4

ご覧いただきありがとうございます。心から役立つ回答はすべて投票されます。

パスワード強度メーターを使用して、選択したパスワードの強度をユーザーに知らせます。しかし、このパスワード チェッカーは明らかに、辞書攻撃に対するパスワードの脆弱性をカバーしていません。どうすればそれを確認できますか?それは価値がありますか?

また、通常のパスワード チェッカーは、最初はブラウザーで JavaScript を使用して実行されます (送信は不要です)。辞書攻撃の弱点をチェックしたい場合は、それをスクリプトに送信する必要があります。私の理解では、それを平文で送信するべきではないということです。

誰かがこれを整理するのを手伝ってくれますか? 辞書攻撃に対してパスワードが脆弱ではないことを確認するにはどうすればよいですか? また、スクリプトに送信する前にパスワードを暗号化するにはどうすればよいですか?

追加情報:

通常のパスワードメーターに加えて、なぜ辞書攻撃チェックが必要だと思いますか? ご指摘のとおり、ユーザーは P@ssword や Yellow12 などのパスワードを選択できます。しかし、私が遭遇したほとんどのパスワード強度チェッカーは、これを適切なパスワードとして扱います。少なくとも私は、Yet Another Password Meterを使用していますが、実際に使用しています (実際、これはより優れたパスワード チェッカーの 1 つだと思います)。より強力なパスワード チェッカーを知っている人がいる場合は、それについて言及してください。ただし、経験に基づいて確実に知っている場合に限ります。それが強いこと;)

しかし、私の質問は次のとおりです。パスワードに対して辞書攻撃チェックを行うにはどうすればよいですか? ハッシュに対して行われていることをどこかで読みましたが、どこで検索を行うのですか? それを行う方法を見つけたら、それが価値があるかどうかを判断します。

これまでに助けてくれたすべての人に感謝します:)

4

5 に答える 5

6

意見はさまざまですが、辞書の単語をチェックすることが重要であると言う人もいます。私は同意しません。代わりに、!@#$%^&*()_-=+ のような文字、数字、および特殊文字のさまざまなケースを要求することを支持します。明らかに、パスワードは大文字と小文字を区別する必要があります。

辞書攻撃は、数字や特殊文字が存在する場合、成功する可能性がはるかに低くなります。1000 の一般的なパスワードがあるとしましょう。必要な大文字と特殊文字を追加したので、ユーザーが「怠け者」で、最初の文字を大文字にして最後に特殊文字を追加することを選択したと仮定します。その 1000 サイズの辞書は、現在 30,000 を超えています。

さらに、辞書攻撃を回避するために、アカウントのロックアウトを実施する必要があります。また、アプリケーションに応じて、IP アドレスがログインを試行できる頻度が制限される可能性があります。

スクリプトの実行中に、いくつかの非常に一般的なパスワードを回避する場合がまだあるかもしれません。たとえば、単語 password p@ssword やパスワードのバリエーションは許可しません。

編集:キャプチャは、ほとんどの人(私を含む)に嫌われていますが、ブルートフォースログインの試行を避けるために、ログインに数回失敗した後にも適切な場合があります.

于 2009-10-18T06:24:04.453 に答える
4

私は他の質問よりも遅れてこの質問に来ていますが、辞書のチェックが網羅的ではないかもしれないと誰も指摘していないことに驚いています。少なくとも誰もそんなに多くの言葉でそれを言っていません。

各エントリがハッシュされ、ハッシュされたパスワードと比較される大きな辞書が必要だと思います。これにより、ユーザーが選択したパスワードが辞書にないことを示すことができますが、それが完全であることをどのように確認しますか?

明らかに、あなたは確信が持てません。外国語は含まれていますか?専門用語?

パスワードクラッカーはより良い辞書にアクセスできますか?

できることは、適切なパスワードを作成する方法をユーザーにアドバイスすること(いくつかの例を示すこと)だけだと思いますが、それはユーザーの選択に任せてください。

そしてSSLのことをしなさい。

于 2009-10-18T07:30:22.000 に答える
4

追加のポイント - サイトを制御している場合、ユーザーがユーザー/パスを試行できる回数を制限することで、辞書攻撃を停止できます。

ユーザーがより良いパスワードを使用できるようにすることは素晴らしいことであり、その方向に進む必要がありますが、辞書/ブルート フォース攻撃に対するより良い解決策は、失敗したログイン試行に対する指数関数的なバックオフ ソリューションです。実際のユーザーは、すべて異なるパスワードで 10 秒間に 1000 回ログインを試みることはありません。

于 2009-10-19T09:37:44.527 に答える
3

適切な複雑さの要件 (長さ、大文字と小文字の組み合わせ、数字、記号、および char を連続して繰り返すことを禁止する) を使用している場合、それは本当に価値がないと思います。それが必要な状況にある場合、おそらくパスワード認証はあなたの状況には十分ではありません.

于 2009-10-18T06:24:50.970 に答える
3

SSL

ウェブサイトやページで、パスワードなどの機密性の高い個人情報を要求する場合は、サイト全体で SSL を有効にして強制する必要があります。これにより、すべてのパスワードがブラウザからサーバーに暗号化された形式で送信され、誰もネットワークからパスワードを盗んだり、転送中のページを変更したり (フォームのポストバック URL を変更したり) できないようになります。

パスワードメーター

パスワード メーターは完全にブラウザで実行する必要があります。ユーザーが入力するすべてのパスワード (たとえば 6 文字以上) を受け入れる必要があります。

于 2009-10-18T06:31:42.357 に答える