¿Hay algún inconveniente en exponer el motivo del error de inicio de sesión si el número de combinaciones se compensa con la complejidad de la contraseña?

Navega tus respuestas
1

Al ingresar las credenciales de nombre de usuario y contraseña, se considera más seguro proporcionar un error de inicio de sesión genérico por diferentes motivos de falla (cuenta desconocida, contraseña incorrecta, etc.) (ref: enlace - podría haber uno mejor).

Esto obviamente aumenta el número de combinaciones que un atacante (de fuerza bruta) tiene que probar, pero no es tan útil para el usuario como sea posible e incluso podría provocar una frustración severa si él / ella está convencido accidentalmente de que el nombre de usuario es correcto.

¿Existe un inconveniente al exponer el motivo del error de inicio de sesión al usuario / potencial atacante y compensar la disminución en el número de combinaciones para intentar con contraseñas más complejas?

    
pregunta Karl Richter 25.01.2017 - 00:50
fuente

2 respuestas

1

Creo que su propuesta de aumentar la complejidad de las contraseñas mitiga con éxito el mayor riesgo de exponer la información del nombre de usuario, especialmente si considera que la mayoría de las páginas de registro ya le permiten enumerar los nombres de usuario al tratar de registrar los existentes (aunque típicamente detrás de un CAPTCHA).

Sin embargo, incluso si no hay ningún inconveniente desde el punto de vista de seguridad, si la elección es entre:

  1. Mostrar mensajes de inicio de sesión genéricos (menos útiles).
  2. Mostrar más mensajes de inicio de sesión útiles junto con aumentar la longitud mínima de la contraseña en (por ejemplo) al menos 4 caracteres.

Es probable que con # 2 el aumento colectivo de molestias para todos los usuarios sea mayor que la cantidad ahorrada.

    
respondido por el TTT 25.01.2017 - 08:22
fuente
1

La razón por la que esta pregunta es más compleja de lo que parece es que las contraseñas elegidas por los usuarios están sujetas a factores humanos y, específicamente, a la costumbre de las personas a elegir contraseñas que sean memorables y tan simples como sea posible, incluso dados los requisitos de complejidad, es decir, los usuarios inteligente para encontrar contraseñas que cumplan con los requisitos de complejidad, pero en realidad son de un conjunto más fácil de adivinar.

Si proporciona mucha información acerca de por qué un intento de contraseña ha fallado, desde un punto de vista puramente matemático, puede superar esto al aumentar los requisitos de complejidad, pero esto no tiene en cuenta el comportamiento del usuario, lo que puede anular la información adicional. complejidad.

La fuerza bruta puede ser guiada, y aumentar (por ejemplo) la longitud de la contraseña no necesariamente proporciona el espacio clave aparente para la búsqueda porque las heurísticas todavía se aplican. También recuerde que los requisitos de complejidad pueden reducir el espacio clave del espacio máximo que se basa en la longitud, al menos heurísticamente. ¡Piense en el antiguo requisito de complejidad para usar al menos un dígito y los usuarios solo añaden un 1 al final de su contraseña favorita! Fácil de crear algoritmos de conjetura de contraseña basados en heurística, esto no aumenta el espacio de claves en un conjunto de caracteres adicional en la realidad.

Habiendo dicho esto, viviría con el riesgo si el aumento de complejidad fuera sustancial y los requisitos de complejidad no fueran demasiado simplistas o fáciles de eludir de alguna manera.

    
respondido por el David Scholefield 25.01.2017 - 18:58
fuente

Lea otras preguntas en las etiquetas

Redirigido a la página de inicio de Facebook que no sea HTTPS mientras visita el sitio de torrent ¿Cómo puedo eliminar las metadatas de un archivo .py?