¿Cuándo es una contraseña "suficientemente segura"? [cerrado]

1

Suponga que tiene una cerradura en su puerta con un teclado 0-9. Una persona puede ingresar una combinación de dígitos de máximo 10 caracteres. Obtienen tres intentos antes de que la puerta esté cerrada por 1 hora.

Si tuvieras esa puerta en tu casa, ¿cuánto tiempo de contraseña / código elegirías? 4 dígitos, 6 dígitos, etc.?

¿Cuándo es lo suficientemente seguro? ¿Cuál es el nivel más bajo que se puede obtener y aún se considera seguro? ¿Qué significa estar seguro?

Mundo real: un cliente ha solicitado que minimicemos el requisito de contraseña en un sistema para las cuentas de los usuarios, preferiblemente con dígitos de hasta 4 dígitos y tengamos otras medidas, como ratelimits / bloqueo de cuentas, etc., pero se considera que existe una posibilidad de 1/10000 de ingresar una contraseña correcta es una probabilidad muy alta, incluso si solo obtienen X (pocos) intentos por día. ¿Cuál es el valor más bajo / más simple que se puede tomar con medidas adicionales y aún considerarlo seguro, suponiendo que un atacante haga tres intentos antes de que la cuenta se bloquee?

Adición:

  • El servicio es un servicio similar a Skype
  • El bloqueo funcionaría como si no se permitieran nuevos inicios de sesión durante la duración del bloqueo
  • Si se proporciona una contraseña correcta al iniciar sesión cuando se produjo un bloqueo en el pasado, se enviará un SMS al usuario con un segundo token que deberán ingresar para iniciar sesión.
  • Cualquier cliente que ya haya iniciado sesión no se desconectaría durante una fuerza bruta de su cuenta, por lo que la posibilidad de que tengan que pasar por la validación secundaria de SMS es reducida.
pregunta grandnasty 11.07.2017 - 16:26
fuente

1 respuesta

1

Creo que su cliente necesita actualizar su modelo de amenaza. Adivinar la contraseña en línea no es lo único que debe impulsar la complejidad de la contraseña. El cliente necesita comprender cómo funciona el craqueo de contraseñas. Si sus hashes de contraseña se comprometen alguna vez (a través de la inyección de SQL, las copias de seguridad de la base de datos almacenadas incorrectamente, etc.), un atacante intentará descifrar esas contraseñas fuera de línea con una herramienta como hashcat, en lugar de adivinarlas contra el propio sitio web, donde podría ocurrir el bloqueo de la cuenta. en juego 4 dígitos NO es suficiente seguridad para ningún sistema. Incluso el algoritmo de hashing más lento puede completar ese trabajo en menos de un segundo con una tarjeta de video moderna .

Si hay dudas sobre la facilidad de uso de las contraseñas, sugeriría que los usuarios usen un administrador de contraseñas. Si eso es demasiado esfuerzo, todos los navegadores web modernos también pueden guardar la contraseña del usuario si la portabilidad no es un problema.

    
respondido por el user52472 11.07.2017 - 17:42
fuente

Lea otras preguntas en las etiquetas