Impedir la reutilización de contraseñas en diferentes sitios

Navega tus respuestas
6

Generalmente estoy en contra de reglas demasiado estrictas o complejas para aceptar contraseñas (reglas como "Debe contener al menos un carácter en mayúscula, un número y un símbolo" y cosas por el estilo, vea también XKCD # 936: ¿Contraseña corta y compleja, o frase de contraseña larga del diccionario? ). Por lo general, prefiero calcular una métrica solidez (basada en caracteres especiales incluidos y la longitud) y si está por encima de un umbral de entrega, acepto la contraseña, no importa si es fuerte porque es un texto en minúscula liso de 32 caracteres o porque tiene 10 caracteres pero también contiene dígitos en caracteres chinos).

Me gusta este enfoque porque es fácil para los usuarios finales y, asumiendo que los usuarios bien educados elegirán frases de contraseña , Tiendo a considerar sus contraseñas razonablemente seguras.

Sin embargo:

  • Los usuarios pueden usar oraciones increíblemente comunes ( mi nombre es adriano o cosas así). Tan pronto como estén disponibles las buenas estadísticas (tal vez incluso estén disponibles ahora, pero no lo sé), un atacante que obtuvo la lista de contraseñas con hash puede usar esas estadísticas para adivinar las frases de contraseña.

  • No puedo estar seguro de la seguridad de otros sitios y me gustaría evitar que los usuarios reutilicen la misma contraseña para todos los sitios en los que tienen un registro.

Pensé en pedirles que incluyan una palabra aleatoria dada en su contraseña, algo como: Escriba su contraseña, asegúrese de incluir la palabra "honey" en ella . ¿Es razonable? AFAIK no debería hacer hashing débil con la palabra / patrón repetitivo porque la palabra se elige al azar de un diccionario lo suficientemente grande (y específico del idioma).

Sí, simplemente pueden agregar la palabra requerida al texto existente (por ejemplo, "mi nombre es adriano, cariño" ) pero desde el punto de vista del cracker no debería importar porque la palabra es aleatoria y eventualmente los separadores adicionales también mejorarán la seguridad.

    
pregunta Adriano Repetti 14.03.2016 - 11:50
fuente

3 respuestas

5
  

Escriba su contraseña, asegúrese de incluir la palabra "miel" en ella. ¿Es razonable?

No, no lo es.

  • Es posible que los generadores de contraseñas aleatorias no admitan la adición de una palabra específica.
  • Es más difícil de recordar para los usuarios que no usan administradores de contraseñas.
  • Alienta a los usuarios a elegir una contraseña más corta de la que podrían haber usado sin la condición, solo porque quieren recordarla fácilmente.
respondido por el Benoit Esnard 14.03.2016 - 12:14
fuente
3

Si tiene una página de registro público, debe asumir que cualquier atacante conocerá las restricciones de contraseña que debe seguir a sus usuarios. Esto se debe a que cualquiera puede comenzar el proceso de registro para ver cuáles son las restricciones de contraseña. Simplemente visitando la página muchas veces, un atacante podría crear su propio diccionario de palabras requeridas y eliminar efectivamente cualquier posible ventaja de tenerlo en primer lugar.

Ahora considere que hay algunas desventajas (ya mencionadas en otras respuestas), el resultado neto de esta idea es: No recomendado .

    
respondido por el TTT 14.03.2016 - 17:01
fuente
1

Un problema con esa idea es que los usuarios son realmente predecibles. Si logras que incluyan una palabra, es probable que formen una frase corta con esa palabra y, dado que están en Internet, probablemente sea obsceno.

Por ejemplo, si te dan la palabra "miel", es probable que obtengas variaciones en "BloodyHoney", "F ** kingHoney", "I hate honey". Puede elegir un diccionario tan grande como quiera, pero es probable que enfurezca a los usuarios, por lo que ejecutar un ataque de diccionario en su contra con explosivos prefijados y anexados a palabras comunes es probable que ofrezca al menos algunos resultados.

También molesta a las personas que usan administradores de contraseñas: tienen que configurar reglas específicas para su sitio, por lo que es más probable que se vayan. Hago eso con sitios que tienen reglas de caracteres especiales limitadas, ¡y soy más indulgente que algunas personas que conozco!

    
respondido por el Matthew 14.03.2016 - 12:09
fuente

Lea otras preguntas en las etiquetas

Un USB comprometido ¿Cómo y dónde puedo anunciar mejor una vulnerabilidad de XSS en un sitio web relativamente conocido?