¿Es un riesgo de seguridad recordar a los usuarios los requisitos de contraseña al iniciar sesión?

9

Regularmente me encuentro intentando acceder a sitios web donde no recuerdo la contraseña que uso. Hago algunas conjeturas sobre lo que podría haber usado, pero por lo general termino teniendo que restablecerlo.

Una cosa que me facilitaría el proceso sería si los sitios me recordaran cuáles eran los requisitos de contraseña. (es decir, si supiera que la contraseña debía tener 8 caracteres, con una letra mayúscula y un número, no adivinaría nada que no cumpliera con esos requisitos).

Pero me parece tan obvio, por lo que debe haber alguna razón por la que los sitios no hacen esto. ¿Existe algún riesgo de seguridad al hacerlo?

    
pregunta DHall 17.01.2012 - 15:04
fuente

2 respuestas

11

Si alguien quiere descifrar las contraseñas de algunos de los usuarios de su sitio, conocer las reglas de las contraseñas puede ayudarlo a reducir su lista de "contraseñas potenciales" al eliminar las contraseñas que el servidor no habría aceptado en primer lugar. Sin embargo , si:

  • el atacante también puede registrarse como usuario (como es el caso de muchos sitios web, donde la creación de cuentas es gratuita);
  • la "página de registro" ya enumera los requisitos de contraseña;

entonces se puede suponer que el atacante ya tiene esa información. Por lo tanto, no es perjudicial para la seguridad recuperarlos en la página de inicio de sesión.

De todos modos, mantener los requisitos de contraseña en secreto sería difícil, ya que se han mostrado a todos los usuarios. Un secreto que es compartido por más de 3 o 4 personas ya no es un secreto. Por lo tanto, se puede suponer que el atacante ya conoce sus requisitos de contraseña, y mostrarlos en la página de inicio de sesión no le da ninguna ventaja adicional.

Existe el riesgo de que mostrar los requisitos de contraseña en la página de inicio de sesión pueda confundir a algunos usuarios, ya que dichos requisitos generalmente se muestran en las páginas de registro, no en las páginas de inicio de sesión. Tendrá que tener cuidado en su redacción y presentación. Otro posible problema de usabilidad es si cambia los requisitos de contraseña en algún momento, para las nuevas contraseñas: algunas contraseñas antiguas, pero aún válidas, pueden no coincidir con los nuevos requisitos y, nuevamente, los usuarios correspondientes pueden Ser confundido por el desajuste. Sin embargo, estos no son problemas de seguridad (excepto que los usuarios confundidos son, en general, un peligro potencial para la seguridad).

    
respondido por el Tom Leek 17.01.2012 - 15:17
fuente
2

Para cualquier conjunto razonable de requisitos de contraseña "mínimos", no.

Por ejemplo, si el requisito mínimo es de 8 caracteres alfanuméricos, y la longitud máxima aceptada es de 12 caracteres alfanuméricos, entonces conocer las restricciones reduce el espacio de búsqueda de 36 ^ 12 a (36 ^ 12-36 ^ 8), que es una reducción de 0.00005% (1/36 ^ 4 = 1 en 1.7 millones). La reducción será incluso menor si la longitud máxima es mayor que 12.

Del mismo modo, saber que la contraseña debe tener al menos un carácter "no alfa" reduce el espacio de búsqueda solo en una cantidad insignificante.

Para los requisitos de "debe estar dentro de" (longitud máxima, caracteres permitidos) puede reducir notablemente el espacio de búsqueda. Pero un sistema de contraseña sensato debería permitir al menos 16 caracteres alfanuméricos, e idealmente 32 o más (para permitir que se usen frases de contraseña), lo cual es suficiente para hacer inviable la fuerza por fuerza bruta.

Y, como las notas de respuesta de Tom, el atacante descubrirá las restricciones lo suficientemente pronto si son capaces de crear su propio inicio de sesión / cambiar su propia contraseña.

    
respondido por el Misha 17.01.2012 - 21:17
fuente

Lea otras preguntas en las etiquetas