Estoy implementando la validación de contraseña para las cuentas de AD. ¿Es peligroso publicar la lista de palabras prohibidas?

Navega tus respuestas
2

El filtro de contraseña realiza una comprobación simple: ¿La nueva contraseña contiene una entrada en la lista de palabras prohibidas?

En la práctica, la lista es una serie de palabras prohibidas y contraseñas conocidas.

Creo que es lógico que la lista sea pública. No queremos que las personas usen estas palabras en sus contraseñas, así que en lugar de tener que luchar, pueden al menos tener la opción de no tener que adivinar lo que está permitido y lo que no.

Estoy haciendo esta pregunta aquí porque creo que este concepto podría encontrarse con respuestas que son diferentes a las mías. p.ej. "¡No reveles la lista secreta!"

Y, de todos modos, la lista está en el recurso compartido de NETLOGON para que cualquiera pueda leerla si sabe dónde buscar. Mi punto es sobre si hacer que la disponibilidad sea obvia o no.

    
pregunta Chris76786777 27.12.2017 - 23:01
fuente

2 respuestas

3

El mayor riesgo que se me viene a la mente de inmediato es que hace que un ataque de diccionario sea algo más fácil. En lugar de probar todas las combinaciones posibles, un malvado tiene ciertas palabras que sabe que no debe intentar. En teoría, esto aceleraría ese tipo de ataque.

Dicho esto, sigue siendo un conjunto de soluciones bastante grande, así que no estamos hablando de un gran ahorro de tiempo. Y si está en su red, ya deberían estar dentro para obtener la lista.

Por otro lado, esto elimina las contraseñas encontradas aquí , haciendo que adivinar las contraseñas débiles conocidas sea inútil. Además, pone a disposición la lista de contraseñas no permitidas, lo que reduce la frustración del usuario (siempre que recuerden encontrarla ...) Tal vez algunas de las otras personas aquí no estarán de acuerdo, pero yo digo que siga adelante y que esté disponible. Todavía es un gran universo de contraseñas potenciales, las contraseñas en uso serán más sólidas y los usuarios podrán encontrar la lista de palabras prohibidas.

    
respondido por el baldPrussian 28.12.2017 - 00:12
fuente
1

Es más beneficioso publicarlo y excluirlo de posibles contraseñas. Si los prohibidos son opciones, los hackers siempre intentarán eso primero. Si no son opciones, tienen que adivinar por dónde empezar. Publicar la lista.

    
respondido por el LemonDev 28.12.2017 - 00:41
fuente

Lea otras preguntas en las etiquetas

Evita que GPG exponga parte de la clave privada Problemas de fuga y dcache de Meltdown y Specter vs.