Problemas con requisitos de contraseña no definidos [duplicar]

Navega tus respuestas
1

Una de mis molestias es cuando los sitios web intentan obligarme a usar caracteres o una política de contraseña que me dificulta recordar (por ejemplo, un número, minúsculas, mayúsculas, caracteres especiales, 5 a 10 caracteres) ...

¿Cuáles serían los inconvenientes de simplemente tener una calculadora de seguridad de contraseña y solo permitir contraseñas "fuertes"?

Por ejemplo, tal vez a una persona solo le gusta usar palabras para que puedas permitir "thehorselikestodrinkwater", ya que su longitud lo hace fuerte, pero también permite "! Pf-4", ya que su complejidad lo hace fuerte.

    
pregunta TruthOf42 07.02.2014 - 21:06
fuente

2 respuestas

3

El problema es la complejidad de la programación. La prueba de la presencia de mayúsculas y minúsculas, números y puntuación es extraordinariamente simple.

Probar la fortaleza de las contraseñas en el sentido real y práctico es sorprendentemente difícil. Lo que realmente te importa es si la contraseña se agrietará o no, no la cantidad de caracteres especiales que contiene. La contraseña apwyfzsdjn es mucho más segura que Baseb4all! , aunque la mayoría de los que prueban contraseñas preferirán esta última.

El proyecto zxcvbn es un comprobador de contraseñas basado en Javascript que intenta realizar un análisis de seguridad de la contraseña razonable basado en la complejidad y (lo que es más importante) la búsqueda en el diccionario, y ciertamente hace un mejor trabajo que el tipo de prueba "debe contener puntuacion".

Pero es un problema difícil de resolver.

    
respondido por el tylerl 07.02.2014 - 22:30
fuente
1

En general, la complejidad no es tan importante como la longitud, sin embargo, la complejidad más la protección de aumento de longitud contra intentos de contraseña de fuerza bruta pura.

Su ejemplo de! Pf-4 se rompería rápidamente sin importar la "complejidad" porque la cantidad de intentos para adivinar sería como máximo 7,820,126,495 (95 ^ 5 + 95 ^ 4 + 95 ^ 3 + 95 ^ 2 + 95) Siendo 95 el número de caracteres posibles. Un Core i7 lo romperá en ningún momento.

Por cada aumento en la longitud de la contraseña, aumenta el número de conjeturas requeridas por una magnitud de potencia. El problema real es que la mayoría de los crackers de contraseñas que saben lo que están haciendo utilizan ataques de diccionario personalizados junto con ataques de fuerza bruta que pueden comprometer incluso frases de paso largo con bastante facilidad.

También puede depender de qué hash criptográfico se utilizó para cifrar las contraseñas. Hay problemas de seguridad conocidos con algunos hashes como MD5 y hay hashes más fuertes como bcrypt que se consideran algoritmos de hashing "lentos" porque requieren más tiempo para revisar cada hash.

Le recomendaría que revise este artículo sobre el descifrado de contraseñas.

enlace

    
respondido por el JadedCore 07.02.2014 - 21:55
fuente

Lea otras preguntas en las etiquetas

Contenido recuperado de una URL no protegida del servidor del propietario del contenido. ¿Legal? [cerrado] Necesita aprender acerca de la dirección IP