Le politiche sulle password rendono le password più deboli? [duplicare]

Naviga le tue risposte
0

Le norme sulle password hanno determinati requisiti per la creazione di una password su un servizio.

La mia domanda è: le policy sulle password rendono le password più deboli, quindi controproducenti?

Facciamo un esempio:

Utilizzerò le lettere per rappresentare i set di caratteri: 

 L = abcdefghijklmnopqrstuvwxyz

U = ABCDEFGHIJKLMNOPQRSTUVWXYZ

D = 0123456789

S = «space»!"#$%&'()*+,-./:;<=>?@[\]^_'{|}~

A = L and U and D and S combined

Ok, quindi un criterio password dice che il minimo è di 8 caratteri. Ora, usando queste informazioni, un bruteforcer limita i tentativi di allungare > = 8, riducendo notevolmente lo spazio di attacco.

Un'altra politica comune è che le password devono contenere almeno una lettera maiuscola, un numero e un simbolo.

Supponendo che la password sia di 8 caratteri, invece che la password sia 8 Come, ora sappiamo che la password è 5 Come, 1 D, 1 U e 1 S. Ora invece di (A ^ 8), è (A ^ 5xDxUxS) combinazioni possibili.

Se la politica richiede una lettera minuscola, riduciamo ulteriormente lo spazio di attacco.

Se le politiche relative alle password riducono significativamente lo spazio di attacco, qual è lo scopo dell'implementazione di una politica che si estende oltre un requisito di lunghezza minima? Non sarebbe più sicuro implementare una politica semplice come una lunghezza minima di 10 o qualcosa del genere?

Aggiungendo set di caratteri richiesti come cifre e simboli, diamo agli hacker maggiori informazioni sul contenuto delle password.

    
posta Kunal Chopra 26.09.2016 - 21:45
fonte

4 risposte

2

Ho scritto su impatto sulla politica delle password sullo spazio della password alcuni anni fa e include più di matematica che non hai trovato nella domanda simile collegata a Xander. Posso ampliarlo qui se hai altre domande. In sostanza, la mia risposta è che l'eliminazione del rischio di password più deboli è più vantaggiosa dei rischi degli hacker che devono solo violare le password conformi.

Per quanto riguarda il tuo commento su una lunghezza minima nota della password che "riduce notevolmente lo spazio di attacco", non è proprio vero. Il numero di password di 8 caratteri (per non parlare di quelle con più di 8 caratteri) rende nane tutte le possibilità di password da 1 a 7 caratteri combinate. Mentre si perdono queste possibilità, si eliminano anche le password più brevi più rischiose impostando una lunghezza minima. In pratica, spezzare qualsiasi cosa più breve di 8 caratteri usando un attacco di forza bruta contro gli hash veloci non richiede quasi molto tempo.

Inoltre, per quanto riguarda i requisiti delle politiche che portano le persone a scegliere modelli di carattere prevedibili che siano veri, ma non del tutto rischiosi come previsto. Quando si osservano questi modelli in scelte di password aziendali reali vengono visualizzati, ma non è una scelta semplice da parte di tutti singolo utente. Certamente un numero maggiore di utenti lo fa rispetto alla maggior parte di noi, ma è difficile eliminare questi pattern senza causare molti problemi di usabilità nel processo.

    
risposta data 26.09.2016 - 23:12
fonte
1

La politica è lì per incoraggiare l'utente a scegliere un passcode complesso. Anche se in teoria avere il set completo disponibile aumenta le combinazioni, in realtà la maggior parte delle persone non pensa alle password in questo modo e sceglierà qualcosa di più semplice possibile.

In generale, tuttavia, è corretto che sia la possibilità di avere il set completo di opzioni in una password che aggiunge forza non necessariamente l'effettiva utilizzazione. Ma solo se i passcode sono effettivamente scelti in modo casuale.

Le restrizioni riducono la scelta disponibile in modo minimalista incoraggiando gli utenti a utilizzare effettivamente codici di accesso complessi. Anche le informazioni fornite agli aggressori sono minime e dicono almeno che il possibile spazio di indirizzamento è ampio e potrebbe mandarle alla ricerca di obiettivi più facili.

Se vuoi sicurezza, assicurati che i codici possano essere molto lunghi e imporre un minimo abbastanza lungo, 8 è molto scarso in questi giorni, anche 10 non è brillante. 12-15 per qualsiasi cosa richieda una ragionevole sicurezza. > 15 per la massima sicurezza.

Ricorda che le persone rappresentano il link debole molto più del sistema (in generale).

    
risposta data 26.09.2016 - 21:55
fonte
0

Politiche scadenti con scadenze sbagliate e l'esecuzione di password a Jeopardy. Una buona politica sulle password protegge gli utenti e i dati. Le norme sulle password che richiedono (alle vittime) agli utenti di cambiare spesso le loro password più di qualche anno, mettono gli utenti a rischio di dimenticare le loro password, quindi gli utenti sono più inclini a registrarlo, rendendo più facile rubare. Anche i criteri per le password che limitano la selezione della chiave utente a un sottoinsieme della tastiera impediscono loro di utilizzare frasi di accesso creative e genera frustrazione, una politica di password dovrebbe consentire all'utente di utilizzare ogni chiave possibile sulla propria tastiera e richiedere quattro tipi distinti, senza sequenze ripetitive , nessuna tastiera cammina, ecc. Una buona politica per le password dovrebbe aumentare la sicurezza e al tempo stesso rendere evidente all'utente il perché.

    
risposta data 26.09.2016 - 22:17
fonte
0

Ok, so a password policy says minimum is 8 characters. Now, using this information, a bruteforcer limits attempts to length >= 8, vastly reducing attack space.

Questo in realtà non riduce il tempo richiesto per gli attacchi di forza bruta poiché il numero di password con una lunghezza inferiore a un dato limite è piccolo rispetto al numero di password con lunghezza maggiore o uguale a quel limite.

Anche richiedere che alcuni caratteri siano presenti non è un problema se la lunghezza della password è abbastanza grande.

what's the purpose of implementing a policy that extends beyond a minimum length requirement?

Un criterio password deve garantire che lo spazio della password sia ampio e che dovrebbe evitare password deboli, ad es. rifiutando password ben note come 12345678 .

    
risposta data 26.09.2016 - 22:49
fonte

Leggi altre domande sui tag

Le mie password continuano a essere rifiutate [chiuso] Perché il browser Samsung di Samsung dichiara che il nostro sito ha un certificato valido, ma l'identità del sito non è stata verificata?