¿Por qué un requisito de contraseña prohibiría un número en el último carácter?

Navega tus respuestas
51

Al configurar un nuevo sistema hoy (Juniper Space, una plataforma de administración de red basada en Linux), encontré un extraño requisito de contraseña que tengo curiosidad. Al iniciar sesión en la interfaz de usuario web con las credenciales predeterminadas, se me pidió que cambiara la contraseña, lo cual es bueno, y fui a hacer, pero mi contraseña generada al azar fue rechazada porque el último carácter era un número. Esto me pareció aún más extraño, dado que la contraseña que proporcioné para la interfaz de línea de comandos terminó en un número y fue aceptada.

Enmiexperiencia,losrequisitosdecontraseñacomoestegeneralmentetienenalgúnrazonamientosubyacente, como Q y Z no están presentes en el antiguo teclados telefónicos , o compatibilidad de sistemas heredados o j En definitiva, sistemas / políticas deficientes / lo que sea . Sin embargo, me cuesta mucho más explicar esta política en particular con cualquiera de esas explicaciones.

¿Alguien tiene alguna idea del razonamiento detrás de una política de contraseña que prohibiría un último carácter numérico?

    
pregunta HopelessN00b 14.10.2016 - 20:52
fuente

3 respuestas

55

Es probable que sea un esfuerzo para desalentar las contraseñas que se ajustan a formatos comunes o máscaras de caracteres. Si una política de contraseña requiere el uso de un número, muchas personas elegirán poner su número al final de una palabra o palabras. Aquí hay un par de ejemplos de entornos corporativos:

A los atacantes les gusta este hábito de usuario porque hace que su contraseña híbrida rompa o adivine los ataques con más facilidad. Pueden centrarse en combinar listas de palabras con números agregados al final en lugar de un enfoque de fuerza bruta que consume más tiempo.

Por lo tanto, algunas organizaciones implementan una política como esta en un intento de mejorar la seguridad haciendo que los usuarios pongan sus números en un lugar menos previsible. Parece que, en su situación, no combinan esto con ninguna otra comprobación de complejidad y, en su lugar, rechazan todas las contraseñas que terminan en un número, independientemente de lo aleatorias que sean. Esa no es una muy buena manera de implementar este tipo de comprobación, pero no están solos en este enfoque.

    
respondido por el PwdRsch 14.10.2016 - 22:13
fuente
28

Por experiencia, la regla Must not reuse previous 6 passwords puede hacer que los usuarios empleen un esquema de rotación de contraseñas en el que la contraseña actual pasa de something-that-fits-the-other-rules1 a something-that-fits-the-other-rules7 , para que sea más fácil para ellos mismos al obedecer la regla Must change password every 90 days que es Común en el uso corporativo.

Las herramientas de descifrado de contraseñas podrían usar el conocimiento de este hábito al diseñar contraseñas para adivinar.

La regla Must not contain number as the last character podría ser un intento de eludir dichos esquemas para obligar a los usuarios a elegir nuevas contraseñas que sean significativamente diferentes de las anteriores.

    
respondido por el shoover 15.10.2016 - 00:02
fuente
-4

Porque los programadores piensan en programar computadoras y no en cómo operan las personas reales. Se encuentran donde pueden ejercer un poder arbitrario, por lo que lo hacen, mientras olvidan cuál es el problema real. En este caso, el problema es "hacer que el sistema sea seguro a pesar del comportamiento natural de las personas".

"Haga que las reglas para las contraseñas sean realmente complicadas; hágalas cambiarlas cada semana": casi garantiza que puede encontrar la contraseña en una nota Post-It pegada en el monitor.

    
respondido por el Dave Pullin 16.10.2016 - 16:06
fuente

Lea otras preguntas en las etiquetas

¿Cuál es el propósito de los parámetros DH? ¿Es mejor tener una cámara oculta o visible?