Supponiamo di avere un blocco sulla tua porta con una tastiera 0-9. Una persona può inserire una combinazione di cifre di massimo 10 caratteri. Ricevono tre tentativi prima che la porta venga bloccata per 1 ora.
Se avessi quella porta a casa tua, per quanto tempo una password / codice sceglieresti? 4 cifre, 6 cifre ecc.
Quando è abbastanza sicuro? Qual è il minimo che potrebbe andare e considerarlo ancora sicuro? Cosa significa essere sicuri?
Mondo reale: un cliente ha chiesto di ridurre al minimo il requisito della password su un sistema per gli account degli utenti, preferibilmente cifre fino a 4 cifre e ha altre misure come ratelimits / blocco account, ma ritiene che una possibilità 1/10000 di inserire una password corretta è una probabilità troppo alta anche se ottengono solo X (pochi) tentativi al giorno. Qual è il livello più basso / più semplice con misure aggiuntive e considerate ancora sicuro, supponendo che un utente malintenzionato abbia tre tentativi prima che l'account sia bloccato?
Aggiunta:
- Il servizio è un servizio simile a Skype
- Il blocco funzionerebbe come se non fossero consentiti nuovi accessi per la durata del blocco
- Se viene fornita una password corretta al momento dell'accesso quando si verifica un blocco nel passato, un SMS verrebbe inviato all'utente con un secondo token che sarebbe necessario immettere per accedere
- Qualsiasi client che ha già effettuato l'accesso non verrà disconnesso durante una bruteforce del proprio account, quindi la possibilità che debbano passare attraverso la convalida secondaria di SMS è ridotta