Para un sitio web comercial, ¿es importante imponer alguna restricción en las contraseñas para acceder al sistema?
Por ejemplo. $ car especial, mayúsculas y minúsculas, números, al menos una longitud mínima ...
¿Puede un sistema CAPTCHA ser suficiente para sustituir las restricciones de contraseña?
Los sistemas CAPTCHA no reemplazan de ninguna manera una buena política de contraseñas. No están abordando los mismos problemas.
Los sistemas CAPTCHA solo ayudan cuando alguien está intentando un ataque en línea contra su sistema. Si su aplicación tiene algún agujero que le permite a un atacante volcar una base de datos llena de hashes de contraseña, colocar un CAPTCHA en cada página no hará nada.
Tenga políticas de contraseñas sólidas pero razonables para restringir a los usuarios el uso de contraseñas muy débiles.
Si mantiene un sitio web en el que los usuarios pueden registrarse y proteger su cuenta con una contraseña, entonces debería eliminar una política de longitud de contraseña mínima, y , por favor , nada más. Reglas más estrictas, la mayoría de las veces, contraproducente. Para una seguridad adecuada, debe contar con la cooperación del usuario, que solo existirá de forma voluntaria. Cuanto más haga cumplir , menos usuarios estarán dispuestos a ayudar. Hacer que los usuarios se enojen ya es un movimiento bastante estúpido cuando los usuarios son clientes (no quiere repeler a los clientes, ¿verdad?), Pero para la seguridad es mortal.
Un punto saliente es que la contraseña no está destinada a proteger a usted , sino a el propio usuario . Asegúrese de darlo a conocer al usuario. La educación es la clave, no la coacción.
Además de las políticas, puede proporcionar algunas herramientas útiles, por ejemplo, un generador automático de contraseñas: nada demasiado drástico, digamos 8 caracteres (me encantan las contraseñas que consisten en dos letras, luego dos dígitos, luego dos letras, luego dos dígitos: tales contraseñas, como 'ke89fz44', no son demasiado difíciles de memorice, y aún ofrezca una cantidad no ridícula de entropía, un poco más de 32 bits, que es más de lo que se puede esperar cuando los usuarios eligen "al azar" en su cabeza).
Creo que debería imponer algún nivel de requisitos de contraseña. Si los hashes de su contraseña se ven comprometidos y alguna persona desafortunada usó password123 como su contraseña, su cuenta podría verse comprometida muy rápidamente, incluso si las contraseñas están hashed y saladas. Un atacante humano con la contraseña de texto simple y el nombre de usuario fácilmente podría completar el CAPTCHA. CAPTCHA es más útil para disuadir ataques automatizados o para evitar que bots registren una tonelada de cuentas.
Los captchas se pueden romper con herramientas automatizadas. Las contraseñas complejas hacen que sea más difícil para los atacantes intentar con una fuerza bruta y ayuda a reducir la cantidad de contraseñas "comunes".
Las políticas de contraseña deben estar implementadas para los sitios web , sin duda. Trabaja con tus usuarios para determinar una política que tenga sentido.
A veces, una política de contraseña súper segura puede dar al sitio web una imagen de seguridad y estabilidad, que puede afectar la impresión del sitio de un usuario. O bien, una política de contraseña inconveniente puede desactivar a los usuarios. Encontrar un equilibrio es un truco, y es EL truco para la seguridad (equilibrar la facilidad de uso con la seguridad).
No. Debe utilizar inicio de sesión federado y evitar todo el problema. Seleccione un proveedor de identidad que coincida o supere el nivel de riesgo de la información que está protegiendo. Deja que se preocupen por las contraseñas.
Lea otras preguntas en las etiquetas authentication password-policy captcha