Politica di complessità della password e praticità [chiusa]

Question

Politica di complessità della password e praticità [chiusa]

#1 da (3 voti)

-2

Se sei un utente e la tua azienda implementa un criterio password che dice che la tua password deve avere almeno 8 caratteri, almeno 1 numero, almeno un alfabeto e almeno 1 carattere speciale, sarebbe troppo complesso per te un utente per creare tale password? Attualmente sono incaricato di elaborare una politica sulla complessità e ho incontrato obiezioni sulla parte relativa ai personaggi speciali. Quanto è difficile per un utente normale utilizzare almeno 1 carattere speciale nella propria password? Voglio dire, è così difficile e controproducente? Puoi condividere le tue esperienze?

passwords password-management

posta Pang Ser Lark 24.12.2015 - 01:19

fonte

1 risposta

Leggi altre domande sui tag passwords password-management

generare passcode numerici "non-dictionary" [chiuso] Giustificazione per un software Enterprise Antivirus e un firewall [chiuso]

score 3 · Answer 1

Ciò che è molto più critico di una diversità di simboli non alfanumerici è la semplice lunghezza della password. Esistono da anni cracker specializzati che sono in grado di attaccare con forza bruta ogni combinazione di lettere, numeri e simboli, lunghi fino a 10 caratteri (dato un attaccante sufficientemente motivato che è disposto a spendere migliaia di dollari su un computer con password craccata, naturalmente.) In questo ambiente, cavillare su un punto esclamativo con una password di 8 caratteri è inutile. Richiede password con almeno 12 o più caratteri e avrai una soluzione molto più sicura. Se ti rende più comodo, puoi anche richiedere una cifra o un carattere maiuscolo. Un'altra soluzione è usare PBKDF2 per memorizzare le password, rendendo meno efficienti i cracker paralleli.

Ci sono già molte domande e risposte in security.SE sui criteri raccomandati per le password, dovresti dare un'occhiata a quelle.

* È un normale PC pieno di schede GPU e un programma CUDA massivamente parallelo per calcolare gli hash SHA-1; l'ultima volta che ho guardato potrebbe calcolare 348 miliardi di hash SHA-1 al secondo. Dubito che l'hardware sia diventato più lento nel tempo.