Oltre all'utilizzo di algoritmi hash avanzati, qual è un buon "requisito della password"? [duplicare]

0

Supponendo l'uso di bcrypt / scrypt:

Sarebbe una buona idea "richiedere" una password di almeno 12 caratteri, menzionando anche la possibilità di utilizzare lunghe passphrase, invece del tipico requisito minimo di 8 caratteri maiuscoli / minuscoli / caratteri speciali?

Sembra che ci sia un compromesso tra la facilità di memoria e quanto sia difficile qualcosa per forza bruta, e non tutti usano (o vogliono usare) gestori di password.

Qual è la soluzione migliore in pratica? Non so quali requisiti password impostare per i miei utenti. Avere requisiti troppo complessi offre agli utenti un incentivo per rendere le password facili da ricordare, mentre i requisiti troppo indulgenti offrono agli utenti un incentivo per essere pigri e rendere le password deboli alla forza bruta.

    
posta user49637 19.06.2014 - 18:42
fonte

2 risposte

1

La Stanford University circa un mese fa uscì con una sorta di scala mobile. Ha permesso alla complessità di diminuire con l'aumentare della lunghezza. Questa è fondamentalmente solo una funzione di probabilità. Una password di 8 caratteri richiede un'elevata complessità, mentre una password di 20 caratteri richiede poco.

Matematicamente (set di caratteri) ^ (Lunghezza) 95 ^ 8 < 52 ^ 12 < 20 ^ 26

Questo funziona alla grande fino a quando non consideri cose come antidisestablishmentarianism che supera la sfida di forza sopra nuotando, ma è nei dizionari di password dei pentesters più bravi. Se si desidera una protezione da forzatura bruta, creare un numero di destinazione (7 x 10 ^ 16) e un algoritmo per calcolare il numero di possibilità e utilizzarlo. Il dizionario e gli attacchi basati su regole continueranno ad afferrare il frutto a bassa quota.

    
risposta data 19.06.2014 - 19:08
fonte
0

Lascio che si attengano a ciò a cui sono abituati, ma li rendano consapevoli dei rischi, che sembrano essere comuni.

Un minimo di 8 caratteri, ma se li fai usare casi misti, horse123 diventa Horse123, e se li fai usare caratteri speciali, Horse123 diventa Hor $ e123. Le persone a cui non importa avranno comunque delle password deboli. Dì loro che hanno password deboli e li informano dei rischi, suggeriscono di utilizzare un gestore di password per facilità d'uso e, se ciò non li infastidisce, cosa puoi fare di più?

Le password devono essere visualizzate dal cliente come un'opportunità per proteggersi da un Internet in gran parte insicuro. Non puoi farlo per loro.

    
risposta data 19.06.2014 - 19:11
fonte

Leggi altre domande sui tag