No permitir una nueva contraseña si contiene una secuencia de 4 caracteres presentes en 10 contraseñas usadas anteriormente [duplicar]

Navega tus respuestas
1

Me forzaron a cambiar mi contraseña a una cuenta (institución grande) y tenía la regla de que la nueva contraseña no puede contener una serie de 4 caracteres consecutivos que estaban en 10 contraseñas usadas anteriormente. Por ejemplo, si mi contraseña actual tenía la secuencia "abcd", las siguientes 10 contraseñas no pueden contener "abcd".

Mi primera suposición es que la institución está almacenando 10 contraseñas anteriores de manera decodificable. Por lo tanto, mi pregunta es: ¿existe alguna forma de que puedan realizar este procedimiento de manera segura?

En otra pregunta tenemos una comparación con la contraseña actual que proporcionaría el usuario, pero no trata con 10 (!) contraseñas anteriores.

    
pregunta Dennis 23.03.2017 - 16:13
fuente

4 respuestas

3

Sí, esto se puede implementar de forma segura mediante el uso de un HSM. hay una pregunta existente sobre esto aquí

    
respondido por el Rоry McCune 23.03.2017 - 16:21
fuente
1

Esto no se puede implementar de forma segura.

Si pueden verificar si hay cuatro caracteres en las contraseñas, un atacante también puede hacerlo. En lugar de forzar la contraseña completa de forma bruta, un atacante ahora puede adivinar cuatro caracteres a la vez.

    
respondido por el Sjoerd 23.03.2017 - 16:20
fuente
1

Bueno, una forma sencilla y casi segura es registrar solo una contraseña antigua en el momento en que el usuario declara su nueva contraseña; es posible porque la mayoría de las formas de ingresar una nueva contraseña primero requieren la anterior.

De esa manera, incluso si la lista de contraseñas antiguas estuviera comprometida, un atacante no podría usarla para conectar el sistema en su nombre porque la contraseña anterior está garantizada porque la política no estará activa. Podría apostar una moneda que realmente se usa en algunas organizaciones sin un HSM ...

Desafortunadamente, en un mundo real con usuarios humanos, esta no es una forma inofensiva, ya que si un usuario usa una lista de acceso de 11 contraseñas, el atacante debería simplemente esperar un mes o dos, y debería obtener la contraseña de forma no automática. más de 10 intentos ... ¡Incluso si la política ha sido respetada!

De todos modos, en mi humilde opinión, el mayor problema si pocos usuarios pueden crear 10 contraseñas diferentes buenas y recordarlas. Por lo tanto, el riesgo de que un usuario escriba su propia lista de once contraseñas es alto, y el lugar más débil en la cadena de seguridad ya no es el almacenamiento seguro para la lista de contraseñas antiguas (HSM tiene una reputación suficientemente buena para eso) sino más simplemente el escritorio cajón que contiene la lista ...

La seguridad que viene a expensas de la usabilidad viene a expensas de la seguridad ...

    
respondido por el Serge Ballesta 23.03.2017 - 16:58
fuente
1

Obviamente, ellos conocen tu actual, así como lo que te gustaría que fuera tu nueva contraseña.

En mi tienda anterior, creamos un módulo PAM personalizado para implementar contraseñas seguras. La forma en que manejamos las contraseñas históricas fue guardando el hash de criptografía de la tabla de la sombra para los últimos N casos. Luego, generaríamos nuevos hash de contraseñas de cifrado manipulando la nueva contraseña para ver si coincidía con alguno de los últimos hash de N

Por supuesto, lo anterior no manejaría fácilmente la complejidad del cheque que está observando. Así que probablemente haya algunas formas de ver las contraseñas históricas de los usuarios, pero debemos esperar que su solución sea lo suficientemente segura.

    
respondido por el sleepyweasel 23.03.2017 - 18:15
fuente

Lea otras preguntas en las etiquetas

Almacenar números de tarjetas de crédito para pagos empresariales ¿Actividad extraña en mi computadora, posiblemente pirateo?