Sitios web que imponen estándares de contraseña débiles (Actualizado) [duplicado]

Navega tus respuestas
5

Por favor, tenga en cuenta : no voy a nombrar los sitios web que tienen estos estándares horribles para sus clientes y usuarios.

He tenido que cambiar mis contraseñas para mi actualización de rutina recientemente en los últimos meses, varios de mis servicios principales que utilizo obligan a utilizar estándares de contraseña más débiles. Estos estándares más débiles, que todas mis contraseñas deben tener, son símbolos especiales ( !@#$%^&* ) y otros requisitos especiales.

Algunos de los principales problemas que surgieron con mi contraseña utilizando sus estándares de contraseña son los siguientes:

  • No debe comenzar con un número
  • No debe tener un carácter especial
  • Debe tener un máximo de 8 a 12 caracteres (dependiendo del servicio)

¿Por qué promoverían contraseñas más débiles con estos requisitos?

Pensé que las contraseñas debían ser (actualmente) todo el tiempo que queramos, tener caracteres especiales y a quién le importa si comienza con un número, etc., etc., etc.

Actualización 1

Es posible que haya olvidado los detalles de lo que está sucediendo, pero puedo proporcionar más información sobre los problemas que estoy viendo aquí.

Uno de estos servicios es mi compañía bancaria y el otro es mi proveedor de servicios de telefonía celular. Estoy atascado con estos dos servicios dados donde vivo. Estos servicios se utilizan ampliamente, por lo que deberían poder pagar una seguridad de alta calidad.

    
pregunta Traven 29.07.2014 - 21:05
fuente

3 respuestas

14

Si usa la misma contraseña para varios sitios distintos, entonces usted está haciendo algo mal. Cada contraseña será específica del sitio. Por lo tanto, no habrá ninguna razón por la que los "estándares más débiles" tengan algún impacto en "todas sus contraseñas".

(De manera similar, no hay una razón racional para cambiar todas sus contraseñas de manera regular. Existe una costumbre generalizada de renovación frecuente de contraseñas, pero es una "práctica común", ciertamente no es una "mejor práctica"). / p>

Si tiene contraseñas específicas del sitio, los requisitos mal diseñados solo afectarán ese sitio. En última instancia, cada sitio mantiene su propia seguridad y sus "requisitos de contraseña" son parte de ella. Si un sitio impone un tamaño de contraseña máximo de 8 caracteres, esto significa que:

  • El propietario del sitio no tiene un buen conocimiento de la seguridad.
  • El sitio es probablemente muy débil de muchas maneras; los requisitos de contraseña extraños son, generalmente, solo la punta del iceberg.

Por lo tanto, concentrarse en la contraseña pierde el punto. La seguridad de ese sitio apesta a y usted no puede hacer nada al respecto , excepto el aislamiento del sitio problemático, que se realiza al no reutilizar las contraseñas.

    
respondido por el Tom Leek 29.07.2014 - 21:18
fuente
6

Explicaciones para reglas de contraseñas débiles

Bueno, esas son obviamente malas reglas. Pero aquí hay algunas explicaciones posibles (o "explicaciones") para ello:

  

No debe comenzar con un número

El propietario del sitio podría pensar que esta es una buena regla. Para evitar, por ejemplo, 1234546 o simplemente anteponer una frase común con '1' (por ejemplo, 1password )

  

No debe tener un carácter especial

El propietario puede temer que su sistema (formulario, algoritmo de cifrado, ...) no pueda manejar caracteres especiales o que estos sean un riesgo de seguridad.

  

Debe tener un máximo de 8 a 12 caracteres (dependiendo del servicio)

Algunos algoritmos de cifrado truncan la contraseña después de 8 caracteres . Esto no significa que una contraseña no pueda ser más larga, pero el propietario podría pensar esto. También pueden temer que un usuario ingrese una contraseña ridículamente larga, que podrían temer romper su sistema.

Nuevamente, estas no son buenas razones, sino razones que alguien podría tener.

Con respecto a su actualización: ¿Por qué no cambiar estas reglas?

  

Además, estos dos servicios con los que estoy atascado gobiernan mi área y dónde   Yo vivo.

y:

  

Con todo ese dinero, recursos y algunos de los empleados de TI en el   industria, deberían estar al tanto de las normas

No parece que tengan un gran incentivo para cambiar. La pérdida de clientes parece improbable si se trata de un servicio importante que solo dos empresas ofrecen. Dependiendo del país, es probable que se salve para esperar una demanda (que tal vez ni siquiera llegue) y (en caso de que incluso se gane) pagar una pequeña cantidad de dinero.

Y cambiar un sistema grande no es tan fácil como parece. Si se trata de un sistema antiguo (que podría ser muy bien), podría ser posible que no pueda manejar caracteres especiales (especialmente no todos los caracteres utf8). ¿Por qué cambiarlo cuando funciona ahora? (es lo que probablemente están pensando - si esto es un problema que conocen).

    
respondido por el tim 29.07.2014 - 22:14
fuente
3

Una razón para imponer contraseñas más débiles es que una contraseña más débil es más fácil de recordar para el usuario. Cuando el usuario olvida su contraseña, se debe utilizar un procedimiento de recuperación automática de contraseña. Dicho procedimiento generalmente implica que se envíe una contraseña de texto simple a una cuenta de correo electrónico. Esto ofrece una gran cantidad de superficie de ataque que está fuera del control del sitio web. Cuanto menos a menudo los usuarios olvidan sus contraseñas, menos a menudo necesitan iniciar este procedimiento.

Por otro lado, los escenarios de ataque en los que la seguridad de la contraseña es importante, como el formulario de inicio de sesión forzado o el robo de su base de datos, están bajo su control. Pueden tomar medidas para prevenirlos.

Cuando las personas necesitan elegir entre el riesgo que pueden controlar y el riesgo que no pueden, tienden a elegir el primero.

    
respondido por el Philipp 29.07.2014 - 21:54
fuente

Lea otras preguntas en las etiquetas

¿Cómo se correlaciona CSRF con la política del mismo origen? Cómo almacenar el IV y la clave de forma temporal pero segura