¿Cómo se determina una “contraseña de uso común”?

3

Cuando intento crear una máquina virtual en Azure y uso la contraseña P@ssw0rd , aparece un mensaje de error que dice The password you provided is too common .

Ahora, según mi entendimiento básico, un proveedor no debería poder determinar la contraseña más común ya que los hashes serán diferentes incluso si la contraseña es la misma debido a la sal.

Entonces, ¿cómo se implementa tal sistema? Supongo que Azure no está almacenando contraseñas de texto simple.

    
pregunta Akash 08.03.2014 - 17:16
fuente

3 respuestas

6

Una opción es usar una lista de contraseñas débiles bien conocidas. Esas listas están disponibles a partir de muchas violaciones del pasado en Internet. Por ejemplo, la lista de RockYou contiene las contraseñas de más de 32 millones de cuentas. Un método sería comparar su contraseña con las 1000 contraseñas más comunes (digamos). Si existe una contraseña similar a su contraseña, se considerará que su contraseña es débil. La similitud se puede calcular con la distancia de edición (por ejemplo, la distancia de Levinshtein), que es el número mínimo de inserciones / eliminaciones / sustituciones para transformar una cadena (es decir, en este caso la contraseña) en la otra.

Otra solución es utilizar un enfoque que se describe en el documento "Medidores adaptativos de resistencia de contraseña de modelos de Markov" ( enlace ). Aquí solo se almacenan y se cuentan n-grams de todas las contraseñas para crear Modelos Markov a partir de las contraseñas. Estos modelos de Markov se utilizan para calcular la fortaleza de las contraseñas. La ventaja de este enfoque es que el modelo de Markov se adapta a la distribución de contraseñas del sitio específico. Por ejemplo, los usuarios de RockYou a menudo tienden a usar contraseñas que contienen la cadena "rockyou" de alguna forma. Por lo tanto, para RockYou estas contraseñas similares a esta deben considerarse como débiles. Para otros sitios web hay otras contraseñas débiles específicas del sitio.

    
respondido por el DanielE 08.03.2014 - 21:09
fuente
3

No están diciendo que sea demasiado común en Azure, lo que de hecho haría que su seguridad sea cuestionable.

Simplemente dicen que es demasiado común. En Internet puede encontrar listas de contraseñas de uso frecuente (tal vez filtradas por sitios web inseguros en el pasado) y probablemente usen una de esas listas.

    
respondido por el Jeff 08.03.2014 - 20:43
fuente
1

Simplemente ejecutan su contraseña de texto simple a través de una base de datos o algoritmo de búsqueda de contraseña común antes de realizar el hashing y guardar.

    
respondido por el schroeder 10.03.2014 - 19:24
fuente

Lea otras preguntas en las etiquetas