Pro e contro della politica delle password che filtrano le password deboli più comuni? [duplicare]

0

Tutti conosciamo le "regole della password" di base quando un utente si registra su un sito Web, ad esempio:

  • più di 8 caratteri,
  • deve contenere una lettera maiuscola,
  • deve contenere numeri e così via

Perché i siti Web non filtrano (come in non accettano) password deboli note come:

  • 123456
  • QWERTY
  • Password

Quali sono i pro e i contro di un tale metodo e perché non è ampiamente utilizzato?

    
posta Mxsky 02.05.2016 - 13:57
fonte

2 risposte

1

Non è ampiamente utilizzato perché se blocchi 123456, gli utenti useranno 1234567, tu blocchi qwerty che useranno qwertyu. Onestamente, "L'approccio della lista nera sarà aggirato". E questo rende il risultato minimo, nella misura in cui non vale la pena implementarlo.

L'approccio potrebbe essere vantaggioso se abbinato ad altri tipi di politiche come min-length, maiuscolo, cifre, ecc. E vedi questo tipo di policy in azione quando i sistemi ti impediscono di usare le tue ultime 'x' password o allarmi tu che la tua password non può contenere il tuo nome utente. (E molte password deboli sono bloccate tramite regole di lunghezza / complessità)

    
risposta data 02.05.2016 - 14:31
fonte
1

Una volta ho implementato qualcosa di simile. Le parole più lunghe saranno rimosse dalla password prima di controllarne la lunghezza. Quindi se inserisci "test438" come password, "test" viene rimosso e "438" è ovviamente troppo breve per essere una password. Ciò consente ancora le password che combinano più parole conosciute.

Alcune persone con password come "Test1234" si sono lamentate del nuovo sistema.

    
risposta data 02.05.2016 - 16:07
fonte

Leggi altre domande sui tag