¿Las políticas de contraseña hacen que las contraseñas sean más débiles? [duplicar]

Question

¿Las políticas de contraseña hacen que las contraseñas sean más débiles? [duplicar]

#1 de PwdRsch (2 votos)
#2 de Julian Knight (1 votos)
#3 de Jerry (0 votos)
#4 de aventurin (0 votos)

0

Las políticas de contraseña tienen ciertos requisitos para crear una contraseña en un servicio.

Mi pregunta es: ¿las políticas de contraseña hacen que las contraseñas sean más débiles y, por lo tanto, contraproducentes?

Pongamos un ejemplo:

Estaré usando letras para representar conjuntos de caracteres:

 L = abcdefghijklmnopqrstuvwxyz

U = ABCDEFGHIJKLMNOPQRSTUVWXYZ

D = 0123456789

S = «space»!"#$%&'()*+,-./:;<=>?@[\]^_'{|}~

A = L and U and D and S combined

Ok, entonces una política de contraseña dice que el mínimo es de 8 caracteres. Ahora, al usar esta información, Bruteforcer limita los intentos de duración > = 8, lo que reduce enormemente el espacio de ataque.

Otra política común es que las contraseñas deben tener al menos una letra mayúscula, un número y un símbolo.

Suponiendo que la contraseña tiene 8 caracteres, en lugar de que la contraseña sea 8 Como, ahora sabemos que la contraseña es 5 Como, 1 D, 1 U y 1 S. Ahora, en lugar de (A ^ 8), es (A ^ 5xDxUxS) posibles combinaciones.

Si la política solicita una letra minúscula, reducimos aún más el espacio de ataque.

Si las políticas de contraseña reducen significativamente el espacio de ataque, ¿cuál es el propósito de implementar una política que se extienda más allá de un requisito de longitud mínima? ¿No sería más seguro implementar una política simple como una longitud mínima de 10 o algo así?

Al agregar los juegos de caracteres requeridos, como dígitos y símbolos, brindamos a los hackers más información sobre el contenido de las contraseñas.

passwords password-policy

pregunta Kunal Chopra 26.09.2016 - 21:45

fuente

4 respuestas

Lea otras preguntas en las etiquetas passwords password-policy

¿Se puede instalar malware en mi móvil considerando que tiene MDM? Intercambio de archivos a través de DNS Tunneling

score 2 · Answer 1

Escribí sobre los impactos de la política de contraseñas en el espacio de contraseñas algunos Hace años, e incluye más de las matemáticas que no encontraste en la pregunta similar que Xander vinculó. Puedo ampliar eso aquí si tiene preguntas adicionales. Esencialmente mi respuesta es que eliminar el riesgo de las contraseñas más débiles es más beneficioso que los riesgos de que los atacantes solo tengan que descifrar las contraseñas conformes.

Con respecto a su comentario sobre una longitud de contraseña mínima conocida 'que reduce enormemente el espacio de ataque', eso no es realmente cierto. El número de contraseñas de 8 caracteres (sin mencionar las que tienen más de 8 caracteres) empequeñece todas las posibilidades de contraseña de 1-7 caracteres combinadas. Si bien pierde esas posibilidades, también elimina las contraseñas cortas más peligrosas al establecer una longitud mínima. En la práctica, descifrar cualquier cosa que tenga menos de 8 caracteres con un ataque de fuerza bruta contra hashes rápidos no lleva mucho tiempo.

También, en cuanto a los requisitos de la política que llevan a las personas a elegir patrones de caracteres predecibles, eso es cierto, pero no es tan arriesgado como esperaba. Cuando se observan estos patrones en opciones reales de contraseñas corporativas , se muestran, pero no es una elección directa por todos usuario unico. Ciertamente, más usuarios hacen esto de lo que la mayoría de nosotros preferiríamos, pero es un desafío eliminar estos patrones sin causar muchos problemas de usabilidad en el proceso.

score 1 · Answer 2

La política está ahí para alentar al usuario a elegir un código de acceso complejo. Aunque en teoría tener el conjunto completo disponible aumenta las combinaciones, en realidad la mayoría de las personas no piensa en las contraseñas de esa manera y elige algo tan simple como sea posible.

En general, tiene razón, aunque es la posibilidad de tener el conjunto completo de opciones en una contraseña que agrega fuerza, no necesariamente la realidad de usarlas. Pero solo si las contraseñas se eligen de forma aleatoria.

Las restricciones reducen la opción disponible de una manera minimalista al tiempo que alientan a los usuarios a usar códigos de acceso complejos. La información que se les da a los atacantes también es mínima y al menos les dice que el posible espacio de direcciones es grande, lo que podría enviarlos a buscar objetivos más fáciles.

Si desea seguridad, asegúrese de que los códigos de acceso puedan ser muy largos y imponer un mínimo bastante largo, 8 es muy pobre en estos días, incluso 10 no es brillante. 12-15 para cualquier cosa que requiera seguridad razonable. > 15 para máxima seguridad.

Sin embargo, recuerde que las personas son el enlace débil mucho más que el sistema (en general).

score 0 · Answer 3

Las políticas deficientes con una mala sincronización y ejecución ponen las contraseñas en Jeopardy. Una buena política de contraseña protege a los usuarios y los datos. Las políticas de contraseña que requieren que los usuarios (víctimas) cambien sus contraseñas con frecuencia más que cada pocos años, ponen a los usuarios en riesgo de olvidar sus contraseñas, por lo que los usuarios son más aptos para registrarlas, lo que facilita el robo. Además, las políticas de contraseña que limitan la selección de la clave de usuario a un subconjunto del teclado les impide usar frases de paso creativas y generan frustración, una política de contraseña debería permitirle al usuario usar cada tecla posible en su teclado y requerir cuatro tipos distintos, sin secuencias repetitivas , no hay caminatas con el teclado, etc. Una buena política de contraseñas debería aumentar la seguridad al mismo tiempo que le hace evidente al usuario por qué.

score 0 · Answer 4

Ok, entonces una política de contraseña dice que el mínimo es de 8 caracteres. Ahora, al usar esta información, Bruteforcer limita los intentos de duración > = 8, lo que reduce enormemente el espacio de ataque.

Esto no reduce realmente el tiempo requerido para los ataques de fuerza bruta, ya que el número de contraseñas con una longitud menor que un límite dado es pequeño en comparación con la cantidad de contraseñas con una longitud mayor o igual a ese límite.

Además, exigir que ciertos caracteres estén presentes no es un problema si la longitud de la contraseña es lo suficientemente grande.

¿Cuál es el propósito de implementar una política que se extiende más allá de un requisito de longitud mínima?

Una política de contraseñas debe garantizar que el espacio para contraseñas sea grande y evitar contraseñas débiles, por ejemplo. al rechazar contraseñas conocidas como 12345678 .