<åt sidan class = "s-notice s-notice__info js-post-notice mb16" role = "status">

Den här frågan har redan svar här :

Kommentarer

  • Om användarna är en begränsad grupp människor i huset (jag får det intrycket , men kan vara fel), skulle jag rekommendera dig att fokusera din energi på att lära människor om lösenordshanterare istället för att få alla att lägga till 1 i slutet av sitt lösenord.
  • Tyvärr är applikationen kundinriktad med låg it-kunskap.
  • Tänk på att en sofistikerad motståndare som specifikt riktar sig mot och använder brute-force-metoder (inklusive ordböcker) kommer att använda alla möjliga bitar av information för att begränsa deras sökutrymme. Så alla lösenordskrav är till stor hjälp för dem, till exempel att veta i förväg att det måste vara en viss längd, som kräver speciella villkor (som att börja med en siffra eller att veta att det måste vara en blandning av stora och små bokstäver, eller kräver special tecken) kommer att slå tillbaka. Ju mer information du ger angriparen hjälper dem bara i deras sökning.

Svar

Det finns två faktorer här.

För det första har du rätt, entropin är densamma. Det som är viktigt är adressutrymmet inte utnyttjandet av det utrymmet. Så länge användare kan använda symboler etc, så är det viktigast i första hand.

Den andra faktorn är dock gissningsbarhet eller brytbarhet. Kan ett lösenord gissas med regnbågsbord? Kan ett lösenord vara brutalt tvingat (t.ex. alla tecken samma). Ditt exempel på 123456789012 blir fel på detta eftersom det säkert kommer att finnas i alla anständiga regnbågstabeller eftersom det är enkelt och vanligt.

Så nuvarande bästa praxis för lösenord är att du tillåter utökade tecken men att du inte tillämpar specifika regler (som i vilket fall som helst minskar adressutrymmet). Du uppmuntrar längre lösenord – ”koder”, ta bort betoningen på ”ord” – bra lösenord kan komma ihåg men är inte och slutligen, eftersom du uppmuntrar komplexitet, skulle du inte tillämpa 30, 60 eller till och med 90d-lösenordsändringar. Åtminstone för enskilda ID: n kan delade / admin-ID vara lite annorlunda.

Min känsla är att denna metod är en bra balans mellan användbarhet och förbättrad säkerhet. Men jag tycker att du helst bör granska lösenordsdatabaser regelbundet för att jaga svaga lösenord.

Kommentarer

  • Ja, jag nämnde att 123456789012 är lätt " gissningsbart ", men spelar det någon roll när brutförstärkning är billig och lätt?
  • Ja, det gör du när du använder långa lösenord. Eftersom antalet möjliga koder ökar med en multipel av ditt adressutrymme för varje ytterligare tecken i koden.
  • Ja: Jag håller helt med: När det gäller " långa " lösenord (= lösenfraser), förutsägbarhet är viktigt. Det här topsecretpasswordijustmadeup!"§$%&/()= är inte längre ett bra lösenord när det läggs till i en ordlista, men det kan ha varit ett tidigare. Men bara det faktum att det nu är känt gör det nu till ett dåligt val för framtiden?
  • Du kan argumentera för att det är en samling välkända mönster som kanske vara mindre säker – men jag tror att vi blir lite esoteriska här. Ett av problemen med lösenord är att tro att du ' har skapat något unikt som visar sig vara riktigt vanligt. Det vore intressant att slå upp den frasen i en bra regnbågstabell 🙂
  • Långa lösenord är till stor hjälp när man möter en motståndare som använder brute-force-metoder. Men jag undrar om det faktiskt kan leda till gissbarhet, för om användaren måste komma ihåg det kan de bara använda ord som finns i en ordbok, såvida inte något liknande Lastpass används som kan generera slumpmässiga lösenord. Lyckligtvis har XKCD svarat på denna fråga: xkcd.com/936

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *