Erre a kérdésre már itt vannak válaszok :

Megjegyzések

  • Ha a felhasználók egy korlátozott számú házban tartózkodó embert jelentenek (az a benyomásom támad , de lehet, hogy téved), azt javasoljuk, hogy összpontosítsa energiáját arra, hogy megtanítsa az embereket a jelszókezelőkre, ahelyett, hogy mindenkit 1 hozzáadna jelszavának végéhez.
  • Sajnos az alkalmazás ügyfelek számára alacsony ismeretekkel rendelkezik.
  • Ne feledje, hogy egy kifinomult ellenfél, aki kifejezetten durva erő módszereket céloz meg és használ (ideértve a szótárakat is), minden lehetséges információt felhasznál. hogy korlátozzák a keresési területüket. Tehát a jelszóra vonatkozó követelmények nagyon hasznosak számukra, például előre tudják, hogy bizonyos hosszúságúaknak kell lenniük, különleges feltételeket igényelnek (például egy számjeggyel kell kezdeniük, vagy annak tudatában, hogy a kis- és nagybetűk keverékének kell lenniük, vagy különleges karakter) vissza fog ütni. A támadónak nyújtott további információk csak a keresésben segítenek.

Válasz

Kettő van tényezők.

Először is igazad van, az entrópia ugyanaz. Ami fontos, hogy a címtér nem az adott tér kihasználása. Tehát amíg a felhasználók használhatnak szimbólumokat stb., Ez elsődlegesen fontos.

A második tényező azonban a kiszámíthatóság vagy a törhetőség. Kitalálható egy jelszó a szivárványos táblázatok segítségével? Lehet-e egy jelszót nyersen kényszeríteni (pl. Az összes karakter ugyanaz). A (z) 123456789012 példád ezt megsérti, mivel minden tisztességes szivárványos táblában minden bizonnyal szerepel, mert egyszerű és általános.

Tehát a jelszavak jelenlegi legjobb gyakorlata hogy engedélyezel kibővített karaktereket, de nem érvényesítesz bizonyos szabályokat (amelyek mindenesetre csökkentik a címteret). Hosszabb kódokat javasolsz – “kódok” megjegyzés, eltávolítva a “szavak” hangsúlyt – a jó kódok emlékezetesek lehetnek, de nem kitalálható. És végül, mivel bonyolítja a bonyolultságot, nem hajtja végre a 30, 60 vagy akár a 90d jelszó megváltoztatását. Legalább az egyéni azonosítók esetében a megosztott / rendszergazda azonosítói kissé eltérhetnek.

Úgy érzem, hogy ez a megközelítés egyensúlyban van a használhatósággal és a fokozott biztonsággal. De úgy gondolom, hogy ideális esetben rendszeresen ellenőriznie kell a jelszó adatbázisokat, hogy levadássza a gyenge kódokat.

Megjegyzések

  • Igen, említettem, hogy 123456789012 könnyen " kitalálható ", de számít-e ez, ha a bruteforcing olcsó és egyszerű?
  • Igen, ha hosszú jelszavakat használ. Mivel a lehetséges kódok száma a címterület többszörösével növekszik a kód minden további karakteréhez.
  • Igen: Teljesen egyetértek: Amikor " hosszú " jelszavak (= jelszavak), a kiszámíthatóság számít. Ez az topsecretpasswordijustmadeup!"§$%&/()= már nem jó jelszó, ha hozzáadják egy szótárhoz, bár lehet, hogy korábban is volt ilyen. De csak az a tény, hogy mára ismert, teszi mostanra rossz választássá a jövőre nézve?
  • Lehet vitatni, hogy ez egy jól ismert minták gyűjteménye, amelyet lehet légy kevésbé biztonságos – de azt hiszem, itt egy kicsit ezoterikusak vagyunk. A kódok egyik problémája az, hogy ' gondolkodtál valami egyediről, ami kiderül, hogy valóban meglehetősen gyakori. Érdekes lenne ezt a kifejezést megkeresni egy jó szivárványos táblában 🙂
  • A hosszú jelszavak nagyon hasznosak, ha szembe kell nézni egy ellenfelével, aki durva erő módszereket alkalmaz. De kíváncsi vagyok, hogy ez valóban találgatáshoz vezethet-e, mert ha a felhasználónak emlékeznie kell rá, akkor csak olyan szavakat használhat, amelyek megtalálhatók egy szótárban, hacsak nem valami olyasmit használnak, mint a Lastpass, amely véletlenszerű jelszavakat generálhat. Szerencsére az XKCD válaszolt erre a kérdésre: xkcd.com/936

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük