パスワードに 2 つ以上の文字を繰り返すことは許可されていないことを確立するいくつかのパスワード ポリシーを確認しました (例: "xxxxx5")。しかし、パスワード スペースが縮小されているため、そのポリシーは私には意味がありません (xxxxx5 は非常に安全でないパスワードですが、繰り返し文字を使用してパスワード エントロピーを増加させる非常に優れたパスワードがあります)。のパスワードは、ブルート フォース攻撃を使用してクラックするのがより簡単です (チェックする必要のあるパスワードが少なくなります)。
何か不足していますか?
私はセキュリティの専門家ではないので...
このポリシーが正しいか間違っているか、誰か説明してもらえますか?
ありがとう
計算を簡単にするために、英数字のパスワードのみを許可していると仮定しましょう。したがって、26 + 26+10文字から選択できます。
パスワードの最大長が8文字であると仮定すると、パスワードスペースは62^8になります。
また、パスワードごとに使用できる5つの繰り返し文字の文字列は1つだけです。つまり、パスワードのスペースを62減らし、(62 ^ 8)-62のパスワードの可能性を残します。削減されたスペースの量は、誰かが非常に弱いパスワードを入力するのを防ぐという追加のセキュリティと比較して、まったく重要ではありません。
私は、このポリシーが「辞書の単語やその他の些細なパスワードを避ける」の一部である以上にあまり意味がないことに同意します(ただし、これは有効なポリシーです)。
これらを除外するとパスワードスペースのサイズが小さくなりますが、ハッカーは単語リストを操作し、そのリストの単語が最初に試されるため、従来はそれらを禁止する必要があります。しかし、これがまだどれほど重要かはわかりません。パスワードをできるだけ長くすることが私にとってより重要であるように思われます。同じものよりも余分な繰り返し文字を挿入することをお勧めしますが、このパディングを削除した短いパスワードを使用してください。
「シンプル」であると同時に短いパスワードは、どのように見ても明らかに悪いものです。したがって、「xxxxx5」を除外することは適切なポリシーですが、「hys99h23sblahblahblahblahblahblahblah」はおそらく適切なパスワードです。
のような文字が繰り返される適切なパスワードを許可しないとjjjbtieooygn、セキュリティがわずかに低下します。これは、検索スペースがわずかに減少するためです (攻撃者がルールを知っている場合)。
しかし、このような制限のポイントは、jjjkkklllmmm.
理想的な解決策は、壊れやすいパスワードを拒否することですが、パスワードが壊れやすいかどうかを判断することは非常に難しい問題です。ユーザーが適切なパスワードを使用することを信頼できれば問題にはなりませんが、この記事によると、最も一般的な 3 つのパスワードはpassword、123456、および12345678です。
拒否することは、たまたま高品質の乱数ジェネレーターから取得した人に迷惑をかけるよりも、本当に悪いパスワードを使用しようとしている人を捕まえる可能性xxxxx5がはるかに高くなります.xxxxx5