Esiste un modo per verificare in sicurezza se una password è una delle più utilizzate?

0

Quindi diciamo che un utente vuole registrarsi su qualche sito web. Per qualche ragione, non voglio permettere quella password se è una delle 100 migliori password usate sul mio sito (quindi non sto controllando solo un dizionario top 100, ma uno specifico per il mio sito). Tuttavia, tutte le password sul mio sito sono hash e salate. Come posso verificare quali password sono nella top 100 più utilizzate nel modo più efficiente e sicuro? L'unica cosa che mi viene in mente in questo momento è memorizzare solo gli hash di tutte le password e quanti utenti hanno registrato con quella password in una tabella separata. In questo modo l'attaccante non sarebbe in grado di collegare l'hash della password al nome utente e tutto ciò che hanno sono gli hash non salati delle prime 100 password più utilizzate. C'è un modo per farlo in un modo più sicuro ed efficiente?

    
posta trallgorm 03.03.2016 - 23:06
fonte

1 risposta

2

Le password con hash non salato, in particolare gli hash delle password comuni, sono banali da invertire. Ad esempio, diamond è una top 100 password . Un rapido Google del suo hash SHA1 di f872caad177d67bbe18c119d0505f2d3caa02af3 rivela rapidamente la password unshshed.

Se in una lista hai creato un elenco che indicava che un insieme di utenti condivideva la stessa password e quell'elenco era stato acquisito da un hacker, una violazione della password di un account avrebbe portato rapidamente alla violazione di altri account.

Questo apre anche un nuovo tipo di attacco in cui un utente malintenzionato può indovinare le prime 100 password per il tuo sito impostando la password del suo account su scelte probabili. Quando fallisce, sapranno di averne trovato uno. Quindi possono provare ad accedere agli account di altri utenti con quella password.

Fondamentalmente, memorizzare le password in modo sicuro è difficile. Le tecnologie attuali sono state sviluppate nel corso di decenni. Qualsiasi modifica apportata al modello attuale rischierà probabilmente gli account e le password dell'utente.

Se lo desideri, prendi l'elenco delle prime 100 o delle prime 1000 password e impedisci che vengano utilizzate. Tieni presente che vi sono molte controversie sull'uso dei requisiti della password. Alcuni ritengono che rendano le cose più sicure, altri che semplicemente irritano gli utenti.

    
risposta data 03.03.2016 - 23:23
fonte

Leggi altre domande sui tag