Dette spørsmålet har allerede svar her :

Kommentarer

  • Hvis brukerne er en begrenset gruppe mennesker i huset (jeg får det inntrykket , men kan være feil), vil jeg anbefale deg å fokusere energien på å lære folk om passordadministratorer i stedet for å få alle til å legge til 1 på slutten av passordet.
  • Dessverre er applikasjonen kundevendt med lav kunnskap.
  • Husk at en sofistikert motstander som spesielt målretter mot og bruker brute-force-metoder (inkludert ordbøker), vil bruke all mulig informasjon mulig for å begrense søkeområdet. Så eventuelle passordkrav er veldig nyttige for dem, for eksempel å vite på forhånd at det må være en viss lengde, som krever spesielle forhold (som å starte med et siffer eller å vite at det må være en blanding av store og små bokstaver, eller som krever spesielle tegn) vil slå tilbake. Jo mer informasjon du gir angriperen, vil bare hjelpe dem i søket.

Svar

Det er to faktorer her.

For det første har du rett, entropien er den samme. Det som er viktig er adresseområdet ikke utnyttelsen av det rommet. Så lenge brukere kan bruke symboler osv., Er det først og fremst viktig.

Den andre faktoren er imidlertid gjetbarhet eller brudd. Kan du gjette et passord ved hjelp av regnbuebord? Kan et passord være brutalt tvunget (f.eks. Alle tegn like). Eksemplet ditt på 123456789012 blir stygt med dette, siden det absolutt vil være i et anstendig regnbuetabell fordi det er enkelt og vanlig.

Så dagens beste praksis for passord er at du tillater utvidede tegn, men du håndhever ikke spesifikke regler (som uansett reduserer adresseplassen). Du oppfordrer til lengre passord – «kodekode», og fjerner vekta på «ord» – gode passord kan være minneverdig, men er ikke antagelig. Og til slutt, fordi du oppmuntrer til kompleksitet, vil du ikke håndheve 30, 60 eller til og med 90d passordendringer. I det minste for individuelle ID-er kan delt / admin-ID være litt annerledes.

Min følelse er at denne tilnærmingen er en god balanse mellom brukervennlighet og forbedret sikkerhet. Men jeg tror at du ideelt sett bør revidere passorddatabaser med jevne mellomrom for å jakte på svake passord.

Kommentarer

  • Ja, jeg nevnte at 123456789012 er lett " gjettbar ", men har det noe å si når brutalisering er billig og enkel?
  • Ja, det gjør du når du bruker lange passord. Siden antallet mulige koder øker med et mangfold av adresseområdet ditt for hvert ekstra tegn i koden.
  • Ja: Jeg er helt enig: Når det gjelder " lange " passord (= passordfraser), forutsigbarhet betyr noe. Dette topsecretpasswordijustmadeup!"§$%&/()= er ikke lenger et godt passord når det legges til en ordbok, selv om det kan ha vært et før. Men bare det at det nå er kjent, gjør det nå til et dårlig valg for fremtiden?
  • Du kan argumentere for at det er en samling av kjente mønstre, som kanskje være mindre sikre – men jeg tror vi blir litt esoteriske her. Et av problemene med passordene er at du tenker at du ' har skapt noe unikt som viser seg å være ganske vanlig. Det ville være interessant å slå den setningen opp i en god regnbuetabell 🙂
  • Lange passord er veldig nyttige når du møter en motstander som bruker brute-force-metoder. Men jeg lurer på om det faktisk kan føre til gjetbarhet, for hvis brukeren må huske det, kan de bare bruke ord som finnes i en ordbok, med mindre noe som Lastpass brukes som kan generere tilfeldige passord. Heldigvis har XKCD svart på dette spørsmålet: xkcd.com/936

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *