política de complejidad de contraseñas para contraseñas no “en inglés”

Navega tus respuestas
10

En una aplicación internacionalizada, ¿cuál es la mejor práctica para una política sobre la complejidad de las contraseñas? No estoy teniendo suerte buscando la respuesta. Wikipedia enumera estos elementos para política de contraseña :

  
  • el uso de letras mayúsculas y minúsculas (sensibilidad a mayúsculas)
    •   
  • inclusión de uno o más dígitos numéricos
    •   
  • inclusión de caracteres especiales, por ejemplo, @, #, $ etc.
    •   
  • prohibición de palabras encontradas en un diccionario o información personal del usuario
    •   
  • prohibición de contraseñas que coincidan con el formato de las fechas del calendario, números de matrículas, números de teléfono u otros números comunes
    •   
  • prohibición del uso del nombre de la empresa o una abreviatura
    •   

Si soy un hablante de idioma no latín, ¿cómo funcionan las reglas sobre mayúsculas y minúsculas? No es tan simple como a-z y A-Z. ¿Qué pasa con las búsquedas de diccionarios y la prohibición de ciertos formatos? Este problema parece bien conocido para el inglés, pero ¿qué pasa con otros idiomas y culturas?

    
pregunta Kevin Hakanson 16.07.2012 - 21:28
fuente

4 respuestas

6

La mayoría de los intentos de descifrado de contraseñas de unidad asumirán que la contraseña es un subconjunto de caracteres ASCII. Sin embargo, es probable que los ataques dirigidos (bajo el modelo de amenaza persistente avanzada) descubran que sus usuarios no están utilizando contraseñas ASCII y cambian de tacto.

Como tal, sugiero las siguientes reglas:

  • Identifique qué idiomas es probable que estén en uso, según su base de usuarios.
  • Realice búsquedas de diccionarios para esos idiomas y rechace contraseñas basadas en ellos.
  • Pida a los hablantes nativos que sugieran palabras y frases comunes que no estén en el diccionario y que puedan usarse como contraseñas.

Si puede identificar subconjuntos de caracteres para cada alfabeto, puede aplicarles puntuaciones de entropía individuales. Esto le permite requerir una seguridad mínima para dicha contraseña.

Probablemente la parte más importante es la opinión del usuario. Pídales a los usuarios que informen los problemas que encuentren con el sistema de contraseñas de su sitio y sugiera formas de mejorar el sistema. Solo un hablante nativo puede identificar contraseñas débiles antes de tiempo.

    
respondido por el Polynomial 16.07.2012 - 21:52
fuente
5

Dejando las bromas a un lado, el cómic de la Fuerza de la Contraseña de xkcd puede ser especialmente relevante aquí ya que es independiente del lenguaje: верный лошадь батарейка штаеель (el siguiente ejemplo en ruso) está lleno de entropía.

    
respondido por el msanford 25.07.2012 - 19:48
fuente
1

Encontré un artículo de Microsoft TechNet, Las contraseñas deben cumplir los requisitos de complejidad , eso parece aplicarse a sus productos basados en Windows Server. Eso agrega otro grupo de caracteres para "letras" que no son mayúsculas ni minúsculas.

  

Las contraseñas deben contener caracteres de tres de los cinco siguientes   categorías:

     
  • Caracteres en mayúsculas de idiomas europeos (de la A a la Z, con   marcas diacríticas, caracteres griegos y cirílicos)
    •   
  • Caracteres en minúsculas de idiomas europeos (de la A a la Z, sharp-s, con   marcas diacríticas, caracteres griegos y cirílicos)
    •   
  • Base de 10 dígitos (0 a 9)
    •   
  • Caracteres no alfanuméricos: ~! @ # $% ^ & * _- + = '| () {} [] :; "' < >,.? /
    •   
  • Cualquier carácter Unicode que se clasifique como un carácter alfabético   pero no es mayúscula o minúscula. Esto incluye caracteres Unicode.   de idiomas asiáticos.
    •   
    
respondido por el Kevin Hakanson 25.07.2012 - 19:16
fuente
0

El análisis de entropía supone que la contraseña está contenida en un conjunto de palabras o frases con patrones derivados de un idioma conocido. ¿Qué sucede si las contraseñas no están compuestas de frases encontradas en ningún idioma? En otras palabras, la frecuencia de ciertas letras que aparecen en una página de texto mecanografiada se puede calcular y en los sistemas basados en latín e inglés, esto correspondería a que ETAOINSHRDLU sea la más frecuente (gracias Carl, de su libro Contact). Por lo tanto, las contraseñas compuestas de cadenas no basadas en lenguaje serían las más difíciles de descifrar (y, en consecuencia, las más difíciles de recordar). Hay muchas maneras de formular contraseñas amigables para las personas sin meterse en el lenguaje como fuente para las cadenas de contraseña. Algunas letras y números riman fonéticamente y el análisis de entropía no toma eso en consideración (a menos que me haya perdido algo en la sección sobre bibliotecas de soundex). Es irónico que los medios que necesitamos para proteger las contraseñas de la entropía y el análisis estadístico también sean los que hacen que las contraseñas sean las menos fáciles de recordar. Las políticas de contraseña están diseñadas para garantizar un nivel mínimo de protección a pesar del idioma en que se crea la contraseña.

La pregunta sobre políticas y qué tipo de personajes de otros idiomas no latinos es una gran pregunta para aquellos de nosotros que trabajamos principalmente en conjuntos de caracteres basados en latín. Por ejemplo, ¿hay caracteres similares a los idiomas latinos para otros idiomas como el tailandés o el árabe? ¿Qué pasa con los símbolos y los lenguajes basados en objetos como el chino como inflexiones, que son un factor común en el idioma inglés al delinear la diferencia entre una afirmación y una pregunta? En chino, la inflexión se llama pinyins, y los pinyins realmente cambian la definición de una palabra en lugar de delinear la diferencia entre una afirmación o una pregunta. Entonces, ¿hay caracteres especiales en esos idiomas que se pueden usar como los caracteres especiales en los idiomas basados en el latín? Eso es lo que suena como si la pregunta se tratara.

    
respondido por el Brian Johns 02.01.2015 - 20:30
fuente

Lea otras preguntas en las etiquetas

¿Cómo calcular nuestra deuda de seguridad de la aplicación? ¿Cómo asegurarse de que el acelerador de hardware criptográfico se esté utilizando en am335x?