it-swarm.com.de

Warum verbietet eine Passwortanforderung eine Zahl im letzten Zeichen?

Bei der heutigen Konfiguration eines neuen Systems (Juniper Space, Linux-basierte Netzwerkverwaltungsplattform) bin ich auf eine bizarre Kennwortanforderung gestoßen, auf die ich neugierig bin. Als ich mich mit den Standardanmeldeinformationen bei der Web-Benutzeroberfläche anmeldete, wurde ich aufgefordert, das Kennwort zu ändern. Dies ist in Ordnung, aber mein zufällig generiertes Kennwort wurde abgelehnt, da das letzte Zeichen eine Zahl war. Dies kam mir umso seltsamer vor, als das Passwort, das ich für die Befehlszeilenschnittstelle angegeben hatte, mit einer Nummer endete und akzeptiert wurde.

(change default password screenclip

Nach meiner Erfahrung haben solche Passwortanforderungen im Allgemeinen einige Gründe: wie Q und Z, die auf alten Telefontastaturen nicht vorhanden sind oder Kompatibilität mit Legacy-Systemen oder j-- nur schlechte Systeme/Richtlinien/was auch immer . Es fällt mir jedoch viel schwerer, diese spezielle Politik mit einer dieser Erklärungen zu erklären.

Hat jemand einen Einblick in die Gründe für eine Kennwortrichtlinie, die ein numerisches letztes Zeichen verbietet?

50
HopelessN00b

Es ist wahrscheinlich ein Versuch, Passwörter zu entmutigen, die zu gängigen Formaten oder Zeichenmasken passen. Wenn für eine Kennwortrichtlinie die Verwendung einer Nummer erforderlich ist, setzen viele Personen ihre Nummer am Ende eines Wortes oder von Wörtern. Hier einige Beispiele aus Unternehmensumgebungen:

Angreifer mögen diese Benutzergewohnheit, weil sie das Knacken oder Erraten von Hybrid-Passwörtern erleichtert. Sie können sich darauf konzentrieren, Wortlisten mit am Ende hinzugefügten Zahlen zu kombinieren, anstatt einen zeitaufwändigeren Brute-Force-Ansatz zu wählen.

Einige Organisationen implementieren eine solche Richtlinie, um die Sicherheit zu verbessern, indem Benutzer dazu gebracht werden, ihre Nummern einzugeben. Dies ist ein weniger vorhersehbarer Ort. Es hört sich so an, als würden sie dies in Ihrer Situation nicht mit einer anderen Komplexitätsprüfung kombinieren und stattdessen alle Passwörter ablehnen, die mit einer Zahl enden, unabhängig davon, wie zufällig sie ansonsten sind. Das ist keine sehr gute Möglichkeit, diese Art der Überprüfung zu implementieren, aber sie sind mit diesem Ansatz nicht allein.

54
PwdRsch

Erfahrungsgemäß kann die Must not reuse previous 6 passwords - Regel dazu führen, dass Benutzer ein Kennwortrotationsschema verwenden, bei dem das aktuelle Kennwort something-that-fits-the-other-rules1 Bis something-that-fits-the-other-rules7 Durchläuft, um sich selbst leichter zu machen, wenn sie die Anweisungen befolgen Must change password every 90 days Regel, die im Unternehmensgebrauch üblich ist.

Tools zum Knacken von Passwörtern könnten das Wissen über diese Gewohnheit nutzen, um Passwörter zu erraten.

Die Must not contain number as the last character - Regel könnte ein Versuch sein, solche Schemata zu umgehen, um Benutzer zu zwingen, neue Kennwörter zu wählen, die sich erheblich von ihren alten unterscheiden.

28
shoover