La doppia protezione della password è sicura per l'autenticazione dell'amministratore?

1

Stavo guardando alcuni dei miei codici precedenti e ho visualizzato una delle mie schede di amministrazione che ho creato. Ho avuto l'installazione in modo che l'amministratore deve definire / inserire 2 password per il suo account. Questo è veramente a doppia sicurezza o ero deluso? Sembra che sia davvero difficile forzare l'abbinamento di nome utente e 2 password dal lato client. Ho limitato a 100 tentativi, dogh ...

    
posta Ivan Ivković 13.12.2013 - 11:00
fonte

2 risposte

6

Quali sono i principali rischi legati alle password?

  1. La password non è abbastanza sicura. Ciò semplifica, ad esempio, la forza bruta di una password o semplicemente la indovina.

  2. Vengono utilizzate tecniche di hashing errate o non esiste affatto hashing. Rende facile per chiunque abbia (pensa programmatori, amministratori di database, amministratori di sistema) o possa ottenere (pensa SQL Injection) l'accesso al database per fare quello che vuole con le password di ogni utente.

  3. Gli attacchi Man in the middle, come negli scenari in cui non esiste SSL e la macchina si connette attraverso una rete non sicura, come la rete wifi, rendono facile ottenere le password in testo semplice.

  4. Infine, il furto della password può implicare alcune tecniche come l'ingegneria sociale, oltre ad essere fondamentale come individuare una password scritta su un post-it.

  5. Mancanza di una politica di reimpostazione della password corretta. Lavorando come freelancer, ricevo spesso le password di accesso root (sì, root) dai miei clienti. Purtroppo, anni dopo, quelle password avrebbero probabilmente funzionato, nonostante il fatto che ci fossero decine di altri sviluppatori che hanno ricevuto la stessa password.

Nessuno viene risolto utilizzando due password anziché una. Invece, forzare ad avere due password invece di una può avere alcuni effetti negativi:

  • Incoraggia gli utenti a utilizzare password deboli o ad avere due password simili,

  • Altrimenti, è probabile che le password vengano trovate su un post-it.

risposta data 13.12.2013 - 11:32
fonte
2

Beh, non è raro.

Dimenticando il fatto che tu stia parlando dell'account dell'amministratore per un secondo, è tipico che le banche richiedano più password per gli utenti, spesso una password e un qualche tipo di numero di pin.

Spesso lo aumentano con una serie di domande di sicurezza e ti verrà chiesto di rispondere a 1 di

.

Ciò detto per il software del forum questo tipo di cose potrebbe essere eccessivo per un utente normale.

    
risposta data 13.12.2013 - 11:16
fonte

Leggi altre domande sui tag