Qual è un requisito di password ragionevole e sicuro per la registrazione dell'utente?

Questa è la politica della password che ho appena ricevuto da UPS (solo per il controllo dello stato del pacchetto):

La password deve contenere da 8 a 26 caratteri. Deve contenere almeno tre dei seguenti tipi di caratteri: lettere minuscole, lettere maiuscole, numeri, caratteri speciali o spazi. La password potrebbe non contenere il tuo ID utente, il tuo nome o il tuo indirizzo e-mail. (SSO_1007)

In realtà, devo generare un po 'il cervello per generare questa password, ma non solo, soprattutto, sono sicuro che dopo 3 giorni dimenticherò qual è questa password. Gli utenti non saranno così felici. La reimpostazione della password può essere frequente. Penso che gli utenti cercheranno di evitare di utilizzare il sito a meno che non debbano.

Qual è una politica di password ragionevole e sicura quando si configura un sito Web? Penso che alcune aziende possano temere che alcuni hacker provino password un milione o più volte, quindi aggiungono tutti quei requisiti per "caratteri speciali, lettere minuscole, maiuscole", ma non sarà ragionevole disattivare l'account o semplicemente disabilitare password e richiede una reimpostazione della password se un utente ha provato 30 volte o 100 volte? Oppure aggiungi un ritardo di 5 secondi ogni volta che l'utente ha provato 30 volte? Se è così, allora quei personaggi speciali non saranno così necessari.

Ad essere sincero, trovo che avere rigorosi requisiti di password sia un fastidio e non un vantaggio. Direi che il più ragionevole è semplicemente specificare una lunghezza, forse caratteri speciali + alfanumerici. Nulla di più sta chiedendo alle persone di scrivere la loro password, il che vanifica lo scopo di avere password sicure. Odio anche dover cambiare la tua password ogni x giorni con le solite ridicole serie di regole (ad es. Non posso riutilizzare le ultime 25 password) - ancora una volta tutto ciò che fa è costringere le persone a scrivere le cose in modo che non dimentichino, a quale punto potresti non chiedere affatto una password.

La mia opinione è che le password dovrebbero avere solo un requisito di lunghezza. Non vuoi che qualcuno inserisca "a" come password. E come mostra la risposta di xkcd, una password estremamente difficile da ricordare non è sempre così sicura. Consenti sempre alle persone di cambiare anche la loro password. E dimentica la merda "non puoi usare nessuno dei caratteri contenuti nella tua password precedente".

Fare una oscena politica delle password farà più male che bene. Al college sono andato alla politica delle password era simile alla politica UPS E dovevi cambiarla ogni 2 settimane E non potevi usare le 50 password precedenti che hai usato. Quindi, ciò che i miei insegnanti mi hanno consigliato quando ci hanno creato degli account è di usare la nostra normale password conforme alle regole e aggiungere un contatore alla fine e inserire la tua password suggerendo qual è il numero del contatore.

Inoltre, una rigorosa politica delle password non farà nulla ogni volta che il tuo database di testo normale viene violato da un bug di iniezione SQL ... o quando invii le password via e-mail ai tuoi utenti e viene intercettato.

Fondamentalmente, non rendere il tuo sistema di password una seccatura per i tuoi utenti o li incoraggerà a fare cose insicure in modo che possano aggirare. Ad esempio, la mia azienda quando riceveva un server dedicato da un data center, ci impostava password lunghe 20 caratteri. Erano troppo sicuri per essere inviati via email e dovevano essere inviati via fax. Non è stato possibile modificare le password, è richiesta solo la generazione di una nuova password di 20 caratteri. Ed è stato così per ogni utente ... quindi quello che abbiamo finito è solo fare un documento di testo sui nostri desktop con la password. Inoltre, non li usiamo più perché per tutta la "sicurezza" che avevano, erano davvero piuttosto insicuri.

Assicurati di consentire spazi. Tutti quelli che conosco possono digitare frasi brevi più velocemente di quanto possano digitare la prima lettera di ogni parola nella frase. Ad esempio, prova a digitare Bird in a Treee quindi BiaT. Questo ha il vantaggio che se scrivi una frase vagamente adatta come pick Up milko Meetings all daysu una nota adesiva, non è ovviamente una password.

Non sono un grande fan delle regole "devi avere numeri e simboli", ma se le applichi in modo coerente (ad es. Sono sempre 1, a è sempre @), puoi comunque scrivere la frase inglese sull'appiccicoso, applicare le regole conosciute solo per parlare e inserire B1rd in @ treenella finestra di dialogo della password. Da un punto di vista della sicurezza, i numeri e i simboli non aggiungono molto, ma non hanno bisogno di farti impazzire come utente.

I siti con la massima lunghezza della password mi fanno arrabbiare se la mia bella frase è considerata "troppo lunga". 26 sembra ragionevole. Capisco che qualcuno debba progettare la larghezza della colonna, ma 12 è semplicemente stupidamente corto.

Sicuro vs. Conveniente

La politica di sicurezza di una password dovrebbe essere adeguata al costo del compromesso. Se il tuo sito web affronta il mio conto finanziario, vorrei una rigorosa protezione con password. Se si tratta di un sito di nicchia dedicato agli Autobot, non è necessaria molta protezione.

Le regole UPS sono ragionevoli ad eccezione di:

• La lunghezza massima è troppo piccola. Dovresti facilitare l'uso delle passphrase che sono più facili da ricordare e possono essere più sicure.

Non ho visto il reset dopo X numero di tentativi nelle regole citate, penso che sia sciocco nella maggior parte dei casi. Penso che sia meglio bloccare qualcuno per un certo periodo di tempo, piuttosto che forzare un ripristino. Ciò implica un certo livello di sicurezza. Se ciò non è necessario, non lo è e il blocco / ripristino è un punto controverso.

Esistono molte regole di politica delle password che presentano al massimo vantaggi di sicurezza marginali. Tuttavia, ci sono anche regole che offrono vantaggi reali e tangibili per la sicurezza della tua password.

Regole (e motivi):

• lunghezza minima

Previene una prova combinatoria e un attacco di errore che interromperanno rapidamente una password molto breve.

• prescrizione contro l'uso di una sola parola inglese (o qualsiasi altra lingua)

Questo impedisce gli attacchi del dizionario.

• inclusione forzata di diverse categorie (es. caso misto, numeri, punteggiatura)

Ciò aumenta lo spazio di attacco medio.

Tutti questi motivi possono essere rintracciati per ridurre al minimo il pregiudizio dell'utente nella scelta delle password. La maggior parte degli utenti è orientata alla creazione di password più brevi e facili da ricordare. Sfortunatamente questo di solito rende la password più facile da attaccare. Ciò di cui la maggior parte degli utenti ha bisogno sono le istruzioni su come creare password memorabili sicure o una passphrase più lunga.

Password memorabili sicure

Quando devo creare una password con un limite di lunghezza, inizio sempre con una frase, quindi ho un mnemonico incorporato. Prendo la frase e ottengo lo stesso carattere posizionale da ogni parola. Ora ho una sequenza di soli personaggi. Scelgo quindi le maiuscole, alcune basate su nomi propri nella frase o per modello (prima e ultima, ogni altra lettera, ecc.). Aggiungo quindi punteggiatura e numeri basati su una regola o un modello arbitrari. (cioè tutti 'j sono 7, usando' & 'dove c'è un' e 'nella frase, ecc.).

Mamma, ho appena ucciso un uomo. Metti una pistola contro la sua testa. Ho premuto il grilletto, ora è morto.

Frase fornita dalla regina

1. mjkampagahhpmtnhd - prima lettera di ogni parola
2. MjkamPagahhPmtnhd - il case corrisponde al case della frase
3. Mjk0mP0g0hhPmtnhd - ha cambiato 'a' in 0
4. Mjk0mP0g0 () Pmtnhd - ha cambiato 'la sua testa' in ()

Dopo averlo digitato alcune volte quando penso alla frase non avrò mai problemi a ricordare.

La password deve contenere da 8 a 26 caratteri

La password minima di 8 caratteri è un'eredità di Lan Manager. Lan Manager ha eseguito l'hashing delle password suddividendole in 2 stringhe di 7 caratteri, quindi l'hash. Richiedendo un minimo di 8 caratteri, hanno garantito che la 2a parola non era la stessa di una password vuota (non c'era sale, quindi ogni istanza di 7 spazi vuoti ha lo stesso risultato).

Sono sicuro che dopo 3 giorni dimenticherò la password.

Ho rinunciato, le regole sono così sciocche e ridicole che le scrivo ora. Tutti tranne i pochi che uso per i siti Web. Il mio attuale datore di lavoro tiene anche traccia delle 24 passate password utilizzate in modo che non possano essere riciclate, né la password può contenere parole inglesi di 3+ ​​caratteri (avanti o indietro). Inoltre, ti assicura di non usare una parola precedente e di incrementare un numero come parte di essa (quindi se P4ssw0rd1fosse usato, non potresti usare P4ssw0rd2, né P4ssw0rd0).

Ho imparato la mia lezione nel modo più duro in ufficio quando ho dovuto cambiare una password, ci sono voluti 45 minuti per far accettare al sistema una sostituzione, quindi ho dimenticato subito cosa avevo inventato e ho dovuto ripristinarlo e sprecarne altri 45 minuti cercando di ottenere qualcosa che potessi ricordare che era abbastanza complesso da soddisfare i requisiti (alcuni dei requisiti sono elencati sopra, alcuni non lo sono e altri non lo so). Non è molto divertente cercare di trovare qualcosa che soddisfi le regole che non ti è permesso conoscere. Almeno con giochi come Mastermind ti vengono dati degli indizi su quanto ti avvicini. In ufficio, alcune persone usano una smart card , non sono uno di loro.

Usare bcrypt quando si memorizza la password è un buon primo avvio, semplicemente perché rende impossibili i tentativi di hacking a forza bruta.

Ragionevole e sicuro si escludono a vicenda. Sono le due estremità di un'asta. Trovare un equilibrio nel mezzo sarà la cosa migliore. Per la sicurezza e la gente annota le password o usa la funzione di sblocco password totalmente non sicura.

L'esempio sopra sembra essere più incline alla sicurezza che alla ragionevole. Ho visto di peggio.

Preferisco sporgermi verso il ragionevole. La chiave è inclinarsi verso il sicuro nel back-end. Conservare il meno possibile utilizzare sali ecc. Tutti gli ultimi metodi consigliati per codificare le password nel database e codificarli in un modo. Quindi mantieni sicuro il tuo database e il tuo codice. Addestra anche chiunque abbia i diritti di amministratore sul tuo sistema di cui ha bisogno per usare una password sicura unica. Recentemente è stato dimostrato che mettere insieme più parole del dizionario è più sicuro che trascinare caratteri e maiuscole speciali. Richiedeva corrispondenze di dizionario composte che in realtà aumentavano il tempo per gli hacker, tuttavia erano ancora memorabili per gli utenti.

Non una parola del dizionario o una sua banale variazione. Questo è tutto. Un insieme di due parole del dizionario è praticamente indistruttibile. Un sostituto di una sola lettera per un personaggio che non è un ovvio sostituto (0-O, 1-I, 5-S).

Inoltre, se si limita il tempo di risposta - password accettata / negata dopo 1 secondo e non sono consentiti due tentativi paralleli per lo stesso accesso - si deve terminare (OK o errore) prima di provare un altro, qualsiasi lettera minuscola di 6 lettere non dizionario la password di caratteri speciali richiederà 9 anni per essere interrotta.

La complessità del requisito della password deve essere bilanciata con il contenuto dei siti. Una banca dovrebbe richiedere una password molto complessa (lettere maiuscole, minuscole, numeri e caratteri speciali). Tuttavia, se il contenuto è banale, come le ricerche salvate e i numeri di tracciamento, i requisiti della password dovrebbero essere ridotti. La lunghezza minima di 6 caratteri dovrebbe essere sufficiente. Altrimenti, infastidirà semplicemente il tuo pubblico e gli impedirà di creare un accesso.