¿Cómo entender la política de contraseñas de GitHub?

2

Hoy intenté cambiar mi contraseña en GitHub, pero el sitio rechazó mi nueva contraseña:

  

La nueva contraseña que proporcionó también ha sido reportada como comprometida debido a la reutilización de esa contraseña en otro servicio por parte de usted u otra persona. GitHub no se ha comprometido directamente. Tu contraseña no fue guardada Por favor, elija una contraseña más fuerte.

¿Entiendo correctamente? GitHub desea que elija una contraseña que nunca ha sido utilizada por nadie en cualquier sitio en en cualquier momento en el historial de Internet. Veo que eso es más seguro, pero ...

¿Más sitios harán esto? ¿Cuáles son las implicaciones? ¿Deletrea el final de las contraseñas humanas memorables?

Sugerencia de GitHub para usar una contraseña generada al azar guardada en un administrador de contraseñas. ¿Qué pasa con las personas que prefieren una contraseña memorable? En mi caso, uso varias computadoras y no poseo un teléfono inteligente.

En mi caso, GitHub finalmente aceptó una frase de contraseña más larga. Mi cuenta también está protegida por autenticación de dos factores con una clave U2F.

    
pregunta Colonel Panic 16.08.2018 - 16:46
fuente

3 respuestas

3
  

GitHub desea que elija una contraseña que nunca haya sido utilizada por nadie en ningún sitio en ningún momento del historial de Internet.

Esa es la idea general, aunque la reformularía como

  

GitHub desea que elija una contraseña que nunca haya aparecido en ninguna lista de contraseñas crackeadas para cualquier usuario en cualquier sitio en el historial de Internet.

Justificación:

Cada vez que un sitio famoso obtiene una contraseña pirateada, los piratas informáticos publican la lista de username:email:password s para todos los usuarios de ese sitio en el momento del ataque. El sitio haveibeenpwned.com cataloga todos los username:password s donde la contraseña está disponible públicamente. ¡Debes revisar aquí cada uno o dos meses (o registrarte en su servicio de notificación) para asegurarte de que no estés en la lista! Este es solo el username:email:password s que se conoce públicamente, estoy seguro de que los grupos de hackers de darkweb tienen muchos más de los que se han conocido.

Esto conduce a un par de tipos diferentes de ataques que github probablemente está tratando de evitar con esta política de contraseña.

Ataques de reutilización de contraseña

Los atacantes que intentan ingresar a su cuenta pueden buscarlo en las redes sociales y hacer una lista de todos los nombres de usuario / cuentas que le pertenecen. Luego, pueden buscarlos en las bases de datos de contraseñas crackeadas y obtener una breve lista de contraseñas que usted ha usado en el pasado. Sabemos que los usuarios tienden a reutilizar la misma contraseña en diferentes sitios.

Github no quiere meterse en el juego de tratar de adivinar qué cuentas de otros sitios le pertenecen, por lo que es más fácil decir "cualquier persona en cualquier sitio en cualquier momento en la historia de Internet".

Ataques de diccionario

Los atacantes hacen más descifrado de contraseñas generales, generalmente después de haber robado una base de datos de contraseñas cifradas, no pueden adivinar todas las contraseñas posibles porque hay demasiadas, por lo que usarán métodos basados en diccionarios para las contraseñas. . Las listas de contraseñas crackeadas (ordenadas con mayor frecuencia primero) son un buen diccionario para usar.

Dadas las velocidades actuales de la GPU, si su contraseña es una de las mil millones de contraseñas más utilizadas en esas listas, entonces es probable que sea vulnerable.

Una vez más, es más fácil para github simplemente prohibir todas las contraseñas en las listas de contraseñas crackeadas.

También preguntas:

  

¿Cuáles son las implicaciones? ¿Deletrea el final de las contraseñas humanas memorables?

Sí, probablemente. Con el tiempo, las listas de contraseñas crackeadas se harán más y más largas con menos contraseñas fáciles de recordar (también conocidas como "débiles") disponibles para elegir. Esto probablemente acelerará la desaparición de las contraseñas, causará que más R & D se centre en hacer que los administradores de contraseñas / Yubikeys, etc. sean más fáciles de usar y forzará a las personas más allá de los nerds de seguridad para que empiecen a usarlas. Probablemente esto es algo bueno. ¡Espero que más sitios comiencen a hacer esto!

    
respondido por el Mike Ounsworth 16.08.2018 - 17:10
fuente
1
  

¿Entiendo correctamente? GitHub desea que elija una contraseña que nunca haya sido utilizada por nadie en ningún sitio en ningún momento del historial de Internet.

Duh. Eso es el uso de la contraseña 101: elija una contraseña segura y única. ¿Por qué querría elegir una contraseña que otros conozcan?

Si Github sabe que esta contraseña fue utilizada por otra persona en algún momento, aparentemente esa contraseña fue descifrada en el pasado. Eso significa que los atacantes también pueden saber esto y descifrar su cuenta.

Como las cuentas pirateadas no son de interés para Github, requieren que uses una contraseña segura. Eso no me suena irrazonable.

  

¿Qué pasa con las personas que prefieren una contraseña memorable?

Aún puede usar una contraseña segura, aunque dependiendo de la frecuencia con la que inicie sesión en Github, una única podría ser difícil. Genere una contraseña al azar, escríbala y memorícela en los próximos días. Luego quema o tritura el papel.

A veces un administrador de contraseñas es imposible. Por ejemplo, no puede usar su administrador de contraseñas cuando aún está en su pantalla de inicio de sesión. Entonces, cuando comienzo un nuevo trabajo (o algo más en el que obtienes una computadora), genero una contraseña para mi cuenta de usuario y la escribo. Cada vez que inicio sesión, trato de recordar algunos caracteres más. Después de unos días, confío en que no lo olvidaré y puedo destruir la nota. Cuando deje de trabajar allí, olvidaré la contraseña después de unos meses de desuso, pero está bien.

Esto no funciona si necesita una contraseña única para cincuenta sitios web, pero es por eso que inventamos los administradores de contraseñas. Tienen todo tipo de opciones de sincronización, por lo que trabajar en múltiples computadoras no es una excusa.

    
respondido por el Luc 16.08.2018 - 17:23
fuente
1

Sí, es probable que más sitios comiencen a hacer esto, ya que se ha convertido en una recomendación del NIST para verificar las nuevas contraseñas de los usuarios contra las violaciones de contraseñas existentes. Más importante aún, ahora hay un recurso público disponible para que puedan verificar las contraseñas en su contra . Este es un intento de evitar los ataques de "relleno de credenciales", así como hacer que los ataques de diccionario contra las violaciones de la base de datos sean mucho más difíciles. Una buena información sobre la política de contraseñas está disponible en Troy Hunt si está interesado en algunos de los razonamientos y en algunas acciones que usted como usuario puede realizar.

No deletrea el final de las contraseñas memorables. Existen técnicas para generar una contraseña memorable (pero todavía fuerte y única) que se basa en la aleatoriedad, como diceware que utiliza de 5 a 8 palabras seleccionadas al azar en una frase de contraseña, frases de contraseña aleatorias gramaticalmente correctas de longitudes variables o contraseñas pronunciables que seleccionan sílabas al azar.

Pero recordar más de algunos de estos, y recordar qué contraseña va con qué servicio, también es difícil. Por lo tanto, para usted como usuario, lo importante es que debe usar un administrador de contraseñas. Genere una contraseña súper fuerte pero memorable, recuerde eso, úsela como su contraseña maestra y nunca necesitará ver cuál es su contraseña para Github o su banco o Facebook o lo que sea. No tener un teléfono inteligente no es necesariamente un problema, incluso si usa varias computadoras, ya que muchos administradores de contraseñas tienen una opción de instalación portátil que puede colocar en una memoria USB, o tener una extensión de navegador o un sitio web que le puede dar acceso. a sus contraseñas.

    
respondido por el Ben 16.08.2018 - 17:18
fuente

Lea otras preguntas en las etiquetas