L'esclusione delle lettere del nome utente dalle password aumenta la sicurezza?

Qualsiasi cosa che limiti l'insieme di possibili password lo rende più vulnerabile a un attacco di forza bruta. L'unica ragione per vietare alcune password è se la limitazione allo spazio della password è compensata dall'alta propensione degli utenti a scegliere password facilmente intuibili.

Diciamo che ti piacerebbe avere password con almeno 38 bit di entropia (che è già molto alta per una password che può essere attaccata online solo in circostanze normali). Ciò richiede uno spazio per la password di almeno 274877906944.

Le password ostative che sono troppo brevi sono ragionevoli. Supponendo che il set di caratteri sia limitato ai 94 caratteri ASCII non spaziali stampabili, 6 caratteri casuali sono il minimo (689869781056). Le password meno lunghe (meno di 5 caratteri) fanno appena la differenza: ce ne sono solo 7417954634 - le password di lunghezza 5 o lunghezza rappresentano solo l'1.1% (poco più di 1/94) delle password di lunghezza fino a 6. E Poiché gli utenti scelgono raramente sequenze di caratteri completamente casuali, è ragionevole avere una lunghezza minima ancora maggiore. Una lunghezza minima fa a malapena lo spazio della password, perché cresce in modo esponenziale.

L'esclusione di un personaggio, al contrario, fa sempre più la differenza quando le password si allungano. Diciamo che scegli una password con 8 lettere casuali e una cifra casuale alla fine (e non fare affidamento sul carattere di punteggiatura per l'entropia). Ciò offre 2088270645760 possibilità - oltre 2 ⁴¹ , che soddisfano i requisiti a 38 bit. Se si proibisce un minimo di una lettera, lo spazio della password si riduce a 1525878906250, ovvero il 27% dello spazio della password sprecato proprio lì. Con 6 lettere proibite, lo spazio della password si riduce a 256000000000 che è inferiore a 2 ³⁸ .

Le lettere casuali sono difficili da memorizzare, quindi ci sono metodi migliori per generare password valide più lunghe ma più utilizzabili. %codice%? No, non posso usarlo. Prendiamo la famosa diceware lista di 7776 parole inglesi e sequenze memorabili di lettere e cifre. 3 elementi casuali nell'elenco soddisfano il requisito di 38 bit (7776 ³ = 470184984576). Ma 3 elementi casuali che non contengono alcuna lettera del mio nome utente? Solo 2130 articoli adattano il conto, portando a 9663597000 possibili password, solo 33 bit. Ancora decente, ma inferiore al nostro obiettivo. E la lista Diceware ha un numero fastidiosamente alto di caratteri speciali se si sta digitando la password su un dispositivo mobile. Ho una lista di 4172 parole inglesi comuni corte, e posso scegliere 3 parole casuali per ottenere 37 bit di entropia, che con una cifra aggiunta dà i 38 bit richiesti (726160964480 possibili password). Se escludo lettere nel mio nome utente, questo scende a 787 parole, per soli 29 bit senza cifre o 33 bit con una cifra.

Dimenticare i caratteri comuni per gli utenti che scelgono deliberatamente password valide è sbagliato, e ti ho annoiato con i calcoli per mostrarlo. Che dire degli utenti che le restrizioni sulle password sono davvero mirate - il 99% che non sceglie in modo casuale?

Il nome della ragazza? No. Il nome da nubile della madre? No. Città natale? No. Accidenti, questo è difficile, la restrizione deve funzionare! %codice%? %codice%? %codice%? Ah, corrEct horSE battEry StapLE funziona per me, che fortuna.

Vieta davvero ogni lettera che usi nel tuo username? Hai ragione che questo è male in quanto riduce il pool di potenziali password di un importo considerevole. Si prega di nominare e vergognare in modo da poter stare il più lontano possibile da questa applicazione.

Uno schema più comune non consente password contenenti il tuo nome utente, il tuo nome o qualche altra informazione pubblicamente disponibile collegata al tuo account. Questa è una buona misura in quanto rende un attacco mirato contro il tuo account leggermente più difficile.