Seguridad de la contraseña: ¿cuánto importan los caracteres no alfanuméricos? [duplicar]

1

Tenemos una discusión en nuestra compañía sobre la seguridad de la contraseña para nuestra aplicación.

Además del hecho de que usamos autenticación de 2 factores (certificados + inicio de sesión / contraseña), actualmente aplicamos contraseñas con al menos 12 caracteres de longitud.

Actualmente no se aplica el uso de caracteres no alfanuméricos. Y desde mi perspectiva, hay poca o ninguna ganancia en seguridad, cuando el usuario se ve obligado a mezclar (caracteres no alfanuméricos).

Según tengo entendido, si tiene el alfabeto de posibles caracteres, la entropía para 123456789012 y !"§$%&/()=!" debe ser la misma y ambas contraseñas deben tener el "mismo grado" de seguridad (las opciones tomadas desde el alfabeto son diferentes, pero el alfabeto es el mismo).

La única diferencia sería la información al atacante, que la primera contraseña utiliza solo un subconjunto del alfabeto, lo que reduciría la entropía.

Por otra parte, lo que hace que la primera contraseña sea "insegura" es el hecho de que es realmente predecible; las posibilidades son altas para una coincidencia rápida si se usa un diccionario. Dado el hardware lento y un diccionario, realmente importaría elegir uno sobre el otro.

Pero con el poder actual (GPU / Cloud) para bruteforcing , la diferencia en seguridad es desde mi punto de vista despreciable, por lo que es válido decir: uno es tan seguro como el otro.

tl;dr

¿Es la diferencia en la seguridad entre 123456789012 y !"§$%&/()=!" como contraseñas hoy en día despreciable?

(hash fuerte y uso de sales presumidas).

    
pregunta Thomas Junk 09.12.2016 - 14:46
fuente

1 respuesta

4

Hay dos factores aquí.

En primer lugar, usted es correcto, la entropía es la misma. Lo importante es el espacio de direcciones, no la utilización de ese espacio. Entonces, mientras los usuarios puedan usar símbolos, etc., eso es lo que importa en primera instancia.

Sin embargo, el segundo factor es la capacidad de adivinación o la capacidad de interrupción. ¿Se puede adivinar una contraseña usando tablas de arco iris? ¿Puede una contraseña forzarse a la fuerza bruta (por ejemplo, todos los caracteres son iguales). Tu ejemplo de 123456789012 no tiene nada que ver con esto, ya que seguramente estará en una tabla de arco iris decente porque es simple y común.

Por lo tanto, la mejor práctica actual para las contraseñas es que se permiten caracteres extendidos pero no se aplican reglas específicas (que en cualquier caso reducen el espacio de direcciones). Alienta códigos de acceso más largos - nota de "códigos", quitando el énfasis a "palabras" - los códigos de acceso buenos pueden ser memorables pero no son adivinables. Y finalmente, debido a que está fomentando la complejidad, no estaría aplicando cambios de código de acceso de 30, 60 o incluso 90d. Al menos para las ID individuales, las ID de administrador / compartidas pueden ser un poco diferentes.

Mi opinión es que este enfoque es un buen equilibrio entre facilidad de uso y mayor seguridad. Pero creo que lo ideal sería auditar las bases de datos de códigos de acceso periódicamente para buscar códigos de acceso débiles.

    
respondido por el Julian Knight 09.12.2016 - 14:59
fuente

Lea otras preguntas en las etiquetas