Cette question a déjà des réponses ici :

Commentaires

  • Si les utilisateurs sont un groupe limité de personnes en interne (jai cette impression , mais cest peut-être faux), je vous recommanderais de concentrer votre énergie sur lenseignement des gestionnaires de mots de passe au lieu de forcer tout le monde à ajouter 1 à la fin de leur mot de passe.
  • Malheureusement, lapplication est confrontée au client avec peu de connaissances informatiques.
  • Gardez à lesprit quun adversaire sophistiqué qui cible et utilise spécifiquement des méthodes de force brute (y compris des dictionnaires) utilisera toutes les informations possibles pour limiter leur espace de recherche. Ainsi, toute exigence de mot de passe leur est très utile, comme savoir à lavance quil doit avoir une certaine longueur, exiger des conditions spéciales (comme doit commencer par un chiffre ou savoir quil doit sagir dun mélange de majuscules et de minuscules, ou nécessitant des personnages) se retourneront contre eux. Plus vous fournissez dinformations à lattaquant ne fera que laider dans sa recherche.

Réponse

Il y en a deux ici.

Premièrement, vous avez raison, lentropie est la même. Ce qui est important, cest lespace dadressage et non lutilisation de cet espace. Donc, tant que les utilisateurs peuvent utiliser des symboles, etc., cest « ce qui » est important en premier lieu.

Cependant, le deuxième facteur est la devinabilité ou la cassabilité. Un mot de passe peut-il être deviné en utilisant des tables arc-en-ciel? Un mot de passe peut-il être forcé brutalement (par exemple, tous les caractères sont identiques). Votre exemple de 123456789012 est contraire à cela, car il sera certainement dans nimporte quelle table arc-en-ciel décente car il est simple et courant.

La meilleure pratique actuelle pour les mots de passe est donc que vous autorisez les caractères étendus mais que vous nappliquez pas de règles spécifiques (qui réduisent en tout cas lespace dadressage). Vous encouragez les codes daccès plus longs – note « codes », en supprimant laccent mis sur les « mots » – les bons codes daccès peuvent être mémorables mais ne le sont pas Et enfin, parce que vous encouragez la complexité, vous n’appliqueriez pas 30, 60 ou même 90d changements de code. Au moins pour les identifiants individuels, les identifiants partagés / administratifs peuvent être un peu différents.

Jai le sentiment que cette approche est un bon équilibre entre convivialité et sécurité renforcée. Mais je pense que vous devriez idéalement auditer périodiquement les bases de données de mots de passe pour rechercher les codes de passe faibles.

Commentaires

  • Oui, jai mentionné que 123456789012 est facile " devinable ", mais est-ce important lorsque le bruteforcing est bon marché et facile?
  • Oui, cest le cas lors de lutilisation de longs mots de passe. Étant donné que le nombre de codes possibles augmente dun multiple de votre espace dadressage pour chaque caractère supplémentaire du code.
  • Oui: je suis tout à fait daccord: en ce qui concerne " longs " mots de passe (= mots de passe), la prévisibilité est importante. Ce topsecretpasswordijustmadeup!"§$%&/()= nest plus un bon mot de passe, quand il est ajouté à un dictionnaire, bien quil puisse en avoir été un auparavant. Mais seul le fait quil soit maintenant connu en fait maintenant un mauvais choix pour lavenir?
  • Vous pourriez affirmer quil sagit dune collection de modèles bien connus, que pourraient être moins sûr – mais je pense que nous devenons un peu ésotériques ici. Lun des problèmes avec les codes daccès est de penser que vous ' avez créé quelque chose dunique qui savère être vraiment assez courant. Il serait intéressant de chercher cette phrase dans un bon tableau arc-en-ciel 🙂
  • Les mots de passe longs sont très utiles face à un adversaire qui utilise des méthodes de force brute. Mais je me demande si cela pourrait réellement conduire à la devinabilité parce que si lutilisateur doit sen souvenir, il pourrait simplement utiliser des mots qui peuvent être trouvés dans un dictionnaire, à moins que quelque chose comme Lastpass soit utilisé qui puisse générer des mots de passe aléatoires. Heureusement, XKCD a répondu à cette question: xkcd.com/936

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *