Kommentarer
Svar
Det er to faktorer her.
For det første har du rett, entropien er den samme. Det som er viktig er adresseområdet ikke utnyttelsen av det rommet. Så lenge brukere kan bruke symboler osv., Er det først og fremst viktig.
Den andre faktoren er imidlertid gjetbarhet eller brudd. Kan du gjette et passord ved hjelp av regnbuebord? Kan et passord være brutalt tvunget (f.eks. Alle tegn like). Eksemplet ditt på 123456789012
blir stygt med dette, siden det absolutt vil være i et anstendig regnbuetabell fordi det er enkelt og vanlig.
Så dagens beste praksis for passord er at du tillater utvidede tegn, men du håndhever ikke spesifikke regler (som uansett reduserer adresseplassen). Du oppfordrer til lengre passord – «kodekode», og fjerner vekta på «ord» – gode passord kan være minneverdig, men er ikke antagelig. Og til slutt, fordi du oppmuntrer til kompleksitet, vil du ikke håndheve 30, 60 eller til og med 90d passordendringer. I det minste for individuelle ID-er kan delt / admin-ID være litt annerledes.
Min følelse er at denne tilnærmingen er en god balanse mellom brukervennlighet og forbedret sikkerhet. Men jeg tror at du ideelt sett bør revidere passorddatabaser med jevne mellomrom for å jakte på svake passord.
Kommentarer
- Ja, jeg nevnte at
123456789012
er lett " gjettbar ", men har det noe å si når brutalisering er billig og enkel? - Ja, det gjør du når du bruker lange passord. Siden antallet mulige koder øker med et mangfold av adresseområdet ditt for hvert ekstra tegn i koden.
- Ja: Jeg er helt enig: Når det gjelder " lange " passord (= passordfraser), forutsigbarhet betyr noe. Dette
topsecretpasswordijustmadeup!"§$%&/()=
er ikke lenger et godt passord når det legges til en ordbok, selv om det kan ha vært et før. Men bare det at det nå er kjent, gjør det nå til et dårlig valg for fremtiden? - Du kan argumentere for at det er en samling av kjente mønstre, som kanskje være mindre sikre – men jeg tror vi blir litt esoteriske her. Et av problemene med passordene er at du tenker at du ' har skapt noe unikt som viser seg å være ganske vanlig. Det ville være interessant å slå den setningen opp i en god regnbuetabell 🙂
- Lange passord er veldig nyttige når du møter en motstander som bruker brute-force-metoder. Men jeg lurer på om det faktisk kan føre til gjetbarhet, for hvis brukeren må huske det, kan de bare bruke ord som finnes i en ordbok, med mindre noe som Lastpass brukes som kan generere tilfeldige passord. Heldigvis har XKCD svart på dette spørsmålet: xkcd.com/936
1
på slutten av passordet.