Marque la “seguridad” de una contraseña [cerrado]

Navega tus respuestas
1

Estoy tratando de encontrar una herramienta para validar la seguridad de una contraseña y encontré cracklib o libcrack2 (en Debian), que parece que se usa mucho para la tarea y parece que lo hace. exactamente lo que quería.

Sin embargo, en realidad no representa los requisitos que imaginé. Para muchos casos, parece que tiene algunos controles apropiados (por ejemplo, palabras invertidas basadas en diccionarios, demasiado simplistas, ...).

Lo siguiente explica lo que quiero decir: 

$ echo "wordpass" | cracklib-check
wordpass: OK

Ahora, wordpass no es lo que imagino que sea una contraseña segura.

No tengo una política de contraseña específica que esté siguiendo, ni tengo un cierto valor para la entropía deseada de la contraseña. Definir "seguro" en términos de contraseñas es una tarea compleja. Dado que la contraseña se usa para un sistema Linux que usa PAM, si un atacante no puede descifrarlo con tablas de arco iris o fuerza bruta dentro de una semana, lo consideraría seguro.

¿Cómo podría simplemente verificar la seguridad de una contraseña dada en un sistema Linux?

EDIT : he encontrado una herramienta más razonable con otra herramienta, passwdqc : 

$ echo "wordpass" | pwqcheck -1
Bad passphrase (not enough different characters or classes for this length)

Pero, como lo mencionó el usuario @Hector, la pregunta es muy vaga y en esta forma no es realmente responsable, así que votaré para cerrar la pregunta. pero no lo eliminará, ya que puede ser utilizado por otra persona que no esté satisfecha con el enfoque cracklib . 

$ echo "MyP@ssw0rd" | pwqcheck -1
OK
    
pregunta SaAtomic 14.11.2017 - 15:02
fuente

2 respuestas

4

No hay un proceso simple que pueda hacer esto. Por ejemplo, ¿una palabra oscura del diccionario de inglés es más o menos segura que "MyP @ ssw0rd"?

La aplicación de reglas que requieren símbolos y números lleva a los usuarios a usar "password1!" etc. y obligar a los usuarios a rotar las contraseñas lleva a "password1", "password2" etc.

  

si un atacante no puede descifrarlo con tablas de arco iris o fuerza bruta dentro de una semana

¿A través de qué mecanismo? ¿Sobre una red con limitación de velocidad? ¿Tienen acceso a los hashes almacenados? Necesitas mucho más contexto para que "una semana" tenga alguna relevancia. Para una fuerza bruta, ¿están incrementando los valores de bytes o usando un diccionario? Que diccionario - todo lo que necesita es que un usuario reutilice una contraseña segura en un sitio pirateado ...

  

Estoy tratando de encontrar una herramienta para validar la seguridad de una contraseña

Personalmente sugeriría una combinación de límite de caracteres (> = 10 caracteres) combinada con la comprobación de la contraseña con listas de contraseñas conocidas que se han filtrado. Por ejemplo, Have I Have Pwned mantiene una lista de varios cientos de millones de hashes SHA1 de contraseñas filtradas . Si el SHA1 de la contraseña ingresada por el usuario no está allí, es probable que no sea atacado / atacado por el diccionario.

    
respondido por el Hector 14.11.2017 - 15:11
fuente
1

Tu objetivo es admirable. Recomendaría el siguiente enfoque:

A) Requerir una longitud mínima de 12 (esto elimina el 80% de la lista HIBP automáticamente), y permitir contraseñas de larga duración (para acomodar frases de contraseña). (Incluso podría tener alguna ayuda de contexto para alentar a las personas a usar una frase de contraseña y para indicarles que usen un administrador de contraseñas).

B) Use un sistema de listas negras con una lista negra más pequeña, como zxcvbn de Dropbox , personalizado para incluir también la lista RockYou y las palabras comunes en los idiomas de su base de usuarios, y elimine cualquier palabra que tenga menos de 12 de longitud. La lista HIBP es una exageración masiva para fines de listas negras.

C) Use un hash fuerte y lento (como bcrypt al costo 12). Esto aumenta dramáticamente el costo para el atacante.

D) Si tiene el presupuesto, considere almacenar material adicional (una clave de cifrado o un pimiento) en un HSM .

La resistencia a las tablas de arco iris debe ser irrelevante, ya que debes usar un hachís adecuadamente salado.

    
respondido por el Royce Williams 14.11.2017 - 17:17
fuente

Lea otras preguntas en las etiquetas

Pentesting aplicaciones web con cadenas únicas en la URL ¿Cómo puede el usuario obtener acceso para iniciar sesión cuando las contraseñas se almacenan en MD5?