¿Cuáles son las implicaciones de una política de contraseña excesivamente restrictiva? [duplicar]

Navega tus respuestas
0

Recientemente encontré una interesante política de contraseñas en línea:

"Asegúrese de ingresar una contraseña que cumpla con los siguientes criterios:

  • debe tener 8 caracteres de longitud
  • no debe basarse en palabras del diccionario
  • debe ser diferente de las 6 contraseñas anteriores
  • debe contener al menos 1 carácter en mayúscula (A-Z)
  • debe contener al menos 1 carácter en minúscula (a-z)
  • debe contener una letra inicial (a-z o A-Z)
  • debe contener al menos 1 número (0-9)
  • puede contener hasta 2 caracteres especiales (solo $ o #)
  • puede que no tenga caracteres repetidos
  • debe ser diferente del ID de usuario "

Me parece que esto reduce la cantidad de contraseñas posibles de manera tan dramática que tomaría los programas informáticos configurados apropiadamente durante dos minutos para descubrir la contraseña de alguien. ¿Es eso aproximadamente exacto?

    
pregunta Bill Horvath 25.04.2014 - 20:37
fuente

1 respuesta

1

Tienes razón, es una política de contraseña muy interesante. Algunas de esas reglas están mal definidas. Si aplico una definición flexible, creo que no limita el número de contraseñas posibles al punto de hacerlas fáciles de adivinar, pero hay problemas con esta lista:

  1. La mejor protección de la contraseña es la longitud. Si realmente deben ser exactamente 8 caracteres, eso es realmente malo. Supongo que significan 8 caracteres o más largos . En mi opinión, ya no basta con 8 caracteres (aunque esto se recomienda como mínimo en todas partes). Incrementa a 10 o 12.
  2. repitiendo caracteres? Supongo que significan uno al lado del otro ¿A quién le importa? Esto no hace mucho para mejorar la capacidad de adivinación de una contraseña.
  3. ¿Por qué solo dos caracteres especiales? ¿Por qué limitarlo a # o & ?? Esto no tiene sentido.
  4. ¿Carta principal? De nuevo, ¿POR QUÉ?
  5. No estoy de acuerdo con las contraseñas del diccionario, pero ¿cómo lo están verificando? ¿Tienen una base de datos de palabras del diccionario?

total de combinaciones posibles:
(26 + 26 + 10 +2) ^ 8 = 281,474,976,710,656 excluir combinaciones sin números:
(26 + 26 +2) ^ 8 = 72,301,961,339,136 excluir combinaciones sin letra principal:
(10 + 2) + (26 + 26 + 10 + 2) ^ 7 = 4,398,046,511,104 excluir combinaciones con caracteres repetidos: total posible - (64! / 56!) = 103,011,989,072,896

excluir palabras del diccionario (palabras con 8 letras) redondas hasta 10,000

respuesta final de cuántas contraseñas permitidas: 101,762,979,777,508 Así que alrededor de 102 billones

    
respondido por el mcgyver5 25.04.2014 - 20:56
fuente

Lea otras preguntas en las etiquetas

¿Existe un proveedor de DNS seguro? [cerrado] Número de secuencia del protocolo IPSec