Problemi con requisiti di password non definiti [duplicato]

Naviga le tue risposte
1

Un mio fastidio è quando i siti web cercano di costringermi a usare caratteri o una password che rende difficile per me ricordare (ad esempio un numero, minuscolo, maiuscolo, carattere speciale, 5-10 caratteri) ...

Quali sarebbero le insidie di avere semplicemente un calcolatore della forza della password e consentire solo password "forti"?

Ad esempio, forse a una persona piace solo usare le parole per consentire "thehorselikestodrinkwater", poiché la sua lunghezza lo rende strong, ma anche consentire "! Pf-4", poiché la sua complessità lo rende strong.

    
posta TruthOf42 07.02.2014 - 21:06
fonte

2 risposte

3

Il problema è la complessità della programmazione. Test per la presenza di casi misti, numeri e segni di punteggiatura è straordinariamente semplice.

Il test della forza della password nel vero senso pratico è sorprendentemente difficile. Quello che ti interessa davvero è se la password verrà o meno incrinata, non quanti caratteri speciali contiene. La password apwyfzsdjn è notevolmente più sicura di Baseb4all! , anche se la maggior parte dei tester di password preferirà quest'ultima.

Il progetto zxcvbn è un tester di password basato su Javascript che tenta di eseguire ragionevole analisi della forza della password basato sulla complessità e (più importante) sulla ricerca di dizionari, e certamente fa un lavoro migliore rispetto al tipo "deve contenere la punteggiatura" dei tester.

Ma è un problema difficile da risolvere.

    
risposta data 07.02.2014 - 22:30
fonte
1

In generale la complessità non è importante quanto la lunghezza, tuttavia la complessità e la lunghezza aumentano la protezione contro i tentativi di password di forza bruta pura.

Il tuo esempio di! Pf-4 verrebbe decifrato rapidamente a prescindere dalla "complessità" perché il numero di tentativi di indovinare sarebbe al massimo 7,820,126,495 (95 ^ 5 + 95 ^ 4 + 95 ^ 3 + 95 ^ 2 + 95) 95 è il numero di possibili caratteri. Un core i7 lo farà in un attimo.

Per ogni aumento della lunghezza della password, si aumenta il numero di ipotesi richieste da un livello di potenza. Il vero problema è che la maggior parte dei password cracker che sanno quello che stanno facendo usano attacchi dizionario personalizzati e attacchi di forza bruta che possono compromettere anche le frasi a lungo passaggio abbastanza facilmente.

Può anche dipendere da quale hash crittografico è stato usato per cancellare le password. Ci sono noti problemi di sicurezza con alcuni hash come MD5 e ci sono hash più forti come bcrypt che sono considerati algoritmi di hashing "lenti" perché richiedono più tempo per controllare ogni hash.

Ti consiglierei di leggere questo articolo sulla password cracking.

link

    
risposta data 07.02.2014 - 21:55
fonte

Leggi altre domande sui tag

Uso di pwgen con sha1 per creare password ricreabili Garantire la sicurezza nell'autenticazione dell'URL Token