perché le passphrase non sono standard

1

Ho visto molte domande relative alle password: come per misurare la sicurezza della password , perché non selezioniamo le password per gli utenti e ovviamente il migliore: password vs frasi e quella su cui vorrei concentrarmi un po 'di più.

Qualcosa che non ho mai capito è, se crei una passphrase, qualunque cosa possa essere. Diciamo: ILoveAskingUselessQuestions (o anche separati da spazi) o una password: 1L @ UQ, ora capisco che la password è più breve e più facile da usare per la forza bruta. Se non fosse per forza bruta la password sarebbe più difficile da ottenere.

Ma viviamo in un mondo con la forza bruta (con l'aumentare della velocità del computer) il più breve è il più insicuro che diventa.

Direi che una passphrase è sempre la cosa migliore da usare. ovviamente con le pass phrase si otterrebbe una tendenza simile a quella che con le password alcune frasi apparirebbero più di altre. Ora ovviamente ci sono modi per prevenire questo e modi per controllare questo, quindi non dovrebbe essere un vero problema.

Se le persone dovessero usare qualcosa di personale nelle loro frasi di passaggio, nessun hacker sarebbe mai in grado di ottenere password (se gli schemi di hashing della password sono eseguiti correttamente). Si potrebbe obiettare che gli attaccanti farebbero un elenco di parole e proverebbero tutte le combinazioni, ma una tale lista sarebbe specifica per la lingua (un attaccante inglese non otterrebbe mai una password olandese in quel modo).

Quindi la mia domanda è: perché non rendiamo più semplice per gli utenti e richiediamo frasi passate, sono autorizzati a usare i simboli base64 e la lunghezza dovrebbe essere almeno ... 20? (quel numero potrebbe probabilmente essere migliore se qualcuno con conoscenza (non me xD) ha fatto alcuni calcoli).

e per aiutare gli utenti nella creazione di buone frasi "pass" (o spiegando di cosa si tratta) qualcuno come Bruce Schneier (o chiunque tu voglia, perché non fare uno sforzo peer reviewed) rende un post molto semplice da leggere su di esso e ci colleghiamo tutti durante la creazione di account / password.

tutto risolto, o non è così semplice?

    
posta Vincent 22.04.2015 - 17:45
fonte

1 risposta

3

Se per "noi" intendi il piccolo sottoinsieme di sviluppatori che legge security.stackexchange.com che crea i sistemi di autenticazione per un piccolo sottoinsieme di applicazioni, non c'è motivo di limitare i simboli che gli utenti possono usare o la lunghezza di password che possono inserire. Beh, forse 1000 caratteri sarebbero un buon limite per la password al fine di prevenire attacchi denial of service. Ma hai ragione che limitare la lunghezza della password a 8 caratteri, contenere solo un sottoinsieme di possibili caratteri, ecc. È una cattiva pratica. È meglio offrire agli utenti la flessibilità di utilizzare qualsiasi metodo di autenticazione che scelgono e incoraggiare gli utenti a scegliere quelli buoni, ad esempio l'utilizzo di password più lunghe anziché di più brevi. (Anche se fornire agli utenti un link a un libro o un lungo blurb sulle tecniche di password durante la creazione dell'account sarà probabilmente usato tutte le volte che i termini e le condizioni vengono letti. I misuratori di forza della password sono generalmente inaccurati, ma almeno sono qualcosa.) E in Oltre a creare un sistema che permetta agli utenti di avere buone password, dovremmo implementare anche altri controlli di sicurezza come limitare i tentativi di accesso, archiviare le password in modo sicuro, proteggere dall'iniezione SQL, modificare le password degli account admin predefiniti e così via.

Il problema è che non siamo tutti sviluppatori. Molti sviluppatori vedono la sicurezza del computer come un ostacolo che devono superare o una casella di controllo che devono controllare prima di pubblicare il proprio sistema. Molte volte le persone non tecniche nelle posizioni manageriali impongono cattivi requisiti agli sviluppatori, come un dirigente di banca che richiede agli utenti di poter utilizzare i telefoni touch-tone per inserire la propria password Web in modo che le persone possano accedere tramite un sistema di servizi telefonico antiquato che la banca ha sviluppato qualche decennio fa. Quindi non vedrai mai che tutti i sistemi hanno buone pratiche di password, perché non puoi mai rendere la "conoscenza delle buone pratiche delle password" un requisito per lo sviluppo del sistema.

Come per i passphrase in particolare, non credo che qualcuno dovrebbe usare password memorizzate su qualsiasi sistema che non controllano se possono aiutarlo. Nel 2007 l'utente medio aveva 25 account e ho il sospetto che il numero sia aumentato in modo significativo. È umanamente impossibile memorizzare molte passphrase se si richiede che tutte siano veramente uniche. Il più grande rischio con le password è il riutilizzo della password: se ottieni tutti i tuoi utenti per creare passphrase di 40 caratteri e archiviarle con PBKDF2, avrai ancora il furto di identità sul tuo sito quando gli utenti utilizzano le stesse credenziali su un sito che sta memorizzando password in chiaro e quel sito viene violato. Quindi, piuttosto che spingere passphrase, penso che dovremmo spingere il software di gestione delle password. Le passphrase sono fantastiche ( Diceware è meglio) per bloccare i gestori di password, e quindi è possibile utilizzare password veramente casuali per la riunione qualsiasi requisito venga imposto dagli sviluppatori dei sistemi che stai utilizzando.

    
risposta data 22.04.2015 - 19:02
fonte

Leggi altre domande sui tag