¿Cuál es el argumento de la regla de contraseña bastante frecuente "No más de n caracteres repetidos"?

4

Por lo tanto, entiendo por qué se utilizan las políticas de contraseña más utilizadas.

¿Mínimo de caracteres N? No quedan frutos bajos para ataques de fuerza bruta.

¿N caracteres máximos? El campo de la base de datos solo puede ser tan largo.

¿No hay unicode? La base de datos subyacente no lo admite.

¿Incluir al menos una letra, carácter especial, número y heredero? agrega algunos bits adicionales necesarios.

Sin embargo, el que no puedo entender de por vida es la regla en la que no pueden existir más de n caracteres consecutivos (generalmente dos de lo que me he encontrado) en la contraseña. No puedo pensar en una razón técnica para hacer esto, y en realidad reduce el conjunto de contraseñas disponibles, lo que hace que el ataque de fuerza bruta tome menos tiempo. Esta práctica parece demasiado extendida para no tener alguna justificación , simplemente no puedo pensar en lo que podría ser.

    
pregunta Sidney 21.08.2015 - 08:16
fuente

4 respuestas

1

Esta regla no tiene mucho sentido. Creo que la razón entre esta regla es evitar que las personas rellenen sus contraseñas cortas con la repetición de un carácter (que es un patrón, por lo tanto, identificable por los crackers de contraseñas) para cumplir con la longitud mínima, en lugar de ingresar caracteres diferentes para crear una contraseña más compleja.

Por ejemplo, si el usuario ingresa Jane1 como contraseña y la longitud mínima es 8, se rechazará. Entonces, el usuario podría elegir Jane1111 . Con la regla impuesta, se verá obligado a elegir algo como Jane1yxc . Sin embargo, también podría elegir Jane1234 , que en realidad es más inseguro que Jane1111.

    
respondido por el dr01 21.08.2015 - 16:24
fuente
0

Simplemente está tratando de evitar que las personas reduzcan la regla de longitud mínima agregando caracteres.

por ejemplo aB3 no se acepta porque necesito ocho caracteres, por lo tanto, usaré aB3xxxxx .

Reglas como esta son simplemente una batalla perdida para los propietarios del sitio. Deben alentar y aconsejar a los usuarios cómo elegir contraseñas seguras, en lugar de imponer reglas que los usuarios puedan eludir. Por ejemplo, podrían simplemente eludir lo anterior usando aB3qwerty .

    
respondido por el SilverlightFox 22.08.2015 - 09:47
fuente
0

Esto solo crea una pequeña disminución en el espacio clave. Si asumimos que nuestras contraseñas tienen 10 caracteres de longitud y están dibujadas en mayúsculas y minúsculas y en números (hasta 62 caracteres), entonces hay 62 ^ 10 contraseñas.

Prohibir dos caracteres repetidos básicamente significa que eliminamos, después del primer carácter, una opción para cada carácter futuro. Eso es 62 * 61 ^ 10, que es un 14% más pequeño.

El "no 3 caracteres repetidos" (que he visto ocasionalmente) reduce el espacio de teclas mucho menos, menos del 0.1%.

El objetivo de este requisito es reducir la posibilidad de que los usuarios escriban contraseñas "fáciles de hackear". En general, las herramientas de pirateo de contraseñas no comienzan con aaaaaaaaaa y solo se abren camino a través de todas las contraseñas posibles, buscan contraseñas "probables" y las creadas tomando una o dos palabras del diccionario, uniéndolas y agregando algunos números. , la puntuación, o las letras repetidas, son el mejor lugar para comenzar (ya que así es como la mayoría de las personas construyen sus contraseñas).

    
respondido por el Chris Jefferson 16.10.2016 - 20:02
fuente
0

Creo que es más exacto decir que es una técnica para garantizar un nivel de entropía. Esto se puede identificar comúnmente mediante la técnica de N-GRAM para predecir texto / discurso. Este es un método basado en la probabilidad de que un patrón se repita.

Supongo que puede reducir su fuerza bruta computacional si puede predecir con éxito cuándo un usuario va a repetir un patrón.

    
respondido por el Shane Andrie 21.08.2015 - 20:50
fuente

Lea otras preguntas en las etiquetas