¿Es inseguro limitar / cortar la longitud de la contraseña sin previo aviso?

4

Me he dado cuenta de que nuestro sistema Linux reduce la longitud de cada contraseña a una cierta longitud, después de esa longitud parece que se ignoran todos los caracteres adicionales.

¿Esto hace que nuestro sistema de linux sea más susceptible a un ataque de diccionario de fuerza bruta? Además, la longitud de una contraseña en el trabajo no es 100% secreta, ya que escuchará a alguien teclear en breve o bastante largo. ¿Podría alguien con intenciones maliciosas usar esto para descifrar una contraseña larga con un ataque de diccionario de palabras comunes, suponiendo que todos los caracteres complicados estén al final?

    
pregunta HopefullyHelpful 14.03.2016 - 16:13
fuente

1 respuesta

5

Absolutamente, y "sin previo aviso" es bastante malo aquí.

Su ejemplo (una construcción que comienza con una palabra y tiene bits más complicados al final) es bueno. La " grapa correcta de la batería del caballo de XKCD" también se reduciría a solo la primera palabra, haciendo que el espacio sea trivial a fuerza bruta.

Si un usuario experto en seguridad conoce esta restricción, podría elegir una construcción de contraseña diferente, pero eso es algo realmente terrible para pedir a los usuarios que lo hagan. Un usuario conocedor de la seguridad que esté inconsciente de esta restricción podría fácilmente obtener una seguridad equivalente a su contraseña promedio hunter2 .

    
respondido por el cloudfeet 14.03.2016 - 16:17
fuente

Lea otras preguntas en las etiquetas