¿Qué reglas deben aplicarse para que los usuarios creen una contraseña segura?

Navega tus respuestas
4

Estoy buscando una guía definitiva para las reglas que determinan una contraseña "segura" para la autenticación del sitio web. Parece que muchos sitios web tienen muchas reglas diferentes, y no estoy seguro de cuál es la mejor opción para hacer que los usuarios creen contraseñas seguras, pero aún así fáciles de recordar.

    
pregunta Eric Belair 10.04.2013 - 19:17
fuente

2 respuestas

6

Consulte this .

Puntos importantes:

  • No puede probar la seguridad de la contraseña, solo mirando la contraseña. La fortaleza de la contraseña es una propiedad de cómo se genera la contraseña, que no se puede medir o estimar más o menos aproximadamente con solo mirar la contraseña (los "medidores de contraseña" son una broma, uno de los mejores chistes: el tipo que muchas personas creer).

  • Si aplica reglas estrictas a las contraseñas, los usuarios se rebelarán y se dedicarán a las prácticas que degradan la seguridad (por ejemplo, anotar la contraseña en una nota adhesiva oculta bajo el teclado o reutilizar las contraseñas entre sitios). / p>

  • Puede ayudar a los usuarios dándoles un generador de contraseñas que siga las reglas de alta entropía (esta vez sabrá cómo se generan las contraseñas, para poder medir las entropía). El método del "caballo correcto" sería una buena idea.

respondido por el Thomas Pornin 10.04.2013 - 19:29
fuente
6

Muchas de las reglas que ves en la práctica son bastante inútiles. Requerir al menos una letra mayúscula y un número molesta a los usuarios a los que no se les permite elegir password , pero no les induce a elegir una buena. En general, simplemente eligen Password1 en su lugar. Esa contraseña pasaría a muchos filtros, pero aún así se ha filtrado más de 100 000 veces.

Puedes intentar hacer que tus reglas sean más complejas. Digamos que el número no puede estar al final! Bueno, tus usuarios perezosos lo pondrán al frente en su lugar. Esa contraseña ha sido filtrada más de 2 000 veces. Puedes continuar este juego del gato y el ratón con tus usuarios, pero es un juego perdedor. Molestarás a tus usuarios cada vez más y, a menos que abandonen la frustración, seguirán eligiendo contraseñas de mierda. La gente es perezosa, y no puedes cambiar eso con reglas complicadas o cálculos de entropía.

Entonces, ¿qué hacer en su lugar?

  • Límites de longitud: debe tener una longitud mínima. Esto debería ser al menos 8, pero 10 o 12 es probablemente mejor. Si su algoritmo de hash tiene una longitud máxima (por ejemplo, bcrypt corta todo en 72 caracteres), debe aplicar esa longitud máxima también para que los usuarios no crean que su contraseña es más larga de lo que realmente es. Pero no aplique una longitud máxima corta como 32 sin ninguna razón.
  • Contraseñas comunes de la lista negra: Esto es importante. Muy importante. Debe verificar la contraseña con una larga lista de contraseñas filtradas. Si la contraseña se ha filtrado más de N veces (personalmente, argumentaría que N = 1), bloquéela. Hasta la fecha, la mejor de esas listas es Contraseñas Pwned .
  • Selecciones obvias de la lista negra: una opción tentadora de contraseña es simplemente reutilizar el nombre de usuario o alguna otra información personal proporcionada, el nombre del sitio o una variación del mismo, o un término fuertemente relacionado con el tema del sitio. Una forma de hacer esto es verificar que la contraseña aún supera el requisito de longitud mínima incluso después de eliminar tales palabras. No desea que los usuarios elijan LetItGo como contraseña en su sitio de fans de Frozen.
respondido por el Anders 07.05.2018 - 13:33
fuente

Lea otras preguntas en las etiquetas

El sitio se infecta constantemente ¿Las mejores prácticas de seguridad para el desarrollo y lanzamiento de software?