Sicurezza della password: quanto contano i caratteri non alfanumerici? [duplicare]

1

Abbiamo una discussione nella nostra azienda sulla sicurezza delle password per la nostra applicazione.

Oltre al fatto che utilizziamo l'autenticazione a 2 fattori (certificati + login / password), al momento applichiamo password con almeno 12 caratteri di lunghezza.

Attualmente non esiste l'imposizione di utilizzare caratteri non alfanumerici. E dal mio punto di vista c'è poco o nessun guadagno in sicurezza, quando l'utente è costretto a mischiare caratteri (non) -alfanumerici.

Dalla mia comprensione se si ha l'alfabeto di possibili caratteri, l'entropia per 123456789012 e !"§$%&/()=!" dovrebbe essere la stessa e entrambe le password dovrebbero avere lo "stesso grado" di sicurezza (le scelte fatte dall'alfabeto differiscono, ma l'alfabeto è lo stesso).

L'unica differenza sarebbe l'informazione all'attaccante, che la prima password utilizza solo un sottoinsieme dell'alfabeto, che ridurrebbe l'entropia.

D'altra parte, ciò che rende la prima password "insicura" è il fatto che è davvero prevedibile; le probabilità sono alte per una corrispondenza veloce se si usa un dizionario. Dato un hardware lento e un dizionario, sarebbe davvero importante scegliere uno sopra l'altro.

Ma con la potenza di oggi (GPU / Cloud) per bruteforcing la differenza di sicurezza è dal mio punto di vista trascurabile, quindi è giusto dire: uno è sicuro come l'altro.

tl; dr

La differenza di sicurezza tra 123456789012 e !"§$%&/()=!" come password al giorno d'oggi trascurabile?

(hashing strong e utilizzo di sali presunti).

    
posta Thomas Junk 09.12.2016 - 14:46
fonte

1 risposta

4

Ci sono due fattori qui.

In primo luogo, sei corretto, l'entropia è la stessa. Ciò che è importante è lo spazio degli indirizzi e non l'utilizzo di quello spazio. Quindi, se gli utenti possono utilizzare i simboli ecc., Questo è ciò che è importante in prima istanza.

Tuttavia, il secondo fattore è l'indovinabilità o la frantumabilità. Si può indovinare una password usando i tavoli arcobaleno? Una password può essere forzata brutalmente (ad esempio tutti i caratteri allo stesso modo). Il tuo esempio di 123456789012 cade in fallo di questo dato che sarà sicuramente in qualsiasi tavolo arcobaleno decente perché è semplice e comune.

Quindi la migliore prassi corrente per le password è che si consentano i caratteri estesi ma non si applicano regole specifiche (che in ogni caso riducono lo spazio degli indirizzi). Incoraggiate i passcode più lunghi - nota "codici", rimuovendo l'enfasi sulle "parole" - i buoni passcode possono essere memorizzabili ma non sono ipotizzabili. E infine, poiché si sta incoraggiando la complessità, non si applicheranno le modifiche del codice di accesso a 30, 60 o anche 90 giorni. Almeno per ID individuali, l'ID condiviso / amministratore potrebbe essere leggermente diverso.

La mia sensazione è che questo approccio sia un buon equilibrio tra usabilità e sicurezza avanzata. Ma penso che dovresti idealmente controllare periodicamente i database dei codici di accesso per rintracciare i deboli codici di accesso.

    
risposta data 09.12.2016 - 14:59
fonte

Leggi altre domande sui tag