¿Por qué Twitter y Facebook no aplican la complejidad de las contraseñas durante el registro? [cerrado]

Navega tus respuestas
10

Si intenta crear una cuenta con su teléfono inteligente, estas plataformas no parecen tener requisitos de contraseña segura. Ambos aplican un límite mínimo de 6 caracteres y nada más (sin embargo, me di cuenta de que Twitter parece filtrar ciertas contraseñas como 111111, mientras que esta es una contraseña legítima en Facebook).

Puedo entender que imponer reglas estrictas como mayúsculas, minúsculas, números y símbolos puede frustrar a los usuarios y hacer que las contraseñas sean menos memorables. Sin embargo, no estoy convencido de que la validación de la contraseña actual (o la falta de la misma) sea una mejor opción.

¿Por qué estas aplicaciones no aplican las pautas mencionadas anteriormente? Si estoy creando una nueva aplicación ahora, ¿cómo debo abordar este problema?

    
pregunta user246392 04.11.2018 - 17:53
fuente

1 respuesta

6

Facebook y Twitter tienen posturas de seguridad muy ... controvertidas y específicas. Sirven a un mercado amplio y el espacio de seguridad no siempre aprecia todo lo que hacen. Mi recomendación para una aplicación que estás creando podría no seguir los ejemplos de Facebook y Twitter en términos de seguridad.

Para recursos, recomiendo mirar primero a OWASP . Si no está familiarizado con OWASP, son una colección de métodos de seguridad de aplicaciones y mejores prácticas, que le dan visibilidad de todo el ciclo de vida, desde la concepción y el diseño hasta el pentesting. Dirigen la industria de Appsec y hablan con una gran cantidad de autoridad (bien merecida).

Dicho todo esto, definitivamente verifique la información de OWASP en controles de seguridad de contraseña . Si está buscando ayuda con la implementación de la seguridad de la contraseña, espero que eso lo solucione. (Y mientras está allí, eche un vistazo a la OWASP top 10 para obtener otros consejos útiles a la hora de crear su aplicación.)

Gran pregunta por cierto. Buena suerte con la aplicación!

    
respondido por el securityOrange 04.11.2018 - 18:02
fuente

Lea otras preguntas en las etiquetas

¿Cómo evita Google Analytics los ataques de datos falsos contra el tráfico de una entidad? ¿Java es vulnerable a la vulnerabilidad de GHOST de glibc en Linux?