Esta pergunta já tem respostas aqui :

Comentários

  • Se os usuários forem um grupo limitado de pessoas na casa (tenho essa impressão , mas pode estar errado), recomendo que você concentre sua energia em ensinar as pessoas sobre gerenciadores de senhas, em vez de fazer com que todos adicionem 1 ao final de suas senhas.
  • Infelizmente, o aplicativo é voltado para o cliente com pouco conhecimento de TI.
  • Lembre-se de que um adversário sofisticado que visa especificamente e usa métodos de força bruta (incluindo dicionários) usará todas as informações possíveis para limitar seu espaço de pesquisa. Portanto, quaisquer requisitos de senha são muito úteis para eles, como saber com antecedência que deve ter um determinado comprimento, exigir condições especiais (como deve começar com um dígito ou saber que deve ser uma mistura de letras maiúsculas e minúsculas, ou exigir condições especiais personagens) vai sair pela culatra. Quanto mais informações você fornecer ao invasor, apenas o ajudará em sua pesquisa.

Resposta

Existem dois fatores aqui.

Em primeiro lugar, você está correto, a entropia é a mesma. O que é importante é o espaço de endereço, não a utilização desse espaço. Portanto, desde que os usuários possam usar símbolos etc, isso é o que é importante na primeira instância.

No entanto, o segundo fator é a capacidade de adivinhação ou quebra. Uma senha pode ser adivinhada usando as tabelas do arco-íris? Uma senha pode ter força bruta (por exemplo, todos os caracteres iguais). Seu exemplo de 123456789012 falha nisso, já que certamente estará em qualquer tabela de arco-íris decente porque é simples e comum.

Portanto, a prática recomendada atual para senhas é que você permite caracteres estendidos, mas não impõe regras específicas (que em qualquer caso reduzem o espaço de endereço). Você incentiva senhas mais longas – observe “códigos”, removendo a ênfase em “palavras” – boas senhas podem ser memoráveis, mas não são E, finalmente, como você está incentivando a complexidade, não estaria impondo alterações de senha de 30, 60 ou mesmo 90d. Pelo menos para IDs individuais, IDs compartilhados / admin podem ser um pouco diferentes.

Meu sentimento é que esta abordagem é um bom equilíbrio entre usabilidade e segurança aprimorada. Mas acho que o ideal é que você deve auditar bancos de dados de senhas periodicamente para descobrir senhas fracas.

Comentários

  • Sim, mencionei que 123456789012 é fácil " adivinhada ", mas isso importa quando a força bruta é barata e fácil?
  • Sim, ao usar senhas longas. Já que o número de códigos possíveis aumenta em um múltiplo de seu espaço de endereço para cada caractere adicional no código.
  • Sim: concordo totalmente: quando se trata de " senhas " longas (= frases-senha), a previsibilidade é importante. Esta topsecretpasswordijustmadeup!"§$%&/()= não é mais uma boa senha, quando adicionada a um dicionário, embora possa ter sido uma antes. Mas apenas o fato de que agora é conhecido o torna uma má escolha para o futuro?
  • Você poderia argumentar que é uma coleção de padrões bem conhecidos, que pode ser menos seguro – mas acho que estamos ficando um pouco esotéricos aqui. Um dos problemas com as senhas é pensar que você ' criou algo único que acaba sendo muito comum. Seria interessante procurar essa frase em uma boa tabela arco-íris 🙂
  • Senhas longas são muito úteis ao enfrentar um adversário que está usando métodos de força bruta. Mas eu me pergunto se isso pode realmente levar à adivinhação, porque se o usuário precisar se lembrar, ele pode usar apenas palavras que podem ser encontradas em um dicionário, a menos que algo como Lastpass seja usado, o que pode gerar senhas aleatórias. Felizmente, o XKCD respondeu a esta pergunta: xkcd.com/936

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *