Perché i siti Web richiedono determinati caratteri nelle loro credenziali? [chiuso]

Naviga le tue risposte
1

Sembra che quando il sito web elenca i requisiti relativi a quali caratteri DEVONO essere nella password, fornisce solo una mappa password per qualcuno che vuole hackerare il proprio sistema.

Ad esempio, fsd.gov richiede: 

The password must be 10-14 characters in length.

The password must contain two each of the following:

Upper/lower case letters, numbers, and special characters.

An example of an acceptable password is:  AAbb1234!@

Congratulazioni! Se volessi hackerare la tua password, ora so che provare a indovinare "aaaaaaaaa" sarà sbagliato, mi hai dato indizi su cosa posso indovinare e mi hai aiutato a restringerlo.

Mi sembra che sia più aperto e più combinazioni possibili se non richiedono caratteri speciali. Quindi se ne hai incluso uno il tuo account ora è più sicuro.

Nota: come probabilmente hai intuito, non sono un professionista della sicurezza, motivo per cui ho pubblicato qui.

    
posta Webnet 22.02.2013 - 17:13
fonte

4 risposte

7

L'obiettivo (e l'effetto normale) di queste politiche è di rendere più difficile per un utente malintenzionato indovinare la maggior parte delle password aumentando il numero di caratteri che un utente malintenzionato deve provare per compromettere la maggior parte delle password. In teoria, naturalmente, sei corretto che limitare il tipo di caratteri che usi in una password riduce il numero di password teoricamente valide. Ma la stragrande maggioranza degli utenti è pigra e, senza restrizioni sulle password, gli aggressori possono sfruttare tale pigrizia per ridurre notevolmente il numero di password che devono controllare per compromettere un account medio.

L'utente medio che crea un account su una pagina web casuale, supponendo che non vi siano restrizioni su quale sia la password, sceglierà una password che è una parola del dizionario in tutte le lettere minuscole. Sapendo questo, un utente malintenzionato può provare le parole più comuni, ad esempio, 10.000 parole dal dizionario in minuscolo e compromettere la maggior parte delle password. Quando imponi agli utenti di utilizzare caratteri maiuscoli, numeri e / o caratteri speciali, aumenti sostanzialmente il numero di password che devono essere verificate per l'utente medio.

Esistono, realisticamente, modi migliori per far rispettare la complessità della password osservando la quantità di entropia nella password (come il misuratore di password ). Vi sono, tuttavia, in pratica, le ragioni per cui è spesso più semplice fornire una regola sui caratteri richiesti piuttosto che utilizzare un controllo della complessità più sofisticato. Innanzitutto, la maggior parte degli auditor si trova più a proprio agio con una politica relativamente complessa relativa alla complessità delle password che è relativamente comune piuttosto che una politica più sofisticata che è più difficile da comprendere per un essere umano. In secondo luogo, fornire agli utenti un semplice insieme di regole da seguire tende a rendere più semplice per gli utenti non tecnici rispetto a un controllo di entropia delle password più sofisticato.

    
risposta data 22.02.2013 - 17:21
fonte
2

Incoraggia le persone a utilizzare una gamma di personaggi più ampia di quella che la gente userebbe senza pensare. Considerando che la password principale è "password ", seguito da 123456 ecc., almeno incoraggia le persone a pensare di utilizzare una gamma più ampia di personaggi. Caratteri e numeri speciali migliorano la complessità della password in quanto possono essere posizionati ovunque nella stringa per essere legali, e significano un pool più ampio di password tra le più deboli.

Personalmente penso che sia chiaramente non efficace, e che sarebbe meglio analizzare la password tramite Javascript e avvisare l'utente di password non sicure basate su ciò che ora sappiamo dopo l'hacking di vari siti web importanti. Forzare tristemente numeri e caratteri speciali non migliora molto le cose a causa del modello molto comune di [parola] [numero] [carattere speciale]. Un link a questo sito può essere sufficiente come avvertimento: link

    
risposta data 22.02.2013 - 17:20
fonte
2

Se hai appena richiesto una password senza vincoli, farebbe una sola lettera, quindi 1 lettera è 26 combinazioni possibili .

Se richiedi una lunghezza minima , hai 26 ^ N combinazioni possibili.

Se richiedi almeno una modifica di un caso , hai quasi 52 ^ N combinazioni possibili.

Se aggiungi cifre , hai quasi 62 ^ N combinazioni possibili.

Se aggiungi caratteri speciali (~! @ # $% ^ & * _-?), hai quasi 74 ^ N combinazioni possibili.

Quindi, con i vincoli che hai specificato, avresti una combinazione possibile di quasi 74 ^ 10 combinazioni, che è un grande numero strano.

Per non parlare dell'eliminazione di parole vere, che generalmente viene utilizzata dalla maggior parte delle persone.

Per quanto riguarda la lunghezza massima, non sono sicuro del motivo per cui limitano il numero possibile di caratteri a 14 in quel caso. Per quanto ne so, non c'è motivo di tenerlo così basso. Ho il sospetto che si tratti di una ragione di "risparmio di spazio" che non si applica realmente alle password di hashing ... speriamo che stiano tagliando le loro password.

* 'quasi' tiene conto del fatto che non puoi avere qualcosa come 'aaaaaaaaaa'.

    
risposta data 22.02.2013 - 18:05
fonte
1

Penso che sia più il risultato della programmazione settoriale del carico, in particolare dove è applicata la dimensione massima a una password. Ogni volta che c'è una dimensione massima, è solo sapere che è perché stanno memorizzando le password in chiaro, e la dimensione massima è il numero di caratteri nella colonna della password del database.

Monkey-see, monkey do.

    
risposta data 22.02.2013 - 17:58
fonte

Leggi altre domande sui tag

Una semplice definizione di client-server [duplicato] Quale VCS è più applicabile per il nostro flusso di lavoro?