Además de usar algoritmos hash fuertes, ¿qué es un buen "requisito de contraseña"? [duplicar]

Question

Además de usar algoritmos hash fuertes, ¿qué es un buen "requisito de contraseña"? [duplicar]

#1 de Red_Shadow (1 votos)
#2 de Andrew Hoffman (0 votos)

0

Suponiendo el uso de bcrypt / scrypt:

¿Sería una buena idea "requerir" una contraseña de al menos 12 caracteres, mencionando también la posibilidad de usar frases de contraseña largas, en lugar de su requisito típico de 8 caracteres en mayúsculas / minúsculas / minúsculas?

Parece que hay una compensación entre la facilidad de la memoria y lo difícil que es la fuerza bruta, y no todos usan (o quieren usar) los administradores de contraseñas.

¿Cuál es la mejor solución en la práctica? No sé qué requisitos de contraseña establecer para mis usuarios. Tener requisitos que son demasiado complejos les da a los usuarios un incentivo para crear contraseñas fáciles de recordar, mientras que los requisitos que son demasiado indulgentes les da a los usuarios un incentivo para ser perezosos y hacer que las contraseñas sean débiles a fuerza bruta.

passwords

pregunta user49637 19.06.2014 - 18:42

fuente

2 respuestas

Lea otras preguntas en las etiquetas passwords

sitio web malicioso bloqueado - en un programa legítimo? Identificación del algoritmo de cifrado de flujo basado en contenido cifrado

score 1 · Answer 1

La Universidad de Stanford hace aproximadamente un mes salió con una especie de escala móvil. Permite que la complejidad disminuya a medida que aumenta la longitud. Esto es básicamente una función de probabilidad. Una contraseña de 8 caracteres necesita una gran complejidad, mientras que una contraseña de 20 caracteres necesita poco.

Matemáticamente (conjunto de caracteres) ^ (Longitud) 95 ^ 8 < 52 ^ 12 < 20 ^ 26

Esto funciona muy bien hasta que consideres cosas como el antidisestablishmentarianism que supera el desafío de la fuerza, pero está en la mayoría de los diccionarios de contraseñas de pentesters. Si desea protegerse contra la fuerza bruta, proponga un número objetivo (7 x 10 ^ 16) y un algoritmo para calcular el número de posibilidades y úselo. El diccionario y los ataques basados en reglas seguirán agarrando la fruta que cuelga.

score 0 · Answer 2

Les dejaría seguir con lo que están acostumbrados, pero les informo sobre los riesgos, eso parece ser común.

8 caracteres como mínimo, pero si los usas en casos mixtos, horse123 se convierte en Horse123, y si los usas en caracteres especiales, Horse123 se convierte en Hor $ e123. Las personas que no les importa tendrán contraseñas débiles independientemente. Solo dígales que tienen contraseñas débiles e infórmeles sobre los riesgos, sugiera usar un administrador de contraseñas para facilitar su uso, y si eso no les molesta, ¿qué más puede hacer?

Las contraseñas deben ser vistas por el cliente como una oportunidad para protegerse de una Internet en gran medida insegura. No puedes hacerlo por ellos.