¿Por qué los sitios web obligan al usuario a usar una contraseña larga y complicada cuando la fuerza bruta no es posible?

2

si tiene un teléfono con un pin de 4 dígitos y el teléfono no se bloquea, no importa cuántas veces haya colocado el pin incorrecto, tiene sentido utilizar 10 o 16 dígitos, ya que aumentará el tiempo que necesita el atacante agrieta el alfiler y haz que suene imposible de romper.

Sin embargo, en estos días, incluso los sitios web simples impiden que el usuario intente contraseñas aleatorias después de 3 o 5 intentos, a mi entender esto mata todo el concepto de fuerza bruta.

Tiene que haber algo mal con mi forma de pensar, ¿qué me estoy perdiendo?

    
pregunta Ulkoma 10.11.2015 - 14:17
fuente

2 respuestas

7

Hoy en día, las políticas de contraseña de escenario a las que hay que defenderse es el robo de la base de datos completa de contraseñas. Esto es algo que sucede con una frecuencia alarmante incluso en sitios web de gran reputación.

Cuando los desarrolladores del sitio web siguen las mejores prácticas comunes, las bases de datos de contraseñas generalmente no contienen las contraseñas de texto simple, sino que almacenan un hash de cada contraseña. Un atacante que tenga acceso a estos datos puede realizar un ataque de fuerza bruta sin conexión al calcular los valores hash de las contraseñas débiles comunes y compararlos con los hashes en la base de datos. Para defenderse contra este tipo de ataque, los usuarios deben estar motivados para usar contraseñas seguras.

    
respondido por el Philipp 10.11.2015 - 14:40
fuente
0

Su contraseña también se puede usar para obtener / proteger una clave de cifrado que se usa para derrotar a jugadores como la NSA.

Imagine que NSA realmente tiene acceso sin restricciones a las redes internas del popular proveedor de servicios A, pero no puede cambiar el código que se ejecuta en los servidores de A. A continuación, encripta todos los datos del usuario con claves aleatorias y las claves se encriptan con las contraseñas del usuario antes de que se almacenen en los servidores de A. Ahora, aunque NSA puede ver todo el tráfico y el contenido del servidor, a menos que rompan las barreras de memoria entre procesos en el servidor, no pueden acceder a ninguna clave secreta o datos del usuario. Su único ataque aquí es forzar la contraseña del usuario contra la clave cifrada.

Aquí, la NSA también puede ser otros actores nacionales o la aplicación de la ley con garantía.

    
respondido por el billc.cn 10.11.2015 - 18:48
fuente

Lea otras preguntas en las etiquetas