C'è un inconveniente nell'esporre il motivo per l'errore di accesso se # di combinazioni è compensato con la complessità della password?

Question

C'è un inconveniente nell'esporre il motivo per l'errore di accesso se # di combinazioni è compensato con la complessità della password?

#1 da (1 voti)
#2 da (1 voti)

1

Quando si immettono le credenziali di nome utente e password, è considerato più sicuro fornire un errore di accesso generico per diversi motivi di errore (account sconosciuto, password errata, ecc.) (ref: link - potrebbe esserci uno migliore).

Questo ovviamente aumenta il numero di combinazioni che un attaccante (forza bruta) deve provare, ma non è così utile all'utente e potrebbe anche portare a una grave frustrazione se è convinto per errore che il nome utente sia corretta.

Esiste un inconveniente nell'esporre il motivo di errore di login specifico all'utente / potenziale aggressore e nel compensare la diminuzione del numero di combinazioni per provare con password più complesse?

authentication passwords

posta Karl Richter 25.01.2017 - 00:50

fonte

2 risposte

Leggi altre domande sui tag authentication passwords

Perché IPSec ESP non protegge l'intestazione IP? Pagina iniziale di Facebook reindirizzata a non HTTPS durante la visita al sito di torrent

score 1 · Answer 1

Credo che la tua proposta di aumentare la complessità della password attenui con successo il rischio maggiore di esporre le informazioni sul nome utente, specialmente se consideri che la maggior parte delle pagine di registrazione ti consente già di enumerare i nomi utente provando a registrare quelli esistenti (anche se tipicamente dietro un CAPTCHA). / p>

Tuttavia, anche se non vi è alcun svantaggio da un punto di vista della sicurezza, se la scelta è tra:

Visualizza messaggi di accesso generici (meno utili)
Visualizza più messaggi di accesso utili in combinazione con l'aumento della lunghezza minima della password (ad esempio) di almeno 4 caratteri.

È probabile che con # 2 l'aumento collettivo di fastidio per tutti gli utenti sia maggiore della quantità risparmiata.

score 1 · Answer 2

Il motivo per cui questa domanda è più complessa di quella che potrebbe sembrare prima è che le password scelte dall'utente sono soggette a fattori umani e in particolare l'abitudine delle persone di scegliere password memorabili e il più semplici possibile anche a fronte di requisiti di complessità come gli utenti intelligente nel trovare le password che soddisfano i requisiti di complessità ma in realtà provengono da un insieme più ipotetico.

Se dai un sacco di informazioni sul perché un tentativo di password è fallito allora da un punto di vista puramente matematico puoi superare questo problema aumentando i requisiti di complessità, ma questo non tiene conto del comportamento dell'utente che può negare l'ulteriore complessità.

Il forzamento bruto può essere guidato e l'aumento della lunghezza della password (ad esempio) non fornisce necessariamente lo spazio chiave apparente per la ricerca perché l'euristica si applica ancora. Ricorda inoltre che i requisiti di complessità possono ridurre lo spazio chiave dallo spazio massimo basato solo sulla lunghezza, almeno euristicamente. Pensa al vecchio requisito di complessità di utilizzare almeno una cifra e gli utenti aggiungono un 1 alla fine della loro password preferita! Facile da creare algoritmi basati su algoritmi di indovinamento basati su password euristica - questo non aumenta lo spazio chiave di un set di caratteri aggiuntivi nella realtà.

Detto questo, vivrei il rischio se l'aumento della complessità fosse sostanziale e i requisiti di complessità non fossero troppo semplicistici o facili da aggirare in alcun modo.