Política recomendada sobre la complejidad de la contraseña

Matt Weir presenta algunos enlaces e investigaciones recientes relacionadas con las políticas y la resistencia real al descifrado de las contraseñas resultantes en Reusable Security: Nuevo documento sobre las métricas de seguridad de contraseña y CCS Paper Parte # 2: Entropía de contraseña

Se señala una respuesta rápida: "obligar a los usuarios a cambiar su contraseña cada seis meses no es muy útil"

Vea también otras preguntas aquí como este .

Las contraseñas generalmente se consideran fundamentalmente dañadas, por lo que cualquier política de contraseña es un intento de apuntalar las cosas en el mejor de los casos. Dicho esto, una política de contraseñas de "mejores prácticas" generalmente incluirá al menos los siguientes requisitos, además de longitud mínima de la contraseña :

Envejecimiento de la contraseña:

Una edad máxima para la contraseña, de modo que la misma contraseña no se use indefinidamente

Un historial de contraseñas , para evitar que los usuarios vuelvan a cambiar a una de las N contraseñas utilizadas anteriormente (y, por lo tanto, no las cambien).

Algunas políticas también tendrán una edad mínima para evitar que las personas cambien su contraseña N (y, por lo tanto, omitan el mecanismo del historial de contraseñas y no lo cambien en absoluto). ).

(¡Tenga en cuenta que los últimos dos de estos controles son para evitar que los usuarios intenten sortear el primero! Esta es otra pista de que las contraseñas están bastante dañadas)

Complejidad de la contraseña :

Por lo general, estos incluirán requisitos para caracteres "especiales", o el uso de varias clases de caracteres, con el objetivo de aumentar el número efectivo de bits en la contraseña y aumentar la cantidad de tiempo que se tarda en forzar una contraseña.

También es útil tener una política que no solo no permita palabras del diccionario (como contraseña ), sino palabras derivadas del diccionario (por ejemplo, password123 , drowssap321 etc). El objetivo aquí es prevenir los ataques de diccionario que pueden acelerar el descifrado automático de contraseñas.

Más allá de esto, es posible debatir todo tipo de otros requisitos y valores exactos para los diversos parámetros (¿los usuarios deben cambiar las contraseñas cada 90 días o 30 días o cada 5 minutos? etc.), así como la cantidad de entropía que obtiene / pierda por los requisitos de complejidad, pero cuando estas cosas son muy importantes, las contraseñas no son un buen control en primer lugar.

Tengo entendido que el desarrollo de un equilibrio entre la seguridad y la facilidad de uso es una batalla en curso. Lo ideal es que los usuarios utilicen la contraseña más segura posible, pero muchos de ellos (posiblemente todos) no pueden recordar estas complejas cadenas.

Según mi experiencia personal, las contraseñas más seguras son frases o la primera letra de las frases que conozco. Al hacer esto, crea una serie de letras aparentemente arbitrarias (usando la frase: No puedes adivinar esta contraseña fácilmente --- ycgtpve). Luego, requiere un número y creará una contraseña difícil que una sugerencia no divulgará fácilmente.

En cuanto a la documentación, logré encontrar un par de recursos para crear contraseñas poderosas:

- enlace

Este artículo describe cómo instruir a los usuarios sobre buenas prácticas de contraseña.

- enlace

Este artículo proporciona buenos algoritmos para crear contraseñas difíciles que son fáciles de recordar.

Espero que esto ayude.

Aquí hay un pequeño dibujo:

Yel estudio que lo apoyan.

Debido a que las restricciones de contraseña suelen ser definidas por personas con una sólida formación técnica pero sin conocimientos de psicología, el status quo disminuye la seguridad.

Lo que los individuos de seguridad no entienden es que los usuarios no tienen que memorizar UNA contraseña. Uno podría pensar que "una persona debería poder memorizar una contraseña, incluso con mi carácter especial, números y restricciones en mayúsculas y minúsculas, ¿no?"

Bueno, sí.

Pero el usuario no debe memorizar una contraseña, sino cinco diferentes en el trabajo y otras más en casa. Ahora tenemos una situación en la que el usuario tiene cinco contraseñas en diferentes temporizadores de cambio en los que el primero necesita al menos tres caracteres especiales, el segundo puede no comenzar con un número, el tercero no permite "$" y "/" por alguna razón, el cuarto debe tener exactamente 8 caracteres de largo y el quinto debe tener al menos 10 caracteres y debe tener 3 números.

¡Ahora adivina qué harán los usuarios! Ellos van a ...

a) dedica recursos infinitos para encontrar el sistema de contraseñas perfecto que satisfaga todos los temporizadores de cambio y las restricciones de contraseñas a la vez, utiliza contraseñas completamente independientes para los diferentes sistemas y aún puede ser memorizado

b) lanzar sus manos en el aire y darse por vencido. Escriba las contraseñas en un pedazo de papel (sin cifrar, por supuesto) y colóquelas en un cajón del escritorio.

c) utiliza todos los trucos del libro para aplacar de alguna manera todas las restricciones y aún así ser capaz de recordar todas las contraseñas. Esto incluye usar la misma contraseña para todos los sistemas siempre que sea posible (incluidos los sistemas de baja seguridad), usar números corrientes para apaciguar los temporizadores de cambio, usar un conjunto muy pequeño de contraseñas predeterminadas para que puedan adivinar su propia contraseña en un par de intentos (entre otras cosas).

De alguna manera, la mayoría de los tipos de seguridad parecen creer que a) es la respuesta correcta. Por mi vida, no puedo entender por qué, sin embargo.