¿Hay alguna forma de verificar de forma segura si una contraseña es una de las más utilizadas?

0

Entonces digamos que un usuario desea registrarse en algún sitio web. Por el motivo que sea, quiero no permitir esa contraseña si es una de las 100 contraseñas más utilizadas en mi sitio (por lo que no estoy comparando solo con un diccionario de las 100 mejores, sino específicamente para mi sitio). Sin embargo, todas las contraseñas en mi sitio son hash y sal. ¿Cómo puedo verificar qué contraseñas están entre las 100 principales más utilizadas de la manera más eficiente y segura? Lo único en lo que puedo pensar ahora es almacenar solo los hashes de cada contraseña y la cantidad de usuarios registrados con esa contraseña en una tabla separada. De esa manera, el atacante no podría adjuntar el hash de la contraseña al nombre de usuario y todo lo que tienen son los hashes sin sal de las 100 contraseñas más usadas. ¿Hay alguna manera de hacerlo de una manera más segura o eficiente?

    
pregunta trallgorm 03.03.2016 - 23:06
fuente

1 respuesta

2

Las contraseñas con hash sin sal, especialmente las que contienen hash de contraseñas comunes, son triviales para invertir. Por ejemplo, diamond es una contraseña del top 100 . Un veta de la información de la cuenta de la información de la información de la que se encuentra en el estado de la cuenta de la información del usuario.

Si una lista creó una lista que indicaba que un conjunto de usuarios compartían la misma contraseña y que un pirata informático la había adquirido, la violación de la contraseña de una cuenta provocaría rápidamente la violación de la otra cuenta.

Esto también abre un nuevo tipo de ataque en el que un atacante puede adivinar las 100 contraseñas principales de su sitio configurando la contraseña de su cuenta a las opciones más probables. Cuando falle, sabrán que han encontrado uno. Luego, pueden intentar iniciar sesión en las cuentas de otros usuarios con esa contraseña.

Básicamente, almacenar contraseñas de forma segura es difícil. Las tecnologías actuales se han desarrollado durante décadas. Cualquier cambio que realice en el modelo actual probablemente pondrá en riesgo las cuentas y contraseñas de sus usuarios.

Si lo desea, tome la lista de las 100 mejores contraseñas, o las 1000 principales, y evite que se usen. Solo tenga en cuenta que existe mucha controversia sobre el uso de los requisitos de contraseña. Algunos sienten que hacen las cosas más seguras, otros que solo irritan a los usuarios.

    
respondido por el Neil Smithline 03.03.2016 - 23:23
fuente

Lea otras preguntas en las etiquetas