Quali sono le implicazioni di una politica di password eccessivamente restrittiva? [duplicare]

0

Mi sono imbattuto recentemente in un interessante criterio di password:

"Assicurati di inserire una password che soddisfi i seguenti criteri:

  • deve essere lungo 8 caratteri
  • non deve essere basato sulle parole del dizionario
  • deve essere diverso dalle precedenti 6 password
  • deve contenere almeno 1 carattere maiuscolo (A-Z)
  • deve contenere almeno 1 carattere minuscolo (a-z)
  • deve contenere una lettera iniziale (a-z o A-Z)
  • deve contenere almeno 1 numero (0-9)
  • può contenere fino a 2 caratteri speciali (solo $ o #)
  • potrebbe non contenere caratteri ripetuti
  • deve essere diverso dall'ID utente "

Mi sembra che questo restringa il numero di password possibili in modo così drastico da richiedere un hackware appropriatamente configurato in due minuti per capire la password di qualcuno. È approssimativo?

    
posta Bill Horvath 25.04.2014 - 20:37
fonte

1 risposta

1

Hai ragione, è una politica password davvero interessante. Alcune di queste regole sono mal definite. Se applico una definizione allentata, penso che non limiti il numero di password possibili al punto da renderle facili da indovinare, ma ci sono problemi con questo elenco:

  1. La migliore protezione della password è la lunghezza. Se davvero deve essere esattamente di 8 caratteri, è davvero pessimo. Suppongo significano 8 caratteri o più . A mio parere 8 caratteri non sono più sufficienti (anche se questo è raccomandato come minimo ovunque). Aumentare a 10 o 12.
  2. ripetendo i personaggi? Suppongo che significhi l'uno accanto all'altro. A chi importa? Questo non fa molto per migliorare l'indovinabilità di una password.
  3. Perché solo due caratteri speciali? Perché limitarlo a # o & ?? Questo non ha senso.
  4. Lettera principale? Di nuovo, PERCHÉ?
  5. Nessuna password del dizionario è qualcosa su cui sono d'accordo, ma come la stanno verificando? Hanno un database di parole del dizionario?

combinazioni totali possibili:
(26 + 26 + 10 +2) ^ 8 = 281,474,976,710,656 escludere combinazioni senza numeri:
(26 + 26 +2) ^ 8 = 72,301,961,339,136 escludere combinazioni senza lettera guida:
(10 + 2) + (26 + 26 + 10 + 2) ^ 7 = 4,398,046,511,104 escludere combinazioni con caratteri ripetuti: totale possibile - (64! / 56!) = 103,011,989,072,896

escludi le parole del dizionario (parole con 8 lettere) arrotondate fino a 10.000

risposta finale del numero di password consentite: 101,762,979,777,508 Quindi circa 102 trilioni di

    
risposta data 25.04.2014 - 20:56
fonte

Leggi altre domande sui tag