Що таке розумна та безпечна вимога пароля для реєстрації користувача?

Це політика щодо паролів, яку я щойно отримав від UPS (лише для перевірки стану пакету):

Ваш пароль повинен бути довжиною від 8 до 26 символів. Він повинен містити щонайменше три з наступних типів символів: малі літери, великі літери, цифри, спеціальні символи чи пробіли. Пароль може не містити ваш ідентифікатор користувача, ваше ім’я або вашу адресу електронної пошти. (SSO_1007)

Мені насправді доводиться дещо перекручувати мозок, щоб генерувати цей пароль, але не тільки це, головне, я впевнений, що через 3 дні я забуду, що це за пароль. Користувачі не будуть такими раді. Скидання пароля може бути частим. Я думаю, що користувачі намагатимуться уникати використання сайту, якщо їм не доведеться.

Що є розумною та безпечною політикою щодо паролів при створенні веб-сайту? Я думаю, що деякі компанії можуть побоюватися деяких хакерів, які намагаються ввести мільйони разів або більше паролів, тому вони додають усі ці вимоги до "спеціальних символів, малих літер, великого регістру", але не буде розумним вимкнути обліковий запис або просто вимкнути пароль і вимагати скидання пароля, якщо користувач намагався 30 разів або 100 разів? Або додавати затримку на 5 секунд щоразу, коли користувач намагався 30 разів? Якщо так, то ці особливі символи не будуть настільки потрібні.

Якщо чесно, я вважаю, що суворі вимоги до пароля є роздратуванням, а не користю. Я б сказав, як правило, найбільш розумним є просто вказати довжину, можливо, спеціальні символи + буквено-цифрові. Все більше просять людей записувати свій пароль, що перешкоджає цілі захисту захищених паролів. Я також ненавиджу змінювати ваш пароль кожні x дні за допомогою звичайного смішного набору правил (наприклад, не можу повторно використовувати останні 25 паролів) - знову ж таки, все, що потрібно, змушує людей записувати річ, щоб вони не забували, на в який момент ви також можете взагалі не запитувати пароль.

На мою думку, паролі повинні мати лише вимогу довжини. Ви не хочете, щоб хтось вводив "а" як свій пароль. І як показує відповідь xkcd, надзвичайно складно запам'ятати пароль, не завжди є таким безпечним. Завжди дозволяйте людям також змінювати свій пароль. І забудьте про лайно "ви не можете використовувати жодного символу, який містився в попередньому паролі".

Створення нецензурної політики щодо пароля принесе більше шкоди, ніж користі. У коледжі я пішов, щоб політика щодо паролів була схожа на політику UPS І вам довелося міняти її кожні 2 тижні І ви не могли використовувати попередні 50 паролів, які ви використовували. Отже, те, що рекомендували мої вчителі під час налаштування облікових записів, - це використовувати наш звичайний пароль, який відповідає правилам, і додати лічильник до кінця, а також вказати у своєму паролі підказку, що таке лічильник.

Крім того, сувора політика щодо паролів нічого не зробить, коли ваша звичайна текстова база даних буде зламана помилкою ін'єкції SQL ... або ви надсилаєте паролі своїм користувачам, і вона перехоплюється ..

В основному, не робіть вашу систему паролів клопотом для своїх користувачів, або це спонукатиме їх робити незахищені речі, щоб вони могли обійти її. Наприклад, в моїй компанії, коли отримували виділений сервер із центру даних, вони встановлювали нам паролі, довжиною яких було 20 символів. Вони були надто захищені, щоб надіслати нам електронну пошту, і їх потрібно було надіслати факсом. Ми не змогли змінити паролі. Попросили створити новий 20-символьний пароль. І це було таким чином для кожного користувача ... тому те, що ми в кінцевому підсумку робимо - це просто зробити текстовий документ на наших робочих столах з паролем. Крім того, ми їх більше не використовуємо, оскільки за всю "безпеку", яку вони мали, вони були справді незахищеними.

Обов’язково допустіть пробіли. Усі, кого я знаю, можуть вводити короткі фрази швидше, ніж вони можуть набрати першу букву кожного слова у фразі. Наприклад, спробуйте ввести, Bird in a Treeа потім BiaT. Це має перевагу в тому, що якщо ви нечітко пишете відповідну фразу на кшталт pick Up milkабо Meetings all dayна клейкій записці, це очевидно не пароль.

Я не є великим прихильником правил "у вас повинні бути цифри та символи", але якщо ви їх застосовуєте послідовно (наприклад, я завжди 1, a завжди @), ви все одно можете написати англійську фразу на клейку, застосувати всі відомі вам лише літні правила і введіть B1rd in @ treeу діалоговому вікні пароля. З точки зору безпеки, цифри та символи не додають багато, але вони не повинні змусити вас з розуму бути користувачем.

Сайти з максимальною довжиною пароля викликають роздратування, якщо моя приємна фраза вважається "занадто довгою". 26 видається розумним. Я розумію, хтось повинен спроектувати ширину стовпчика, але 12 просто тупо короткий.

Безпечний проти зручного

Політика безпеки пароля повинна відповідати вартості компромісу. Якщо ваш веб-сайт передує мій фінансовий рахунок, я хотів би жорстку захист паролем. Якщо це нішевий фан-сайт про Autobots, вам не потрібен дуже великий захист.

Правила ДБЖ є розумними, за винятком:

• Максимальна довжина - занадто мала. Вам слід полегшити використання парольних фраз, які легше запам’ятати і можуть бути більш безпечними.

Я не бачив скидання після кількості X спроб у цитованих правилах, я думаю, що це дурно в більшості випадків. Я думаю, що вам краще зафіксувати когось на певний час, а не примушувати до скидання. Це передбачає певний рівень безпеки. Якщо це не потрібно, то це не так, і блокування / скидання є суперечливим моментом.

Існує багато правил політики щодо паролів, які мають кращі переваги безпеки. Однак є також правила, які дійсно мають відчутну користь для безпеки вашого пароля.

Правила (та причини):

• мінімальна довжина

Запобігає комбінаторному випробуванню та атаці помилок, які швидко зламають дуже короткий пароль.

• заборона проти використання одного англійського слова (або будь-якої іншої мови)

Це запобігає атакам словника.

• примусове включення різних категорій (тобто змішаний регістр, цифри, розділові знаки)

Це збільшує середній простір для атаки.

Всі ці причини можна простежити до мінімізації упередженості користувача у виборі паролів. Більшість користувачів упереджено створюють короткі паролі, які легко запам'ятовуються. На жаль, зазвичай це полегшує атаку пароля. Найбільше користувачів потребують інструкції щодо створення захищених запам'ятовуючих паролів або довшої парольної фрази.

Безпечні пам'ятні паролі

Коли мені потрібно створити пароль з обмеженням довжини, я завжди починаю з фрази, тому у мене є вбудована мнемонічна. Я беру фразу і отримую однаковий позиційний символ від кожного слова. Зараз у мене є послідовність просто символів. Потім я вибираю великі літери, деякі на основі власних назв у фразі, або за шаблоном (перший і останній, кожен інший лист тощо). Потім я додаю розділові знаки і цифри на основі якогось довільного правила або шаблону. (тобто всі "j" - це 7, використовуючи "&" там, де є "і" у фразі тощо).

Мамо, щойно убив людину. Покладіть пістолет до голови. Спустив мій курок, тепер він мертвий.

Фраза, надана королевою

1. mjkampagahhpmtnhd - перша буква кожного слова
2. MjkamPagahhPmtnhd - корпус відповідає збігу словосполучень
3. Mjk0mP0g0hhPmtnhd - змінив 'a' на 0
4. Mjk0mP0g0 () Pmtnhd - змінив "голову" на ()

Після того, як я кілька разів набираю її, думаючи фразу, я ніколи не матиму проблеми з запам'ятовуванням.

Ваш пароль повинен бути довжиною від 8 до 26 символів

Мінімальний пароль довжиною 8 символів - це спадщина Lan Manager. Лан Менеджер хеширував паролі, розбиваючи їх на 2 7-символьні рядки, а потім їх хешировав. Потрапивши мінімум 8 символів, вони гарантували, що 2-е слово не буде таким, як для порожнього пароля (солі не було, тому кожен екземпляр із 7 заготовок хеширував один і той же результат).

Я впевнений, що через 3 дні я забуду, що це за пароль.

Я відмовився, правила настільки нерозумні і скупі, що я їх зараз записую. Усі, крім кількох, які я використовую для веб-сайтів. Мій нинішній роботодавець також відслідковує останні 24 введені паролі, щоб їх не вдалося переробити, а також пароль не може містити англійського слова 3+ символів (вперед або назад). Він також гарантує, що ви не використовуєте попереднє слово і збільшуєте деяку кількість як частину його (тому, якщо вони P4ssw0rd1були використані, ви не могли б використовувати P4ssw0rd2і не P4ssw0rd0).

Я засвоїв свій урок важким способом в офісі, коли мені довелося змінити пароль, потрібно було 45 хвилин, щоб система прийняла заміну, а потім негайно забула, що я придумала, і довелося її скинути і витратити ще 45 хвилин, намагаючись знайти щось, що я міг згадати, що було досить складним для задоволення вимог (деякі вимоги перераховані вище, деякі - ні, а деякі - не знаю). Намагатись придумати щось, що відповідає правилам, яких ти не можеш знати. Принаймні з такими іграми, як Mastermind, вам даються підказки щодо того, наскільки ви близькі. В офісі деякі люди користуються смарт-карткою , я не з них.

Використання bcrypt під час зберігання пароля є хорошим першим початком, просто тому, що робить спроби злому грубої сили нездійсненними.

Розумні та безпечні взаємовиключні. Вони є двома кінцями стрижня. Найкраще досягти балансу в середині. Наближаючись до безпечного, і люди записують паролі або користуються повністю незахищеною функцією розблокування пароля.

Наведений вище приклад здається більше схильним до безпечного, ніж розумного. Я бачив гірше.

Я вважаю за краще схилятися до розумного. Ключ полягає в тому, щоб нахилитися до захищеного на задньому плані. Зберігайте якомога менше використання солей тощо. Усі останні рекомендовані методи кодування паролів у вашій базі даних та кодування їх також одним способом. Потім збережіть свою базу даних та код у безпеці. Також навчіть тих, хто має права адміністратора на вашу систему, що їм потрібно використовувати унікальний захищений пароль. Нещодавно було показано, що поєднання кількох словних слів є більш безпечним, ніж перетягування спеціальних символів та регістру. Це вимагало складних матчів словника, які дійсно складають час для хакерів, проте вони все ще запам'ятовувалися для користувачів.

Не словникове слово чи тривіальна його зміна. Це воно. Пачка з двох словникових слів майже не піддається нездійсненню. Однолітерний замінник символу, який теж не є очевидним замінником (0-O, 1-I, 5-S).

Крім того, якщо ви обмежите час відповіді - пароль прийнятий / відхилений після 1s, і не допускаються дві паралельні спроби одного і того ж входу - одну слід закінчити (ОК або помилка), перш ніж спробувати іншу, будь-який 6-літерний не-словник з малих літер ні -паркові символи знадобляться 9 років.

Складність вимоги до пароля повинна бути збалансована із вмістом ваших сайтів. Банку слід вимагати дуже складний пароль (великі, малі, цифри та спеціальні символи). Однак якщо вміст є тривіальним, як-от збережені пошукові запити та номери відстеження, вимогу пароля слід зменшити. Мінімальна довжина 6 символів повинна бути достатньою. В іншому випадку це просто роздратує вашу аудиторію і стримує їх створити логін.