¿Se están haciendo esfuerzos para establecer estándares de contraseña?

los medidores de seguridad de contraseñas a menudo son erróneos en su apreciación de lo que hace que una contraseña sea buena. A menudo le piden que seleccione caracteres especiales sin prestar mucha atención a la posibilidad de adivinar su contraseña. Vea Telepathwords para ver un ejemplo de cómo debería ser un medidor de fortaleza de contraseña informado.

Por ejemplo, P @ s5WorD . se considera muy seguro por la mayoría de los medidores de seguridad de contraseñas, sin embargo, una buena herramienta para descifrar contraseñas siempre verificará las variaciones de una palabra del diccionario (especialmente una tan popular como contraseña ), lo que significa que no ha pasado de un espacio de entrada de 26 a 95, pero más bien un espacio de entrada de 26 + unas pocas decenas de permutaciones por palabra en ese espacio de entrada. Esto es simplemente debido a la forma en que los humanos hacen las contraseñas; en realidad no creamos contraseñas aleatorias porque no las recordaríamos.

Una gran cantidad de investigación de contraseñas se enfoca en ayudar a las personas a crear contraseñas más complejas, recordar contraseñas más largas o incluso recordar contraseñas al proporcionar una imagen en la IU de autenticación para que actúe como un recordatorio, que a menudo ignora el hecho de que las personas escogen. y contraseñas similares para hacer frente a la cantidad de credenciales con las que deben lidiar . La gente no quiere seleccionar una contraseña en función de algún secreto / sugerencia que su UI les proporcione, o contraseñas más largas o más complejas; ¡Quieren recordar cada vez menos contraseñas porque han tenido suficiente! Vea este documento de Sasse et al. sobre un estudio de autenticación realizado ... en los empleados de NIST. Además, hay algunos estudios de campo sobre la cantidad de credenciales que las personas administran en línea (por ejemplo, Floriencio y Herley 2007 papel, que es un poco viejo ya; probablemente la gente ya tenga muchas más cuentas).

Una vez que se haya dado cuenta de eso, y el hecho de que las bases de datos de contraseñas (no siempre encriptadas) se roban a diario (por lo tanto, el problema principal no es la seguridad de la contraseña sino el manejo y almacenamiento de las contraseñas), comienza a entender que el problema es la mayoría de los proveedores de servicios no tienen idea de por qué aplican una política y simplemente imitan lo que ven los demás ... perpuetrando políticas y requisitos de contraseña inutilizables y no escalables con el tiempo.

En el pasado, hubo un esfuerzo por generar identidades federadas con servicios como OpenID pero los proveedores de servicios prefirieron mantener el control sobre sus clientes ' identidades por varios motivos, lo que significa más interfaces de autenticación diferentes y más contraseñas para los usuarios.

Existen iniciativas interesantes para reemplazar las contraseñas (consulte Pico ), pero me temo que no debería esperar ninguna mejora en la industria. durante la noche.

Ya hay uno producido por NIST . Y hay buenas razones para limitar la longitud máxima de una contraseña.

También dependiendo de la industria en la que se encuentre, es posible que ya se hayan definido estándares / requisitos. Por ejemplo, PCI-DSS o Departamento de Defensa . El problema aquí es que hay estándares múltiples, no hay uno solo .

Los límites deben establecerse, tanto los límites superiores como los inferiores. En el caso de contraseñas, un ejemplo sería PBKDF2-HMAC-SHA1 (siempre que los usuarios generen sus contraseñas de manera aleatoria) un algoritmo de hashing de contraseña comúnmente utilizado. Si la contraseña supera 64 bytes de longitud, se truncará a 20 bytes (aplicando un hash SHA-1 a la contraseña) ) De lo contrario, superaría el tamaño de bloque. Por supuesto, esto aún es mucho más que 12 caracteres, pero si inicialmente planea usar una contraseña de 70 bytes, se reducirá a 20 bytes, de lo contrario, el algoritmo no podrá trabajar con la contraseña.

Editar:

Un ejemplo más válido aparece en los comentarios. No hay razón para tener contraseñas de varios MB de tamaño, ya que esto no agrega ninguna seguridad en comparación con, por ejemplo, una contraseña de 1024 caracteres. Tener una contraseña tan grande podría resultar en un comportamiento inesperado dentro de la aplicación.

El problema es que, en primer lugar, no puede comprobar la seguridad de una contraseña. O más específicamente: podemos reconocer algunas contraseñas débiles (patrones demasiado cortos y obvios), pero no sabemos cómo se ve una contraseña fuerte .

Ni la longitud ni la presencia de "caracteres especiales" hacen que una contraseña sea segura. Y una contraseña relativamente corta que solo contiene caracteres alfanuméricos no es automáticamente mala. Por lo tanto, cualquier política de contraseña es, en el mejor de los casos, un intento difícil de filtrar la basura obvia y hacer que la gente piense acerca de la seguridad de la contraseña.

Un estándar universal para contraseñas simplemente no es factible y probablemente ni siquiera sea sensato. Una política que puede funcionar bien para una audiencia puede fallar por completo para una audiencia diferente. Por ejemplo, genero contraseñas aleatorias con un administrador de contraseñas. Obligarme a seguir cierto patrón es absurdo y molesto. Por otro lado, la misma política podría ayudar a alguien con menos experiencia técnica. Bueno, no puedes tener los dos. Creo que el único criterio con el que todos podemos estar de acuerdo es la longitud mínima.

Además de la respuesta de steve, debido a que tener cualquier método para la locura de su contraseña lo hace vulnerable, el mejor consejo es hacerlo aleatorio y largo. ¿Cuánto tiempo?

22 parece estar en lo cierto si es un muestreo aleatorio del alfabeto de 62 caracteres: a-z, A-Z, 0-9.

Y deben ser únicos de un sitio a otro.

¿Pero cómo recuerdo todas estas contraseñas garblygoop aleatorias, largas y únicas? Usted no ¡Usa un administrador de contraseñas!