¿Cuánta seguridad se ve comprometida si aceptamos otros caracteres como inicio de sesión (aparte de la contraseña original)?

Navega tus respuestas
11

Acabo de darme cuenta de que Facebook acepta 3 formas de contraseña:

Source :

  

Facebook realmente acepta tres formas de tu contraseña:

     

  1. Tu contraseña original.

    2.   

  2. Su contraseña original con la primera letra   en mayúsculas Esto es sólo para dispositivos móviles, que a veces   mayúscula el primer carácter de una palabra.

    3.   

  3. Tu contraseña original con   el caso se invirtió, para aquellos con una tecla de bloqueo de mayúsculas activada.

    4.   

Obviamente, ellos afirman que la seguridad comprometida es insignificante. Mi pregunta es ¿la seguridad comprometida es realmente insignificante?

¿Con cuánta facilidad puede un hacker lograr un inicio de sesión con 2 "agujeros" adicionales?

    
pregunta Pacerier 15.09.2011 - 17:02
fuente

2 respuestas

15

Estas reglas básicamente significan que, en lugar de tener una contraseña válida para una cuenta, hay tres de ellas (dos, si la contraseña original ya comienza con una letra mayúscula). Teóricamente, esto divide el esfuerzo del atacante en hasta 3, pero en realidad es un poco menor que eso, ya que "CONTRASEÑA" es mucho menos probable como contraseña elegida por el usuario que "Contraseña".

En pocas palabras: estas reglas hacen que los ataques de adivinación de contraseña sean tres veces más sencillos . Esto no significa que hagan los ataques fáciles .

    
respondido por el Thomas Pornin 15.09.2011 - 17:20
fuente
1

Facebook es correcto. Es una disminución insignificante en la seguridad para un enorme aumento en la usabilidad.

Incluso hacer que las contraseñas un millón de veces sean más fáciles de adivinar no es un gran problema. Eso es lo que hacen muchos otros sitios. Para resolver el mismo problema, simplemente tratan a todas las mayúsculas y minúsculas de la misma manera. Eso significa que una contraseña de 9 letras tendrá un millón de combinaciones, y por lo tanto será un millón de veces más fácil de adivinar.

Si bien este tipo de cosas hace que las contraseñas sean "más débiles", los sitios web pueden hacer cosas para que las contraseñas sean "más fuertes". Una forma es imponer longitudes de contraseña mínimas, o forzar a los usuarios a incluir puntuación / números. Otra forma es "reforzar la clave", o hash repetidamente una contraseña muchas veces. Por ejemplo, algunos sitios tienen la contraseña 1000 veces, lo que la hace 1000 veces más difícil de descifrar.

Algunas personas eligen contraseñas fáciles como "123456" que pueden adivinarse sin importar qué tan fuerte sea el sistema. Del mismo modo, algunas personas eligen contraseñas como "# hd & G !! nv * 63" que no se pueden adivinar, no importa cuán débil sea el sistema. Hacer que el sistema sea un millón de veces más fuerte o un millón de veces más débil solo protege / pone en peligro la pequeña cantidad de contraseñas en el borde entre las dos.

    
respondido por el Robert David Graham 21.09.2011 - 18:29
fuente

Lea otras preguntas en las etiquetas

¿Qué problemas tiene este procedimiento de "recuperación de cuenta"? ¿Este fragmento de código es suficientemente bueno para el hash y el salt de contraseñas?