Questa domanda ha già una risposta qui :

Commenti

  • Se gli utenti sono un gruppo limitato di persone interne (ho questa impressione , ma potrebbe essere sbagliato), ti consiglio di concentrare le tue energie nellinsegnare alle persone i gestori di password invece di fare in modo che tutti aggiungano 1 alla fine della loro password.
  • Sfortunatamente, lapplicazione è rivolta al cliente con una scarsa conoscenza IT.
  • Tieni presente che un avversario sofisticato che prende specificamente di mira e utilizza metodi di forza bruta (compresi i dizionari) utilizzerà ogni bit di informazione possibile per limitare il loro spazio di ricerca. Quindi qualsiasi requisito di password è molto utile per loro, come sapere in anticipo che deve essere di una certa lunghezza, richiedere condizioni speciali (come deve iniziare con una cifra o sapere che deve essere un misto di lettere maiuscole e minuscole, o richiedere speciali caratteri) si ritorcerà contro. Più informazioni fornite allattaccante lo aiuteranno solo nella ricerca.

Risposta

Ce ne sono due fattori qui.

In primo luogo, hai ragione, lentropia è la stessa. Ciò che è importante è lo spazio degli indirizzi non lutilizzo di quello spazio. Quindi, fintanto che gli utenti possono utilizzare simboli e così via, questo è ciò che è importante in primo luogo.

Tuttavia, il secondo fattore è lipotesi o la fragilità. È possibile indovinare una password utilizzando le tabelle arcobaleno? Una password può essere forzata (ad es. Tutti i caratteri sono uguali). Il tuo esempio di 123456789012 non rientra in questo dato che sarà sicuramente in qualsiasi tabella arcobaleno decente perché è semplice e comune.

Quindi la migliore pratica corrente per le password è che consenti caratteri estesi ma non imponi regole specifiche (che in ogni caso riducono lo spazio degli indirizzi). Incoraggia passcode più lunghi – nota “codici”, rimuovendo lenfasi sulle “parole” – buoni passcode possono essere memorizzabili ma non lo sono Infine, poiché stai incoraggiando la complessità, non applicheresti modifiche al codice di accesso di 30, 60 o anche 90 giorni. Almeno per gli ID individuali, gli ID condivisi / amministratore potrebbero essere leggermente diversi.

La mia sensazione è che questo approccio sia un buon equilibrio tra usabilità e sicurezza avanzata. Ma penso che dovresti idealmente controllare periodicamente i database dei passcode per scovare i passcode deboli.

Commenti

  • Sì, ho detto, che 123456789012 è facile " indovinabile ", ma ha importanza quando il bruteforcing è economico e facile?
  • Sì, quando si utilizzano codici di accesso lunghi. Poiché il numero di codici possibili aumenta di un multiplo dello spazio degli indirizzi per ogni carattere aggiuntivo nel codice.
  • Sì: sono totalmente daccordo: quando si tratta di " lunghe " password (= passphrase), la prevedibilità è importante. Questa topsecretpasswordijustmadeup!"§$%&/()= non è più una buona password, quando viene aggiunta a un dizionario, anche se potrebbe essere stata una prima. Ma solo il fatto che ora sia noto lo rende ora una cattiva scelta per il futuro?
  • Si potrebbe sostenere che si tratta di una raccolta di modelli ben noti, che potrebbe essere meno sicuri, ma penso che stiamo diventando un po esoterici qui. Uno dei problemi con i passcode è quello di pensare di ' aver creato qualcosa di unico che risulta essere davvero piuttosto comune. Sarebbe interessante cercare quella frase in una buona tabella arcobaleno 🙂
  • Le password lunghe sono molto utili quando si affronta un avversario che utilizza metodi di forza bruta. Ma mi chiedo se potrebbe effettivamente portare a indovinabilità perché se lutente deve ricordarlo, potrebbe usare solo parole che possono essere trovate in un dizionario, a meno che non venga utilizzato qualcosa come Lastpass che può generare password casuali. Fortunatamente, XKCD ha risposto a questa domanda: xkcd.com/936

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *