it-swarm.com.de

Wäre es manchmal sicherer, kürzere Passwörter zuzulassen?

Erleichtert das Erfordernis bestimmter Kriterien für Passwörter das Brute-Force-Verhalten?

Es schien mir immer, dass Websites, die die Verwendung von "unsicheren" Passwörtern einschränken, es möglicherweise einfacher machen, die Passwörter brutal zu erzwingen, da Angreifer keine dieser Passwörter mehr überprüfen müssen. Die grundlegendste dieser Anforderungen (und wahrscheinlich die häufigste) wäre die Notwendigkeit, dass ein Kennwort 8 Zeichen oder länger sein muss. Es wurde in einigen anderen Themen diskutiert:

Der allgemeine Konsens darüber ist, dass das Erfordernis längerer/härterer Passwörter nicht unbedingt das Knacken erleichtert, da die meisten Passwörter, die nicht zugelassen werden, ohnehin keine wahrscheinlichen Passwörter sind (da die große Mehrheit der Benutzer keine zufällige Zeichenfolge verwenden würde von Zeichen).

Ich habe immer noch das Gefühl, dass die meisten Leute wahrscheinlich ein Passwort verwenden, das die erforderliche Länge hat oder nur 1 oder 2 Zeichen über dem Limit liegt. Unter der Annahme, dass nur alphanumerische Zeichen verwendet werden und mehr als 8 Zeichen erforderlich sind, werden etwa 3,5 Billionen Kennwortmöglichkeiten entfernt (die meisten davon wären nur zufälliger Kauderwelsch). Dies lässt ~ 13 Billiarden Passwörter mit 8-9 Zeichen übrig. Meine Hauptfrage lautet: Würde es mehr als einen vernachlässigbaren Unterschied in der Sicherheit von Websites machen, wenn manchmal nur Kennwortanforderungen gelten?

Beispiel : Möglicherweise müssten 1/100 Versuche, ein Passwort zu erstellen, bestimmte Kriterien nicht erfüllen, sodass Angreifer alle Passwörter testen müssten, da das Passwort möglicherweise weniger als 8 Zeichen enthält

20
MisterEman22

Eine verwandte Frage, die Sie in Ihrer Liste verpasst haben, ist folgende:

Wie wichtig ist es, die Länge Ihres Passworts geheim zu halten?

Die dort akzeptierte Antwort (Haftungsausschluss: meine) zeigt, dass, wenn Sie ein Passwortschema haben, das alle 95 druckbaren ASCII-Zeichen zulässt, der Schlüsselraum jedes Mal, wenn Sie die Länge des Passworts um 1 erhöhen, wahnsinnig schnell ansteigt. Sie können alle Passwörter überprüfen bis zur Länge N in etwa 1% der Zeit, die Sie benötigen, um nur Passwörter der Länge N + 1 zu überprüfen. Wenn Sie ein Passwort ablehnen, das kürzer als eine bestimmte Cutoff-Länge ist, geben Sie weit weniger als 1% Ihres Schlüsselraums auf.

Also stimme ich @Iszi mit Nachdruck zu

Der Vorteil, der durch das Erzwingen einer längeren Länge erzielt wird, überwiegt bei weitem die Anzahl der möglichen verlorenen Passwörter.


Nächster Punkt: Lassen Sie uns aus der Idee herauskommen, dass 8 Zeichen für ein Passwort lang sind. Es ist nicht. Sie sagen "~ 13 Billiarden Passwörter", als wäre das eine große Zahl. Es ist nicht. Laut dieser Artikel (was übrigens eine großartige Lektüre ist) könnte sein Passwort-Cracking-Rig 350 Milliarden Vermutungen pro Sekunde anstellen, sodass jedes einzelne Ihrer ~ 13 Billiarden Passwörter einzeln in ~ geknackt werden kann 10 Stunden. Und das ist auf Hardware von 2013, GPUs haben seitdem viel an Leistung gewonnen.


Meine Meinung ist, dass Websites darüber streiten können, wer die besseren Passwortanforderungen hat, aber sie sind viel zu schwach . Unsere Fähigkeit, Passwörter zu knacken, wächst viel schneller als unsere Fähigkeit, sich längere zu merken. Dies liegt daran, dass Sicherheit und Benutzerfreundlichkeit in Konflikt geraten. Sagen Sie jedem, der kein Tech-Nerd ist, dass er sich ein 32-stelliges Passwort merken muss, das keine englischen Wörter enthält, und ein anderes für jedes Konto, das er hat! Sie werden ausgelacht und dann ignoriert. Websites, die versuchen, etwas Besseres als erbärmliche Passwortrichtlinien durchzusetzen, müssen sich mit Bergen verärgerter Kunden auseinandersetzen.

Die Lösung besteht darin, alle Kennwörter zu beseitigen und auf eine starke 2-Faktor-Authentifizierung umzusteigen, bei der Offline-Cracking nicht möglich ist. Leider haben Unternehmen erst seit weniger als einem Jahrzehnt ernsthaft über Alternativen zu Passwörtern nachgedacht, und die Angebote sind alles andere als ausgefeilt (sie sind mit Bequemlichkeits- und Benutzerfreundlichkeitsproblemen behaftet, die eine Massenakzeptanz verhindern), sodass wir diese in der Zwischenzeit weiterhin unbrauchbar machen können Debatten zum Vergleich eines meist nutzlosen Passwortschemas mit einem anderen. Meinung beenden .

57
Mike Ounsworth

Die Antwort ist in Ihrer Frage.

Unter der Annahme, dass nur alphanumerische Zeichen verwendet werden und mehr als 8 Zeichen erforderlich sind, werden etwa 3,5 Billionen Kennwortmöglichkeiten entfernt (die meisten davon wären nur zufälliger Kauderwelsch). Dies lässt ~ 13 Billiarden Passwörter mit 8-9 Zeichen übrig.

Das Festlegen einer Mindestlänge oder sogar einer genauen Länge für Kennwörter zwingt den Benutzer, ein Kennwort auszuwählen, das sich in einem Suchbereich befindet mehrere Größenordnungen größer als die Anzahl der schwächeren Kennwörter, die durch solche Anforderungen ungültig werden.

Um dies besser zu veranschaulichen, vereinfachen und schreiben wir hier ganze Zahlen. Unter der Annahme, dass nur alphabetische Kleinbuchstaben verwendet werden, gibt es:

8031810176 mögliche Passwörter mit einer Länge von 7 oder weniger.
200795254400 mögliche Passwörter mit einer Länge von gena 8.

Wenn Sie die Anzahl der möglichen Zeichen erhöhen, wird die Anzahl der verlorenen Kennwörter im Vergleich zu der erzwungenen Komplexität noch unbedeutender.

Der durch das Erzwingen einer längeren Länge erzielte Vorteil weit überwiegt die Anzahl der möglichen verlorenen Passwörter. Und die Passwörter, die entfernt werden, stellen ein viel zu hohes Risiko dar, um zugelassen zu werden, wenn eine so einfache und effektive Gegenmaßnahme verfügbar ist.

11
Iszi

Die nicht einheitliche Anwendung einer Kennwortrichtlinie führt zu unnötigen Sicherheitsrisiken und verbessert die Sicherheit definitiv nicht.

Das Zulassen schwacher Passwörter erhöht nur die Wahrscheinlichkeit, dass der Angreifer einen Hash mithilfe einer Liste gängiger Passwörter knackt. Dieses Problem wird mit zunehmender Anzahl von Benutzern noch verschlimmert. Wenn 1/100 Konten ein Kennwort haben, das nicht der Kennwortrichtlinie entspricht, und 100.000 Konten vorhanden sind, haben 1000 Konten schwache Kennwörter.

Außerdem ist es tatsächlich mehr Arbeit, eine Richtlinie nur für eine Teilmenge von Benutzern selektiv durchzusetzen, als die Richtlinie für alle Benutzer durchzusetzen, da die Anwendung eine bestimmte Logik benötigt, um die Richtlinie unter bestimmten Umständen nicht durchzusetzen. Es ist einfacher, eine strenge Kennwortrichtlinie zu verlangen und diese einheitlich auf alle Konten anzuwenden.

3
Justin Moore

Das ist keine gute Idee.

Ich möchte auch die Frage zitieren:

Ich habe immer noch das Gefühl, dass die meisten Leute wahrscheinlich ein Passwort verwenden, das die erforderliche Länge hat oder nur 1 oder 2 Zeichen über dem Limit liegt.

zustimmen! Nun, ich gehe nicht davon aus, dass Leute Passwörter mit einem oder zwei Zeichen erstellen, wenn Sie die Mindestlänge auf 0 setzen, aber die meisten Ihrer uneingeschränkten Benutzer erstellen keine langen Passwörter. Ein Angreifer muss nun nur noch die kurzen Passwörter ausprobieren, die am häufigsten verwendet werden (z. B. "QWERTY" und "Drache"), um diese Personen auszunutzen und erfolgreicher zu sein, als wenn Sie die Einschränkung vollständig durchgesetzt hätten, da Sie sagte, es gibt Größenordnungen weniger Passwörter unter 8 Zeichen als oben.

Alternativ man kann weiterhin den Teil der Benutzer angreifen, dem Sie noch die Mindestlängenbeschränkung auferlegt haben, und mit - in Ihrem Beispiel - 99% der "Beute" davonlaufen (siehe @ Tennis Jaheruddins Kommentar) . Bei der Passwortsicherheit dreht sich alles um Größenordnungen, was nicht viel hilft - es wird durch eine Erhöhung der Cracking-Geschwindigkeit um 1,01% (1/99) ausgeglichen. ( Lustige Tatsache : Moore sagt, dass das in 8 Tagen erledigt ist.)

3
Leif Willerts

Manchmal ist der Passwortschutz schlecht codiert - wie zum Beispiel bei der Realisierung von NT LAN Manager (NTLM). Wenn Wörterbuchwörter oder vorhersagbare geordnete Sequenzen im Passwort verwendet werden - 7 Symbole sind besser als 8 oder 9 10 oder 11 oder 12 oder 13, da das Passwort vor dem Hashing und der Verschlüsselung in 7-stellige Teile aufgeteilt wird /

Suchen Sie hier nach Details: https://security.stackexchange.com/a/21267

0
Roscha Hacker