I "nuovi" requisiti della password di bugzilla.mozilla.org hanno senso per quel tipo di account / servizio?

-3

Ho appena provato ad aggiungere alcuni dettagli a un bug che ho segnalato su bugzilla.mozilla.org (BMO) ma non sono stato lasciato entrare perché la mia password era stata annullata. Ora vogliono che crei una nuova password che soddisfi determinati requisiti, elencati qui

link

must be at least 12 characters in length
must not contain parts of your email address, or your real name
must be complex, which means:
    must be a passphrase of at least four words
    OR
    must contain a mixture of letters and symbols, containing characters from 3 out of the following 4 character classes:
    lowercase letters, uppercase letters, numbers, and other symbols

Ho deciso di non aggiornare la mia password e, di conseguenza, smettere di usare il loro servizio / fornire BMO con segnalazioni di bug, perché la password che richiedono non sarà facile da memorizzare e penso che questo sia un complesso non necessario per un bug servizio di segnalazione. La mia password corrente è di 9 caratteri, contiene lettere maiuscole e minuscole, numeri e caratteri speciali. È abbastanza complesso per il mio scopo.

Quindi la mia domanda è: ci sono ragioni oggettive per una password così complessa per qualcosa come BMO? Qual è la cosa peggiore che può accadere se qualcuno vi crea una password per utenti esterni?

Infine alcune considerazioni personali su questo problema: personalmente non sono troppo convinto del pensiero di un gestore di password nel cloud (che è stato consigliato da BMO). Questo tipo di single-point-of-failure è, IMHO, problematico. Anche se CIA / NSA o simili potrebbero non indirizzarmi specificamente a me, probabilmente potrebbero bersagliare qualcun altro che utilizza lo stesso servizio e se riescono a romperlo, tutti i miei segreti vengono come bonus gratuito per loro.

Memorizzare i dati sensibili localmente e avere una buona soluzione di backup sembra molto più sicuro per il tentativo occasionale di hacking da parte di un partner geloso o qualcuno che cerca di commettere frodi con carta di credito (se qualche agenzia sponsorizzata dallo stato mi ha indirizzato in modo specifico sono comunque fottuto, usando un citazione segreta, aggirare tecnicamente la mia protezione o semplicemente minacciarmi con un bastone abbastanza grande).

    
posta d-b 06.05.2018 - 13:39
fonte

1 risposta

7

So my question is: are there any objective reasons for such a complex password for something like BMO? What is the worst thing that can happen if someone cracks an outside users password there?

Ricorda che il bug tracker potrebbe contenere informazioni relative a 0 giorni nel software o altri gravi bug di sicurezza. Non tutti gli utenti hanno accesso a queste informazioni, ma alcuni lo fanno.

Tali informazioni potrebbero avere un impatto su un numero elevato di utenti qualora venissero resi noti pubblicamente.

È più facile e più efficace imporre norme sulle password per tutti gli utenti e non in base al gruppo. Molti schemi di hashing delle password nascondono la complessità delle password, il che significa che è solo verificabile quando si modifica effettivamente la password.

because the password they require won't be easy to memorise

Memorizzo esattamente tre password: la password dell'account del computer, la password di accesso remoto e la passphrase del gestore password. Il resto è memorizzato in gestori di password (Lastpass e KeePass). Questo è suggerito dalla guida dell'utente a cui punti. Ciò semplifica l'utilizzo di password univoche per ciascun servizio e non devi ricordare nulla.

Inoltre, consentono le passphrase, che è più facile da memorizzare. Quattro parole a caso sono certamente possibili da ricordare, se lo desideri.

Finally some personal remarks about this issue: personally I am not too found of the thought of a password manager in the cloud (which is was BMO recommends).

Raccomandano un gestore di password. Non ne menzionano uno specifico e non menzionano affatto il cloud. Probabilmente dovresti leggere ancora una volta la pagina che hai linkato, dal momento che deduci cose che non sono riportate lì.

Inoltre, va notato che Lastpass utilizza la passphrase come chiave di crittografia per i tuoi dati, quindi un attacco contro un altro utente potrebbe non produrre la tua password.

    
risposta data 06.05.2018 - 14:02
fonte

Leggi altre domande sui tag