Tato otázka již má odpovědi zde :

Komentáře

  • Pokud jsou uživatelé omezenou skupinou lidí v domě (mám takový dojem , ale může se mýlit), doporučil bych vám soustředit svou energii na výuku lidí o správcích hesel místo toho, aby každý přidával 1 na konec svého hesla.
  • Aplikace bohužel čelí zákazníkům s nízkými znalostmi.
  • Pamatujte, že sofistikovaný protivník, který se konkrétně zaměřuje a používá metody hrubou silou (včetně slovníků), využije všechny možné informace omezit jejich vyhledávací prostor. Jakékoli požadavky na heslo jsou pro ně velmi užitečné, například vědět předem, že to musí mít určitou délku, vyžadovat speciální podmínky (třeba musí začínat číslicí nebo vědět, že to musí být kombinace velkých a malých písmen, nebo vyžadovat speciální znaků) selže. Čím více informací poskytnete útočníkovi, pomůže mu to pouze při hledání.

Odpověď

Existují dva faktory zde.

Za prvé, máte pravdu, entropie je stejná. Důležitý je adresní prostor, nikoli jeho využití. Dokud uživatelé mohou používat symboly atd., Je to v první řadě důležité.

Druhým faktorem je však odhadnutelnost nebo rozbitnost. Lze heslo uhádnout pomocí duhových stolů? Lze heslo vynutit hrubou silou (např. Všechny znaky stejné). Váš příklad 123456789012 toho bude v nepořádku, protože určitě bude v každé slušné duhové tabulce, protože je jednoduchý a běžný.

Takže aktuální osvědčený postup pro hesla je že povolíte rozšířené znaky, ale nevymáháte konkrétní pravidla (která v každém případě zmenšují adresní prostor). Podporujete delší přístupové kódy – poznámka „kódy“, odstranění důrazu na „slova“ – dobrá hesla mohou být zapamatovatelná, ale nejsou A konečně, protože podporujete složitost, nevynucujete změny hesla 30, 60 nebo dokonce 90 d. Alespoň pro jednotlivá ID se sdílená / administrátorská ID mohou trochu lišit.

Mám pocit, že tento přístup představuje dobrou rovnováhu mezi použitelností a vylepšeným zabezpečením. Ale myslím si, že v ideálním případě byste měli pravidelně kontrolovat databáze přístupových kódů, abyste vypátrali slabá hesla.

Komentáře

  • Ano, zmínil jsem se, že je snadný " uhádnutelný ", ale záleží na tom, kdy je bruteforcing levný a snadný?
  • Ano, používá při použití dlouhých přístupových kódů. Protože počet možných kódů se zvyšuje o násobek vašeho adresního prostoru pro každý další znak v kódu.
  • Ano: naprosto souhlasím: Pokud jde o " dlouhá " hesla (= přístupová hesla), záleží na předvídatelnosti. Toto topsecretpasswordijustmadeup!"§$%&/()= již není dobrým heslem, pokud je přidáno do slovníku, i když jím už mohl být. Ale pouze skutečnost, že je nyní známá, z ní nyní dělá špatnou volbu pro budoucnost?
  • Dalo by se namítnout, že se jedná o sbírku známých vzorů, které být méně v bezpečí – ale myslím, že tu začínáme být trochu esoteričtí. Jeden z problémů s přístupovými kódy spočívá v tom, že jste si mysleli, že jste ' vytvořili něco jedinečného, což se ukázalo jako docela běžné. Bylo by zajímavé podívat se na tuto frázi v dobré duhové tabulce 🙂
  • Dlouhá hesla jsou velmi užitečná, když čelíte protivníkovi, který používá metody hrubou silou. Ale zajímalo by mě, jestli by to mohlo ve skutečnosti vést k hádat XKCD naštěstí odpovědělo na tuto otázku: xkcd.com/936

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *