Deze vraag heeft hier al antwoorden :

Reacties

  • Als de gebruikers een beperkte groep mensen in huis zijn (ik krijg die indruk , maar kan het mis hebben), zou ik je aanraden om je energie te richten op het onderwijzen van mensen over wachtwoordmanagers in plaats van iedereen 1 aan het einde van hun wachtwoord te laten toevoegen.
  • Helaas wordt de applicatie geconfronteerd met klanten met een lage it-kennis.
  • Houd er rekening mee dat een geavanceerde tegenstander die zich specifiek richt op en gebruikmaakt van brute-force-methoden (inclusief woordenboeken), alle mogelijke informatie zal gebruiken om hun zoekruimte te beperken. Dus alle wachtwoordvereisten zijn erg nuttig voor hen, zoals van tevoren weten dat het een bepaalde lengte moet hebben, speciale voorwaarden vereisen (zoals moet beginnen met een cijfer of weten dat het een combinatie van hoofd- en kleine letters moet zijn, of karakters) zullen averechts werken. De meer informatie die u aan de aanvaller verstrekt, zal hem alleen helpen bij zijn zoektocht.

Antwoord

Er zijn twee factoren hier.

Ten eerste heb je gelijk, de entropie is dezelfde. Wat belangrijk is, is de adresruimte, niet het gebruik van die ruimte. Dus zolang gebruikers symbolen enz. Kunnen gebruiken, is dat in eerste instantie belangrijk.

De tweede factor is echter de gisbaarheid of breekbaarheid. Kan een wachtwoord worden geraden met regenboogtafels? Kan een wachtwoord bruut worden afgedwongen (bijv. Alle tekens hetzelfde). Uw voorbeeld van 123456789012 valt hier in de fout, omdat het zeker in elke fatsoenlijke regenboogtafel zal staan, omdat het eenvoudig en algemeen is.

Dus de huidige best practice voor wachtwoorden is dat u uitgebreide tekens toestaat, maar geen specifieke regels afdwingt (die in ieder geval de adresruimte verkleinen). U moedigt langere toegangscodes aan – opmerking “codes”, waarbij de nadruk op “woorden” wordt verwijderd – goede toegangscodes kunnen onthouden worden, maar zijn dat niet En tot slot, omdat je complexiteit aanmoedigt, zou je geen 30, 60 of zelfs 90d wachtwoordwijzigingen afdwingen. Voor individuele IDs kunnen gedeelde / admin-IDs in ieder geval een beetje anders zijn.

Mijn gevoel is dat deze benadering een goede balans is tussen bruikbaarheid en verbeterde beveiliging. Maar ik denk dat je wachtwoordcodedatabases idealiter periodiek moet controleren om zwakke toegangscodes op te sporen.

Opmerkingen

  • Ja, ik zei dat 123456789012 is gemakkelijk " raadbaar ", maar maakt dat uit wanneer bruteforcing goedkoop en gemakkelijk is?
  • Ja, dat doet het bij het gebruik van lange toegangscodes. Aangezien het aantal mogelijke codes toeneemt met een veelvoud van uw adresruimte voor elk extra teken in de code.
  • Ja: helemaal mee eens: als het gaat om " lange " wachtwoorden (= wachtzinnen), voorspelbaarheid is belangrijk. Dit topsecretpasswordijustmadeup!"§$%&/()= is niet langer een goed wachtwoord als het aan een woordenboek wordt toegevoegd, hoewel het er misschien eerder een was. Maar alleen het feit dat het nu bekend is, maakt het nu een slechte keuze voor de toekomst?
  • Je zou kunnen stellen dat het een verzameling bekende patronen is, die misschien wees minder veilig – maar ik denk dat we hier een beetje esoterisch worden. Een van de problemen met toegangscodes is dat je denkt dat je ' iets unieks hebt gemaakt dat eigenlijk vrij algemeen blijkt te zijn. Het zou interessant zijn om die zin op te zoeken in een goede regenboogtafel 🙂
  • Lange wachtwoorden zijn erg handig wanneer je te maken krijgt met een tegenstander die brute-force-methoden gebruikt. Maar ik vraag me af of het werkelijk tot gissen kan leiden, want als de gebruiker het moet onthouden, kan hij of zij alleen woorden gebruiken die in een woordenboek kunnen worden gevonden, tenzij iets als Lastpass wordt gebruikt dat willekeurige wachtwoorden kan genereren. Gelukkig heeft XKCD deze vraag beantwoord: xkcd.com/936

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *