¿Por qué las frases de contraseña no son el estándar?

Navega tus respuestas
1

He visto muchas preguntas con respecto a las contraseñas: cómo para medir la fortaleza de la contraseña , por qué no seleccionamos contraseñas para los usuarios y obviamente la mejor: contraseñas vs frases y en la que me gustaría centrarme un poco más.

Algo que nunca he entendido es, si creas una frase de contraseña, cualquiera que sea. digamos: ILoveAskingUselessQuestions (o incluso separados por espacios) o una contraseña: 1L @ UQ, ahora entiendo que la contraseña es más corta, por lo que es más fácil de forzar la fuerza bruta. Si no fuera por fuerza bruta, la contraseña sería más difícil de obtener.

Pero si vivimos en un mundo con fuerza bruta (con el aumento de la velocidad de la computadora), cuanto más corto sea, más inseguro se vuelve.

Yo diría que una frase de contraseña siempre es lo mejor que se debe usar. obviamente, con las frases de paso obtendrías una tendencia similar a las contraseñas, algunas frases aparecerían más que otras. Ahora, obviamente, hay formas de evitar esto y formas de verificarlo para que no sea un problema real.

Si las personas usaran algo personal en sus frases de contraseña, ningún atacante podría obtener contraseñas (si los esquemas de hashing de contraseñas se hacen correctamente). Podría argumentar que los atacantes harían una lista de palabras e intentarían cada combinación, pero esa lista sería específica del idioma (un atacante inglés nunca obtendría una contraseña holandesa de esa manera).

Entonces, mi pregunta es, ¿por qué no lo hacemos más fácil para los usuarios y exigimos frases de paso, se les permite usar los símbolos de base64 y la longitud debería ser al menos ... 20? (ese número probablemente podría ser mejor si alguien con conocimiento (no yo xD) hiciera algunos cálculos).

y para ayudar a los usuarios a crear buenas frases de paso (o explicar qué es) alguien como Bruce Schneier (o cualquier persona que desees, por qué no lo hace un esfuerzo revisado por pares) hace que sea muy fácil de leer. y todos nos vinculamos a él durante la creación de la cuenta / contraseña.

todo arreglado, ¿o no es tan simple?

    
pregunta Vincent 22.04.2015 - 17:45
fuente

1 respuesta

3

Si por "nosotros" se refiere al pequeño subconjunto de desarrolladores que leen security.stackexchange.com y crean los sistemas de autenticación para un pequeño subconjunto de aplicaciones, no hay razón para limitar los símbolos que los usuarios pueden usar o la longitud de contraseñas que pueden ingresar. Bueno, tal vez 1000 caracteres sería un buen límite de contraseña para evitar ataques de denegación de servicio. Pero tiene razón en que limitar la longitud de la contraseña a 8 caracteres, solo que contenga un subconjunto de caracteres posibles, etc. es una mala práctica. Es mejor darles a los usuarios la flexibilidad de usar cualquier método de autenticación que elijan, y animar a los usuarios a elegir buenos como usar contraseñas más largas en lugar de otras más cortas. (Aunque es probable que los usuarios proporcionen un enlace a un libro o una larga reseña de las técnicas de contraseña durante la creación de la cuenta, tan a menudo como se lean los términos y condiciones. Los medidores de seguridad de las contraseñas generalmente son inexactos, pero al menos son algo). Además de crear un sistema que permita a los usuarios tener buenas contraseñas, también deberíamos implementar otros controles de seguridad, como limitar los intentos de inicio de sesión, almacenar las contraseñas de forma segura, proteger contra la inyección de SQL, cambiar las contraseñas de las cuentas de administrador predeterminadas, etc.

El problema es que no somos todos los desarrolladores. Muchos desarrolladores ven la seguridad informática como un obstáculo que deben superar o una casilla de verificación que deben marcar antes de publicar su sistema. Muchas veces, las personas no técnicas en puestos gerenciales impondrán requisitos deficientes a los desarrolladores, como un ejecutivo bancario que exige que los usuarios puedan usar los teléfonos de tonos para ingresar su contraseña web para que las personas puedan iniciar sesión a través de un sistema de servicio telefónico anticuado. Hace algunas décadas. Por lo tanto, nunca verá que todos los sistemas tengan buenas prácticas de contraseña, ya que nunca puede hacer que el "conocimiento de buenas prácticas de contraseña" sea un requisito para el desarrollo del sistema.

En cuanto a las frases de contraseña específicamente, no creo que nadie deba usar contraseñas memorizadas en ningún sistema que no controlen si pueden ayudarlo. En 2007, el usuario promedio tenía 25 cuentas , y sospecho que ese número ha aumentado significativamente. Es humanamente imposible memorizar tantas frases de contraseña si necesita que todas sean verdaderamente únicas. El mayor riesgo con las contraseñas es la reutilización de la contraseña: si consigue que todos los usuarios realicen frases de contraseña de 40 caracteres y las guarden con PBKDF2, seguirá teniendo un robo de identidad en su sitio cuando los usuarios usen las mismas credenciales en un sitio que esté almacenando contraseñas en texto plano y ese sitio es hackeado. Entonces, en lugar de insertar frases de contraseña, creo que deberíamos estar presionando el software de administración de contraseñas. Las frases de contraseña son excelentes ( Diceware es mejor) para bloquear los administradores de contraseñas, y luego puedes usar contraseñas verdaderamente aleatorias para las reuniones los requisitos que impongan los desarrolladores de los sistemas que está utilizando.

    
respondido por el Aron Foster 22.04.2015 - 19:02
fuente

Lea otras preguntas en las etiquetas

Votación electrónica, seguimiento [cerrado] ¿VPN es la mejor solución contra el ataque de hombre en el medio? [cerrado]