Quando una password è "abbastanza sicura"? [chiuso]

1

Supponiamo di avere un blocco sulla tua porta con una tastiera 0-9. Una persona può inserire una combinazione di cifre di massimo 10 caratteri. Ricevono tre tentativi prima che la porta venga bloccata per 1 ora.

Se avessi quella porta a casa tua, per quanto tempo una password / codice sceglieresti? 4 cifre, 6 cifre ecc.

Quando è abbastanza sicuro? Qual è il minimo che potrebbe andare e considerarlo ancora sicuro? Cosa significa essere sicuri?

Mondo reale: un cliente ha chiesto di ridurre al minimo il requisito della password su un sistema per gli account degli utenti, preferibilmente cifre fino a 4 cifre e ha altre misure come ratelimits / blocco account, ma ritiene che una possibilità 1/10000 di inserire una password corretta è una probabilità troppo alta anche se ottengono solo X (pochi) tentativi al giorno. Qual è il livello più basso / più semplice con misure aggiuntive e considerate ancora sicuro, supponendo che un utente malintenzionato abbia tre tentativi prima che l'account sia bloccato?

Aggiunta:

  • Il servizio è un servizio simile a Skype
  • Il blocco funzionerebbe come se non fossero consentiti nuovi accessi per la durata del blocco
  • Se viene fornita una password corretta al momento dell'accesso quando si verifica un blocco nel passato, un SMS verrebbe inviato all'utente con un secondo token che sarebbe necessario immettere per accedere
  • Qualsiasi client che ha già effettuato l'accesso non verrà disconnesso durante una bruteforce del proprio account, quindi la possibilità che debbano passare attraverso la convalida secondaria di SMS è ridotta
posta grandnasty 11.07.2017 - 16:26
fonte

1 risposta

1

Penso che il tuo cliente abbia bisogno di aggiornare il suo modello di minaccia. Indovinare la password online non è l'unica cosa che dovrebbe guidare la complessità della password. Il cliente deve capire come funziona il cracking della password. Se gli hash delle password sono mai compromessi (tramite SQL injection, backup di database archiviati in modo errato, ecc.), Un utente malintenzionato tenterà di crackare tali password offline con uno strumento come hashcat, piuttosto che indovinarle contro il sito stesso, dove potrebbe verificarsi il blocco dell'account in gioco. 4 cifre NON è sufficiente sicurezza per qualsiasi sistema. Anche l'algoritmo di hashing più lento può completare il lavoro in meno di un secondo con una scheda video moderna .

Se vi sono dubbi sull'usabilità delle password, suggerirei agli utenti di utilizzare un gestore di password. Se è troppo difficile, tutti i browser Web moderni possono anche salvare la password dell'utente se la portabilità non è un problema.

    
risposta data 11.07.2017 - 17:42
fonte

Leggi altre domande sui tag