¿Es más seguro limitar las contraseñas que tienen dos caracteres idénticos en una fila?

4

OWASP recomienda esta práctica y también lo hacen otras compañías. Creo que tiene sentido a primera vista, pero si lo piensas, en realidad limita la entropía en lugar de aumentarla. ¿Cuántas combinaciones se reducirían con esta regla? Calculé su entropía mínima (10 caracteres, los 4 tipos) para ser 3e19. Me imagino que no tener personajes lo limitaría un poco. No sé cuánto, pero apostaría a que sería mucho usar la paradoja del cumpleaños como guía. Si alguien puede calcular eso por mí y mostrarme los pasos, eso sería muy apreciado.

Mi punto es que lo limitaría independientemente. Entonces, ¿cuál es el beneficio? ¿Hay algún beneficio en otro lugar, tal vez en la metodología de descifrado de contraseñas? Por lo que puedo decir, no hay mucho en lo que pueda pensar. ¿Alguien puede explicar por qué sus beneficios son mayores que los negativos o quizás es solo una mala regla y por qué OWASP y otros piensan así?

    
pregunta Geoff Lee 26.02.2017 - 02:24
fuente

3 respuestas

4

El enlace que has compartido dice:

  

no más de 2 caracteres idénticos en una fila (por ejemplo, 111 no permitido)

por lo que su límite se aplicaría a 3 caracteres seguidos.

Recuerde, cualquier limitación que aplique una determinada regla reduce el espacio de búsqueda absoluto para una contraseña. Por ejemplo, al requerir cuatro tipos diferentes de caracteres se elimina el espacio para las contraseñas de caracteres de todos los caracteres inferiores / superiores-todos / dígitos / especiales

La esperanza con tales restricciones (3 caracteres idénticos consecutivos / 3 dígitos consecutivos / 3 dígitos consecutivos más un carácter especial / 3 teclas QWERTY consecutivas ...) es reducir la probabilidad de que los usuarios elijan una contraseña débil (una que es es más probable que ya se haya "descubierto" y se haya agregado a una tabla de arco iris).

El beneficio puede no ser aparente si piensa que el craqueo de contraseñas es una "fuerza bruta tonta", pero puede ser más claro si observa las proporciones de contraseñas agrietadas de un gran conjunto de datos que muestran estas características débiles.

    
respondido por el Jedi 26.02.2017 - 04:53
fuente
2

Crackstations "pequeña" lista de contraseñas contiene aproximadamente 64 millones de contraseñas. Regresé para series de más de dos personajes idénticos seguidos y encontré aproximadamente 1.2 millones de coincidencias *. Esto significa que menos del 2% de todas las contraseñas en esta lista contienen más de dos caracteres consecutivos.

A partir de estos números, asumo que el uso de muchos caracteres idénticos en una fila no es una práctica generalizada y, por lo tanto, no es necesario imponer ninguna precaución en su contra.

* Tenga en cuenta que la contraseña "aaaa111" se contaría dos veces.

    
respondido por el Lukas 26.02.2017 - 20:21
fuente
1
  

Mi punto es que lo limitaría independientemente. Entonces, ¿cuál es el beneficio? ¿Hay algún beneficio en otro lugar, tal vez en la metodología de descifrado de contraseñas?

Sí. Si bien es cierto que la regla limita la entropía general, creo que la verdadera pregunta que debe hacerse es cómo son realmente las contraseñas comunes con tres caracteres idénticos seguidos.

Este es un experimento que podría hacer: obtener una lista de contraseñas comunes (diez mil las más probables, por ejemplo). Cuente el número de contraseñas que contienen tres caracteres idénticos en una secuencia.

Luego calcule la frecuencia con la que debería ocurrir una secuencia de este tipo si se distribuye al azar. Si hay más contraseñas con una secuencia tal de lo que las estadísticas sugieren que debería haber, entonces las personas tienden a preferir tales contraseñas, lo que significa que tiene sentido prohibir tales patrones, porque los que buscan las contraseñas podrían aprovechar este conocimiento y probar las contraseñas con estas repeticiones primero. , lo que reduciría enormemente el espacio de búsqueda.

No he hecho los cálculos matemáticos, pero tengo la sensación de que la reducción de la entropía de las contraseñas es el problema menor IFF : el patrón de caracteres idénticos es realmente común en las contraseñas. / p>

  

Si alguien puede calcular eso por mí y mostrarme los pasos, eso sería muy apreciado.

Estoy demasiado oxidado para encontrar una respuesta matemáticamente sólida, pero cuando aún estaba en la escuela, calculamos las probabilidades de sacar varias bolas negras de un saco que contenía bolas blancas y negras, con las bolas de retroceso. Creo que probablemente esa sería la forma de hacer los cálculos correctamente, y creo que, dado que es probable que se trate de un libro de texto, es posible que tengas suerte en Google para este tipo de problema.

Para tener una idea rápida de la cantidad de posibilidades que eliminaría con la regla de no tener tres caracteres idénticos en una fila, piense en cuáles serían las posibilidades de rodar la misma cantidad de ojos con un dado de tres. veces seguidas (la primera no importa, pero las siguientes dos tiradas tienen 1/6 de probabilidad, así que 1/36). Si haces lo mismo con una contraseña y asumiendo que tiene 64 caracteres únicos para elegir, terminarás con una probabilidad de 98.98% de NO obtener una secuencia idéntica de 3 caracteres (1- (1/64) ^ 2 ). Sin embargo, esto todavía no es correcto porque su contraseña no tiene solo 3 caracteres, sino 10 caracteres, por lo que tendrá que tener eso en cuenta. Es posible que tengas que multiplicar la posibilidad de acertar una secuencia de tres duplicados (1/64 * 1/64) por 8, ya que hay 8 posiciones posibles en las que se puede encontrar la secuencia (lo que dejaría el 99.8% de la entropía original)

Editar: Matemáticas reemplazadas de uso cuestionable con matemáticas más sólidas.

    
respondido por el Pascal 26.02.2017 - 17:50
fuente

Lea otras preguntas en las etiquetas