Commentaires
Réponse
Il y en a deux ici.
Premièrement, vous avez raison, lentropie est la même. Ce qui est important, cest lespace dadressage et non lutilisation de cet espace. Donc, tant que les utilisateurs peuvent utiliser des symboles, etc., cest « ce qui » est important en premier lieu.
Cependant, le deuxième facteur est la devinabilité ou la cassabilité. Un mot de passe peut-il être deviné en utilisant des tables arc-en-ciel? Un mot de passe peut-il être forcé brutalement (par exemple, tous les caractères sont identiques). Votre exemple de 123456789012
est contraire à cela, car il sera certainement dans nimporte quelle table arc-en-ciel décente car il est simple et courant.
La meilleure pratique actuelle pour les mots de passe est donc que vous autorisez les caractères étendus mais que vous nappliquez pas de règles spécifiques (qui réduisent en tout cas lespace dadressage). Vous encouragez les codes daccès plus longs – note « codes », en supprimant laccent mis sur les « mots » – les bons codes daccès peuvent être mémorables mais ne le sont pas Et enfin, parce que vous encouragez la complexité, vous n’appliqueriez pas 30, 60 ou même 90d changements de code. Au moins pour les identifiants individuels, les identifiants partagés / administratifs peuvent être un peu différents.
Jai le sentiment que cette approche est un bon équilibre entre convivialité et sécurité renforcée. Mais je pense que vous devriez idéalement auditer périodiquement les bases de données de mots de passe pour rechercher les codes de passe faibles.
Commentaires
- Oui, jai mentionné que
123456789012
est facile " devinable ", mais est-ce important lorsque le bruteforcing est bon marché et facile? - Oui, cest le cas lors de lutilisation de longs mots de passe. Étant donné que le nombre de codes possibles augmente dun multiple de votre espace dadressage pour chaque caractère supplémentaire du code.
- Oui: je suis tout à fait daccord: en ce qui concerne " longs " mots de passe (= mots de passe), la prévisibilité est importante. Ce
topsecretpasswordijustmadeup!"§$%&/()=
nest plus un bon mot de passe, quand il est ajouté à un dictionnaire, bien quil puisse en avoir été un auparavant. Mais seul le fait quil soit maintenant connu en fait maintenant un mauvais choix pour lavenir? - Vous pourriez affirmer quil sagit dune collection de modèles bien connus, que pourraient être moins sûr – mais je pense que nous devenons un peu ésotériques ici. Lun des problèmes avec les codes daccès est de penser que vous ' avez créé quelque chose dunique qui savère être vraiment assez courant. Il serait intéressant de chercher cette phrase dans un bon tableau arc-en-ciel 🙂
- Les mots de passe longs sont très utiles face à un adversaire qui utilise des méthodes de force brute. Mais je me demande si cela pourrait réellement conduire à la devinabilité parce que si lutilisateur doit sen souvenir, il pourrait simplement utiliser des mots qui peuvent être trouvés dans un dictionnaire, à moins que quelque chose comme Lastpass soit utilisé qui puisse générer des mots de passe aléatoires. Heureusement, XKCD a répondu à cette question: xkcd.com/936
1
à la fin de leur mot de passe.