GitHub desea que elija una contraseña que nunca haya sido utilizada por nadie en ningún sitio en ningún momento del historial de Internet.
Esa es la idea general, aunque la reformularía como
GitHub desea que elija una contraseña que nunca haya aparecido en ninguna lista de contraseñas crackeadas para cualquier usuario en cualquier sitio en el historial de Internet.
Justificación:
Cada vez que un sitio famoso obtiene una contraseña pirateada, los piratas informáticos publican la lista de username:email:password
s para todos los usuarios de ese sitio en el momento del ataque. El sitio haveibeenpwned.com cataloga todos los username:password
s donde la contraseña está disponible públicamente. ¡Debes revisar aquí cada uno o dos meses (o registrarte en su servicio de notificación) para asegurarte de que no estés en la lista! Este es solo el username:email:password
s que se conoce públicamente, estoy seguro de que los grupos de hackers de darkweb tienen muchos más de los que se han conocido.
Esto conduce a un par de tipos diferentes de ataques que github probablemente está tratando de evitar con esta política de contraseña.
Ataques de reutilización de contraseña
Los atacantes que intentan ingresar a su cuenta pueden buscarlo en las redes sociales y hacer una lista de todos los nombres de usuario / cuentas que le pertenecen. Luego, pueden buscarlos en las bases de datos de contraseñas crackeadas y obtener una breve lista de contraseñas que usted ha usado en el pasado. Sabemos que los usuarios tienden a reutilizar la misma contraseña en diferentes sitios.
Github no quiere meterse en el juego de tratar de adivinar qué cuentas de otros sitios le pertenecen, por lo que es más fácil decir "cualquier persona en cualquier sitio en cualquier momento en la historia de Internet".
Ataques de diccionario
Los atacantes hacen más descifrado de contraseñas generales, generalmente después de haber robado una base de datos de contraseñas cifradas, no pueden adivinar todas las contraseñas posibles porque hay demasiadas, por lo que usarán métodos basados en diccionarios para las contraseñas. . Las listas de contraseñas crackeadas (ordenadas con mayor frecuencia primero) son un buen diccionario para usar.
Dadas las velocidades actuales de la GPU, si su contraseña es una de las mil millones de contraseñas más utilizadas en esas listas, entonces es probable que sea vulnerable.
Una vez más, es más fácil para github simplemente prohibir todas las contraseñas en las listas de contraseñas crackeadas.
También preguntas:
¿Cuáles son las implicaciones? ¿Deletrea el final de las contraseñas humanas memorables?
Sí, probablemente. Con el tiempo, las listas de contraseñas crackeadas se harán más y más largas con menos contraseñas fáciles de recordar (también conocidas como "débiles") disponibles para elegir. Esto probablemente acelerará la desaparición de las contraseñas, causará que más R & D se centre en hacer que los administradores de contraseñas / Yubikeys, etc. sean más fáciles de usar y forzará a las personas más allá de los nerds de seguridad para que empiecen a usarlas. Probablemente esto es algo bueno. ¡Espero que más sitios comiencen a hacer esto!