¿Son necesarias las contraseñas complejas en las aplicaciones web? [duplicar]

Navega tus respuestas
2

Si hay una aplicación web que contiene datos importantes, ¿qué tan importante es usar una frase de contraseña compleja / larga / segura?

Cuando uso, por ejemplo, algo como "applefreezer" como contraseña para mi cuenta de administrador en un foro, uno diría que no es muy seguro. Sin caracteres especiales, no lo suficientemente largos, palabras y combinaciones predecibles. Y, por supuesto, nunca usaría esto con un hardware importante encriptado.

Pero si sé que una aplicación web está programada para evitar ataques de fuerza bruta e incluso listas de contraseñas, ¿por qué debería necesitar una frase de contraseña que resista este tipo de ataques?

Una razón podría ser que alguien pueda descifrar la contraseña cuando hackee datos de mi base de datos. Pero honestamente, si alguien hackea el servidor, la contraseña no tiene sentido de todos modos. Por supuesto, es importante que no se reutilice en otras aplicaciones.

TL; DR ¿Necesito contraseñas complejas para las aplicaciones que evitan los ataques de lista / fuerza bruta?

    
pregunta 22.02.2017 - 20:23
fuente

2 respuestas

3

Suponiendo que tiene implementadas todas las técnicas populares de prevención de la fuerza bruta. Todavía eres un servicio web que sirve a los usuarios. Por lo tanto, debe permitir cierto margen de maniobra en los procedimientos de inicio de sesión. Ahora, es más probable que los ataques de fuerza bruta de inicio de sesión estén dirigidos a objetivos de alto valor, por lo que un atacante probablemente se comprometa a comprometer su cuenta.

Suponiendo que un atacante puede probar 10 contraseñas por hora (probablemente más estricto que cualquier servicio web normal), aún es posible probar 7200 contraseñas por mes desde un único punto final de ataque. Ahora considere un atacante dedicado con más de una computadora que intenta iniciar sesión en su cuenta.

Esto hace que las contraseñas como applefreezer que estén cerca de la parte superior de las listas de contraseñas, sean algo vulnerables. Dependiendo del valor que uno asigne a su cuenta en ese servicio web específico, puede ser tolerable o no.

Por lo tanto, hay razones por las cuales las contraseñas seguras deben usarse en cualquier lugar, sin importar las otras defensas. Pero si no eres un objetivo de alto valor, entonces sí, las técnicas de mitigación de la fuerza bruta son una defensa bastante sólida, incluso con una contraseña débil.

TL; DR: Tienes razón, las mitigaciones de fuerza bruta son suficientes para permitirte usar una contraseña débil. Pero como la fuerza bruta generalmente se dirige a objetivos de alto valor, un atacante será lo suficientemente paciente como para intentar el tiempo suficiente y romper contraseñas débiles.

    
respondido por el MiaoHatola 22.02.2017 - 21:01
fuente
0

Supongo que el mayor peligro de usar applefreezer como contraseña sería que, en caso de una infracción, un atacante aprendería algo sobre el tipo de contraseñas desechables que usa. Entonces, aunque no tenga suerte con Applefreezer en otro sitio, podría usarlo como una sugerencia cuando construya su próximo ataque. Eso suponiendo que te esté apuntando específicamente.

    
respondido por el Pascal 22.02.2017 - 23:15
fuente

Lea otras preguntas en las etiquetas

IDs seguras y QR Generar token seguro criptográficamente en mySQL