Dette spørgsmål har allerede svar her :

Kommentarer

  • Hvis brugerne er en begrænset gruppe mennesker i huset (jeg får det indtryk , men kan være forkert), vil jeg anbefale dig at fokusere din energi på at lære folk om adgangskodeadministratorer i stedet for at få alle til at tilføje 1 i slutningen af deres adgangskode.
  • Desværre er applikationen kundevendt med lav it-knowledge.
  • Husk, at en sofistikeret modstander, der specifikt målretter mod og bruger brute-force-metoder (inklusive ordbøger), vil bruge alle mulige oplysninger for at begrænse deres søgerum. Så ethvert kodeordskrav er meget nyttigt for dem, såsom at vide på forhånd, at det skal være en bestemt længde, der kræver særlige betingelser (som skal starte med et ciffer eller at vide, at det skal være en blanding af store og små bogstaver eller kræve speciel tegn) vil give bagslag. Jo flere oplysninger, du giver angriberen, hjælper dem kun i deres søgning.

Svar

Der er to faktorer her.

For det første er du korrekt, entropien er den samme. Hvad der er vigtigt er adresseområdet ikke udnyttelsen af dette rum. Så længe brugere kan bruge symboler osv., Det er hvad der er vigtigt i første omgang.

Den anden faktor er dog gættebarhed eller brudbarhed. Kan man gætte et kodeord ved hjælp af regnbueborde? Kan et kodeord være brutalt tvunget (f.eks. Alle tegn ens). Dit eksempel på 123456789012 falder i stykker med dette, da det helt sikkert vil være i ethvert anstændigt regnbuebord, fordi det er simpelt og almindeligt.

Så nuværende bedste praksis for adgangskoder er at du tillader udvidede tegn, men du håndhæver ikke specifikke regler (som under alle omstændigheder reducerer adresseområdet). Du tilskynder til længere adgangskoder – “koder” bemærkning, og fjerner vægten på “ord” – gode adgangskoder kan være mindeværdige, men er ikke og endelig, fordi du tilskynder til kompleksitet, ville du ikke håndhæve 30, 60 eller endda 90d adgangskodeskift. I det mindste for individuelle IDer kan delt / admin-ID være lidt anderledes.

Min fornemmelse er, at denne tilgang er en god balance mellem brugervenlighed og forbedret sikkerhed. Men jeg synes, at du ideelt set burde revidere adgangskodedatabaser med jævne mellemrum for at finde svage adgangskoder.

Kommentarer

  • Ja, jeg nævnte, at 123456789012 er let " gætte ", men betyder det noget, når bruteforcing er billig og let?
  • Ja, det gør det, når du bruger lange adgangskoder. Da antallet af mulige koder øges med et multipel af dit adresseområde for hvert ekstra tegn i koden.
  • Ja: Jeg er helt enig: Når det kommer til " lange " adgangskoder (= adgangssætninger), forudsigelighed betyder noget. Denne topsecretpasswordijustmadeup!"§$%&/()= er ikke længere en god adgangskode, når den føjes til en ordbog, selvom det muligvis har været en før. Men kun det faktum, at det nu er kendt, gør det til et dårligt valg for fremtiden?
  • Du kan argumentere for, at det er en samling af velkendte mønstre, som måske vær mindre sikker – men jeg synes, vi bliver lidt esoteriske her. Et af problemerne med adgangskoder er at tænke dig ' har skabt noget unikt, der viser sig at være ret ret almindeligt. Det ville være interessant at slå denne sætning op i en god regnbuetabel 🙂
  • Lange adgangskoder er meget nyttige, når man står overfor en modstander, der bruger brute-force-metoder. Men jeg spekulerer på, om det faktisk kan føre til gætterbarhed, for hvis brugeren skal huske det, bruger de måske bare ord, der kan findes i en ordbog, medmindre der bruges noget som Lastpass, der kan generere tilfældige adgangskoder. Heldigvis har XKCD besvaret dette spørgsmål: xkcd.com/936

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *