Suponga que tiene una cerradura en su puerta con un teclado 0-9. Una persona puede ingresar una combinación de dígitos de máximo 10 caracteres. Obtienen tres intentos antes de que la puerta esté cerrada por 1 hora.
Si tuvieras esa puerta en tu casa, ¿cuánto tiempo de contraseña / código elegirías? 4 dígitos, 6 dígitos, etc.?
¿Cuándo es lo suficientemente seguro? ¿Cuál es el nivel más bajo que se puede obtener y aún se considera seguro? ¿Qué significa estar seguro?
Mundo real: un cliente ha solicitado que minimicemos el requisito de contraseña en un sistema para las cuentas de los usuarios, preferiblemente con dígitos de hasta 4 dígitos y tengamos otras medidas, como ratelimits / bloqueo de cuentas, etc., pero se considera que existe una posibilidad de 1/10000 de ingresar una contraseña correcta es una probabilidad muy alta, incluso si solo obtienen X (pocos) intentos por día. ¿Cuál es el valor más bajo / más simple que se puede tomar con medidas adicionales y aún considerarlo seguro, suponiendo que un atacante haga tres intentos antes de que la cuenta se bloquee?
Adición:
- El servicio es un servicio similar a Skype
- El bloqueo funcionaría como si no se permitieran nuevos inicios de sesión durante la duración del bloqueo
- Si se proporciona una contraseña correcta al iniciar sesión cuando se produjo un bloqueo en el pasado, se enviará un SMS al usuario con un segundo token que deberán ingresar para iniciar sesión.
- Cualquier cliente que ya haya iniciado sesión no se desconectaría durante una fuerza bruta de su cuenta, por lo que la posibilidad de que tengan que pasar por la validación secundaria de SMS es reducida.