esistente su questo qui

    
risposta data 23.03.2017 - 16:21
fonte
1

Questo non può essere implementato in modo sicuro.

Se possono verificare se sono presenti quattro caratteri nelle password, può farlo anche un utente malintenzionato. Invece di forzare brutemente l'intera password, un utente malintenzionato può ora indovinare quattro caratteri alla volta.

    
risposta data 23.03.2017 - 16:20
fonte
1

Bene, un modo semplice e quasi sicuro consiste nel registrare una vecchia password solo nel momento in cui l'utente dichiara la sua nuova password - è possibile perché il modo più semplice per inserire una nuova password richiede prima quello vecchio.

In questo modo, anche se il vecchio elenco di password è stato compromesso, un utente malintenzionato non può utilizzarlo per connettere il sistema per conto dell'utente poiché la vecchia password è garantita in base al criterio non essere attivo. Potrei scommettere una moneta che è effettivamente utilizzata in alcune organizzazioni senza un HSM ...

Sfortunatamente in un mondo reale con utenti umani, questo non è ancora un modo innocuo, perché se un utente utilizza una lista a rotazione di 11 password, l'attaccante dovrebbe semplicemente aspettare un mese o due, e dovrebbe ottenere la password in no più di 10 tentativi ... Anche se la politica è stata rispettata!

In ogni caso, IMHO è il problema più grave se pochi utenti sono in grado di creare 10 diverse buone password e ricordarle. Quindi il rischio che un utente scriva il proprio elenco di undici password è alto, e il punto più debole nella catena di sicurezza non è più la memoria sicura per il vecchio elenco di password (HSM ha una buona reputazione per questo) ma più semplicemente la scrivania cassetto che contiene l'elenco ...

La sicurezza che viene a scapito dell'usabilità è a scapito della sicurezza ...

    
risposta data 23.03.2017 - 16:58
fonte
1

Ovviamente, conoscono la tua attuale e quella che vorresti che fosse la tua nuova password.

Nel mio vecchio negozio, abbiamo creato un modulo PAM personalizzato per implementare password complesse. Il modo in cui gestivamo le password storiche era salvando l'hash crypt'd dalla tabella shadow per gli ultimi N casi. Creeremo quindi nuovi hash delle password di crypt manipolando la nuova password per vedere se corrisponde a qualsiasi degli ultimi N hash.

È garantito che quanto sopra non gestirà facilmente la complessità del controllo che stai annotando. Quindi ci sono probabilmente alcuni modi per vedere le password storiche degli utenti, ma dobbiamo sperare che la loro soluzione sia abbastanza sicura.

    
risposta data 23.03.2017 - 18:15
fonte

Leggi altre domande sui tag

L'infezione può influenzare un telefono attraverso il suo hotspot wireless, anche il tethering USB Come prevenire le e-mail in cui il mittente è stato falsificato? [chiuso]