1

6 文字の長さで、数字が 1 つ必要で、「煩わしい」と韻を踏まなければならないパスワードを要求するさまざまな Web サイトに遭遇したことはありませんか。

明らかに、これが必要な場合もあれば、すべてセキュリティのためである場合もあるレガシーな理由があります。私が持っている標準的なパスワードのセットは、これらの固有のルールと一致しないことが多いため、新しいパスワードを作成して覚えなければならないため、かなり面倒です。

ユーザーのパスワードがどれだけ複雑かを気にしているのであれば、セキュリティの観点からもっと重要なことがあるようです。誰かが実際にそのパスワードを手に入れることができた場合、明らかにより大きな問題を心配する必要があります. ユーザーが自分のセキュリティについて心配することに頼る前に、自分の役割を果たし、システムの最後をロックダウンしてください。

私の実際の質問は次のとおりです。これらの複雑なパスワード ルールに代わるものとして、ユーザーが複雑なことを覚えるという重荷を負わずに、レインボー テーブルやブルート フォース ハッシュ リバーサーのリスクを軽減する方法はありますか?

いくつかのアイデア:塩漬け、...

4

6 に答える 6

8

ほとんどすべてのサイトは、選択したパスワードに関係なく、パスワードをソルティングおよび暗号化します. 問題は、レガシー コードやサーバー側のデータベース セキュリティなどではありません。ほとんどの場合、開発者はそれをカバーしています。問題は、非常に簡単に破られる遅れたパスワードを送信する愚かなユーザーです。ルールのポイントは、あまりにもばかげたパスワードを選択しないように強制することです。

ここに参照リンクがあります。http://www.codinghorror.com/blog/archives/001206.html

于 2009-01-09T17:53:17.520 に答える
5

パスワード ルールの理由は、「より強力な」パスワードを試行して保証することです。これは、実際には、ブルート フォース攻撃でパスワードを見つけるのに平均してより多くの試行が必要であることを意味します。最近の Twitter の混乱のような多くの例の後でも、ほとんどの人はJoe のパスワードや、ブルート フォース攻撃に対して脆弱な辞書の単語を使用します。

最善の方法は、パスワードの背後にあるデータの価値と、パスワードを解読するためのコスト (労力) を尋ねることです。値が小さい場合、複雑なルールは必要ありません。また、パスワードはまったく必要ないかもしれません。値が高い場合は、より難しくする必要があります。

于 2009-01-09T17:55:22.070 に答える
1

キーパスを使う

http://keepass.info/

手間が減ること間違いなしです。

于 2009-01-09T17:49:41.147 に答える
1

さて、これが全体の話です。

まず、スキームの「良さ」の尺度を定義しましょう。パスワードなどでは、ブルート フォース攻撃でアクセスを取得するまでの平均試行回数が測定値になります。

パスワードがn文字のアルファベットSから抽出され、パスワードの長さがkであるとします。この場合、考えられるパスワードの総数はn kです。

したがって、平均して、ブルート フォース攻撃は、約n k /2またはn k-1回の試行で成功したパスワードを見つけます。

便宜上、また、ここでは説明しないいくつかの情報理論上の考慮事項のために、通常、これをビット数として表現します。これはlg n kであり、lgは底 2 の対数を表します。離散的なものとしてのビットの場合、実際には通常、その数の上限、つまりlg n kよりも大きい最小の整数を取りますが、実際には小数値は完全に正当です。

印刷可能な文字、8 文字のパスワード、およびその他の規則がない場合、その数は 100 8または約 10 16の近くになります。つまり、約 53 ビットです。唯一のことは、そのようなランダムなパスワードを覚えることはほとんど不可能だということです。それらは黄色い付箋になってしまう傾向があり、その種の攻撃に対して脆弱になります。それでも、それは限定的なケースです。力ずくでそれを推測するには、約 100 兆回の試行が必要です。試行ごとに 1 ペニーの費用がかかる場合、理論的には、泥棒の時間の価値がある前に、データは 1 兆ドルもの価値になる可能性があります。

一方、一般的に使用されている辞書の単語は約 50,000 語しかありません。これは約 16 ビットです。総当たりで約 25,000 回の試行が必要です。試行ごとに 1 セントの費用がかかると考えてください。データの価値は 250.00 ドルを超えないようにすることをお勧めします。

これらは両方ともルールの適用です

R=P×H

ここで、Rはリスク、Pは悪い考えが発生する確率、H (ハザード) は悪いことが起こった場合のコストです。

1 回の試行は高すぎますが、必要なツールは揃っています。データの価値を把握すると、この方法を使用して、必要なルール セットの範囲を決定できます。(ただし、ルールを厳しすぎると、受け入れ可能なパスワードのセットのエントロピーが小さくなるので注意してください。よく考えた結果、セキュリティがすべての中で最適なパスワードを決定したという古いジョークにたどり着くまでは、'*8h%' です。 Jd!' であるため、すべてのユーザーがそのパスワードの使用を開始します。)

于 2009-01-10T03:04:27.297 に答える
0

訓練を受けていないユーザー (ほとんどの Web アプリケーションの通常のタイプ) が自然で覚えやすいものは、簡単にクラックできます。クラッキング ソフトウェアは、訓練を受けていないユーザーが使用する可能性のあるすべてのパスワードを調べることができるため、保存するために何をするかは問題ではありません。ソルティングとハッシュは、ユーザーが適切なパスワードを持っている場合にのみ有効です。

解決策は、ユーザーにもっと複雑なこと (拒否している) を覚えてもらうか、ユーザーが覚えていることではなく、ユーザーが持っているものに基づいて検証することです。これは、書き留めたパスワード、数秒ごとに変化する予測不可能な数字を生成するセキュリティ フォブの 1 つ、またはより難解なもののいずれかです。

Web サイトでできることは、あらゆる種類の強力なパスワードを許可することです。「特殊文字を使用しない」などのルールがある強力なパスワード (通常は金融または医療) を使用したいサイトは嫌いです。(もちろん、私は強力なパスワードを再利用するのは好きではありません。私の HMO セキュリティをクラックする人に、私の Barnes & Noble アカウントから自由に注文してほしくないのです。)

これはおそらくあなたが望んでいた答えではありませんが、悪者は、ほとんどの人が快適に感じるようなカジュアルなセキュリティを圧倒する能力を持っています.

于 2009-01-23T17:44:58.907 に答える
-1

Keepassには、ほとんどの場合WindowsでUSBフラッシュドライブから直接実行できる(たとえば、インストールする必要がない)という利点もあります。keepassとデータベースファイルの両方をUSBキーに置くと、すばやく簡単にポータブルなパスワード参照データベースを利用できます。USBドライブを紛失したかのように、強力なパスワードでキーパスを保護するようにしてください。

于 2009-01-09T18:15:15.463 に答える