Qual è un requisito ragionevole e sicuro per la registrazione dell'utente?

9

Questa è la politica sulla password che ho appena ricevuto da UPS (solo per il controllo dello stato del pacchetto):

Your password must be between 8 and 26 characters long. It must contain at least three of the following character types: lowercase letters, capital letters, numerals, special characters, or spaces. The password may not contain your User ID, your name, or your e-mail address. (SSO_1007)

In realtà devo rompere il mio cervello in qualche modo per generare questa password, ma non solo, ma soprattutto, sono sicuro che dopo 3 giorni dimenticherò che cos'è questa password. Gli utenti non saranno così felici. La reimpostazione della password può essere frequente. Penso che gli utenti cercheranno di evitare l'uso del sito a meno che non debbano farlo.

Che cos'è una politica di password ragionevole e sicura quando si imposta un sito Web? Penso che alcune aziende potrebbero temere che alcuni hacker provino le password un milione di volte o più, quindi aggiungono tutti quei requisiti per "caratteri speciali, minuscole, maiuscole", ma non è ragionevole disattivare l'account o semplicemente disabilitare password e richiedere una reimpostazione della password se un utente ha provato 30 volte o 100 volte? Oppure, aggiungere un ritardo di 5 secondi ogni volta dopo che l'utente ha provato 30 volte? Se è così, allora quei caratteri speciali non saranno tanto necessari.

    
posta 太極者無極而生 12.10.2011 - 17:21
fonte

9 risposte

14

Per essere onesti, trovo che avere requisiti di password rigorosi sia un fastidio e non un vantaggio. Direi di regola il più ragionevole è specificare solo una lunghezza, forse caratteri speciali + alfanumerici. Qualcosa in più sta chiedendo alla gente di scrivere la propria password, che sconfigge l'intero scopo di avere password sicure. Odio anche dover cambiare la password ogni x giorni con il solito ridicolo set di regole (ad esempio, non posso riutilizzare le ultime 25 password) - tutto ciò che fa è costringere le persone a scrivere la cosa in modo che non dimentichino, a quale punto si potrebbe anche non chiedere una password a tutti.

    
risposta data 12.10.2011 - 17:50
fonte
12

La mia opinione è che le password dovrebbero avere solo un requisito di lunghezza. Non vuoi che qualcuno inserisca "a" come password. E come mostra la risposta xkcd, una password estremamente difficile da ricordare non è sempre così sicura. Consenti sempre alle persone di cambiare anche la loro password. E dimentica "non puoi usare nessuno dei caratteri contenuti nella tua password precedente" crap.

Fare una politica per password oscena farà più male che bene. Al college sono andato alla politica delle password era simile alla politica UPS E dovevi cambiarlo ogni 2 settimane E non potevi usare le 50 password precedenti che hai usato. Quindi, quello che i miei insegnanti ci hanno consigliato quando ci hanno impostato account è usare la nostra normale password che è conforme alle regole e aggiungere un contatore alla fine di esso e inserire nella password un suggerimento su quale sia il numero del contatore.

Inoltre, una politica di password rigida non farà nulla ogni volta che il tuo database di testo in chiaro viene violato da un errore di SQL injection ... o ti invii le password ai tuoi utenti e questo viene intercettato ..

Fondamentalmente, non rendere il tuo sistema di password un fastidio per i tuoi utenti o incoraggerli a fare cose insicure in modo che possano aggirarli. Ad esempio, la mia azienda quando riceveva un server dedicato da un data center, ci impostava password lunghe 20 caratteri. Erano troppo sicuri per essere mandati via e-mail e dovevano essere inviati via fax. Non è stato possibile modificare le password, ma solo la richiesta di una nuova password di 20 caratteri da generare. Ed è stato così per ogni utente ... quindi quello che abbiamo finito è semplicemente creare un documento di testo sui nostri desktop con la password. Inoltre, non li usiamo più perché per tutta la "sicurezza" che avevano, erano davvero insicuri.

    
risposta data 12.10.2011 - 18:49
fonte
4

Assicurati di consentire spazi. Tutti quelli che conosco possono digitare brevi frasi più velocemente di quanto possano digitare la prima lettera di ogni parola nella frase. Ad esempio, prova a digitare Bird in a Tree e poi BiaT . Questo ha il vantaggio che se scrivi una frase appropriata vagamente come pick Up milk o Meetings all day su una nota adesiva, non è ovviamente una password.

Non sono un grande fan delle regole "devi avere numeri e simboli", ma se le applichi coerentemente (ad esempio, io sono sempre 1, a è sempre @), puoi ancora scrivere la frase inglese sul appiccicoso, applica le regole conosciute solo per le parole vuote e inserisci B1rd in @ tree nella finestra di dialogo della password. Dal punto di vista della sicurezza, i numeri e i simboli non aggiungono molto, ma non hanno bisogno di farti impazzire come utente.

I siti con la massima lunghezza della password mi fanno arrabbiare se la mia bella frase è considerata "troppo lunga". 26 sembra ragionevole. Capisco che qualcuno debba progettare la larghezza della colonna, ma 12 è semplicemente stupidamente breve.

    
risposta data 13.10.2011 - 13:47
fonte
2

Sicuro contro conveniente

La politica di sicurezza di una password dovrebbe essere appropriata per il costo del compromesso. Se il tuo sito web si trova di fronte al mio conto finanziario, desidero una protezione rigorosa della password. Se si tratta di un sito di fan di nicchia sugli Autobots, non è necessaria molta protezione.

Le regole UPS sono ragionevoli con l'eccezione di:

  • La lunghezza massima è troppo piccola. Dovresti facilitare l'uso di passphrase più facili da ricordare e più sicure.

Non ho visto il reset dopo il numero X di tentativi nelle regole quotate, penso che questo sia sciocco nella maggior parte dei casi. Penso che sia meglio bloccare qualcuno per un periodo di tempo, piuttosto che forzare un reset. Ciò implica un certo livello di sicurezza. Se ciò non è necessario, allora non lo è e il blocco / ripristino è un punto controverso.

Esistono molte regole per i criteri di password che presentano vantaggi marginali per la sicurezza nella migliore delle ipotesi. Tuttavia, ci sono anche regole che hanno benefici reali e tangibili per la sicurezza della tua password.

Regole (e le ragioni):

  • lunghezza minima

Impedisce una prova combinatoria e un attacco di errore che interromperà rapidamente una password molto corta.

  • proscrizione contro l'uso di una singola parola inglese (o qualsiasi altra lingua)

Questo impedisce attacchi di dizionario.

  • inserimento forzato di diverse categorie (ad esempio casi misti, numeri, punteggiatura)

Aumenta lo spazio di attacco medio.

Tutti questi motivi possono essere ricondotti a ridurre al minimo il pregiudizio dell'utente nella scelta delle password. La maggior parte degli utenti è incline a creare password più brevi e facili da ricordare. Sfortunatamente ciò rende la password più facile da attaccare. Ciò di cui la maggior parte degli utenti ha bisogno sono istruzioni su come creare password memorizzabili sicure o una frase segreta più lunga.

Password memorizzabili memorabili

Quando ho bisogno di creare una password con un limite di lunghezza, inizio sempre con una frase, quindi ho un codice mnemonico incorporato. Prendo la frase e ottengo lo stesso carattere posizionale da ogni parola. Ora ho una sequenza di soli personaggi. Quindi scelgo la maiuscola, alcune basate sui nomi propri nella frase o sul modello (prima e ultima, ogni altra lettera, ecc.). Aggiungo poi la punteggiatura e i numeri in base a qualche regola o schema arbitrario. (cioè tutti i 'j' sono 7, usando '&' dove c'è un 'e' nella frase, ecc.)

Mama, just killed a man. Put a gun against his head. Pulled my trigger, now he's dead.

Frase fornita dalla regina

  1. mjkampagahhpmtnhd - prima lettera di ogni parola
  2. MjkamPagahhPmtnhd - l'involucro corrisponde al rivestimento della frase
  3. Mjk0mP0g0hhPmtnhd - modificato da 'a' a 0
  4. Mjk0mP0g0 () Pmtnhd - modificato 'his head' to ()

Dopo averlo digitato alcune volte quando penso alla frase non avrò mai problemi a ricordare.

    
risposta data 12.10.2011 - 18:41
fonte
1

Your password must be between 8 and 26 characters long

La password minima di 8 caratteri è un retaggio di Lan Manager. Lan Manager ha cancellato le password suddividendole in stringhe di 2 7 caratteri, quindi cancellandole. Richiedendo minimo 8 caratteri, hanno garantito che la seconda parola non era la stessa di una password vuota (non c'era il sale, quindi ogni istanza di 7 spazi vuoti è stata sostituita dallo stesso risultato).

I am sure that after 3 days I will forget what this password is.

Mi sono arreso, le regole sono così stupide e ridicole che ora le scrivo. Tutti tranne i pochi che uso per i siti web. Il mio attuale datore di lavoro tiene inoltre traccia delle passate 24 password utilizzate in modo che non possano essere riciclate, né può contenere la parola inglese di 3+ caratteri (avanti o indietro). Inoltre, si assicura che non si usi una parola precedente e si incrementi un numero come parte di essa (quindi se si utilizzava P4ssw0rd1 , non è possibile utilizzare P4ssw0rd2 , né P4ssw0rd0 ).

Ho imparato la lezione nel modo più duro in ufficio quando ho dovuto cambiare una password, ci sono voluti 45 minuti per far accettare al sistema una sostituzione, quindi ho subito dimenticato quello che avevo scoperto e ho dovuto ripristinarlo e ho perso altri 45 minuti cercando di ottenere qualcosa che potessi ricordare che era abbastanza complesso da soddisfare i requisiti (alcuni dei requisiti sono elencati sopra, altri no e alcuni non lo so). Non è molto divertente cercare di trovare qualcosa che rispetti le regole che non ti è permesso conoscere. Almeno con giochi come Mastermind ti vengono forniti indizi su quanto sei vicino. In ufficio, alcuni utenti utilizzano una smart card , non sono uno di loro.

    
risposta data 12.10.2011 - 19:08
fonte
1

Usare bcrypt quando si memorizza la password è un buon inizio, semplicemente perché rende tentativi di hackeraggio brute-force non fattibili.

    
risposta data 13.10.2011 - 12:06
fonte
0

Ragionevoli e sicuri si escludono a vicenda. Sono due estremità di una canna. Trovare il miglior equilibrio nel mezzo sarà il migliore. Verso il sicuro e le persone scrivono le password o utilizzano la funzione di sblocco password totalmente non sicura.

L'esempio sopra riportato sembra più inclinato verso la sicurezza che ragionevole. Ho visto di peggio.

Preferisco appoggiarmi al ragionevole. La chiave è quella di inclinarsi verso la sicurezza nel tuo back-end. Memorizza il meno possibile l'uso di sali ecc. Tutti i metodi più recenti consigliati per codificare le password nel tuo database e codificarle anche in un modo. Quindi mantieni sicuro il tuo database e il tuo codice. Addestrare anche a chiunque abbia diritti di amministratore sul proprio sistema che è necessario utilizzare una password sicura unica. Recentemente è stato dimostrato che l'unione di più parole del dizionario è più sicura rispetto al trascinamento in caratteri e casi speciali. Richiedeva le corrispondenze di dizionario composte che in realtà aumentavano il tempo per gli hacker, tuttavia erano ancora memorabili per gli utenti.

    
risposta data 12.10.2011 - 18:24
fonte
0

Non una parola del dizionario, o una variazione banale di esso. Questo è tutto. Un pacchetto di due parole del dizionario è praticamente noncrissibile. Un sostituto a lettera singola per un personaggio che non è un sostituto ovvio (0-O, 1-I, 5-S).

Inoltre, se si limita il tempo di risposta - password accettata / negata dopo 1 secondo, e non sono consentiti due tentativi paralleli per lo stesso accesso - si deve finire (OK o errore) prima di provare un altro, qualsiasi non-dizionario di 6 lettere tutto -la minuscola password senza caratteri speciali impiegherà 9 anni per interrompere.

    
risposta data 13.10.2011 - 09:54
fonte
0

La complessità del requisito della password dovrebbe essere bilanciata con il contenuto dei tuoi siti. Una banca dovrebbe richiedere una password molto complessa (maiuscole, minuscole, numeri e caratteri speciali). Tuttavia, se il contenuto è banale, come ricerche salvate e numeri di tracciamento, il requisito della password dovrebbe essere rilassato. La lunghezza minima di 6 caratteri dovrebbe essere sufficiente. Altrimenti, semplicemente infastidirà il pubblico e li scoraggerà dalla creazione di un accesso.

    
risposta data 28.04.2015 - 20:47
fonte

Leggi altre domande sui tag