ลงโทษผู้ใช้รหัสผ่านที่ไม่ปลอดภัย [ปิด]


13

ฉันกำลังคิดเกี่ยวกับการ จำกัด สิทธิ์ของผู้ใช้ที่เลือกรหัสผ่านที่ไม่ปลอดภัย (ความไม่มั่นคงของรหัสผ่านที่ถูกกำหนดโดยความยาวจำนวนอักขระ (ประเภทตัวพิมพ์ใหญ่ / ตัวน้อยตัวเลขสัญลักษณ์ ฯลฯ ) ที่มีความปลอดภัยและไม่ว่าจะเป็น อยู่ในตารางสายรุ้ง) เพื่อ จำกัด จำนวนความเสียหายที่บัญชีของพวกเขาสามารถทำได้หากถูกบุกรุก

ฉันยังไม่มีแอปพลิเคชันสำหรับความคิดนี้ แต่บอกว่าฉันกำลังเขียนฟอรัมหรือบางสิ่ง: ผู้ใช้ที่ใช้ 1234 เป็นรหัสผ่านอาจต้องกรอก captcha ก่อนโพสต์หรืออาจมีมาตรการต่อต้านสแปมอย่างเข้มงวดเช่น เมื่อหมดเวลาหรือตัวกรองแบบเบย์ปฏิเสธเนื้อหาของพวกเขา หากฟอรัมนี้มีลำดับชั้นมากอนุญาตให้ "การส่งเสริม" แก่ผู้กลั่นกรองหรืออะไรก็ตามด้วยวิธีนี้จะหยุดพวกเขาจากการได้รับสิทธิพิเศษหรือบอกพวกเขาว่าพวกเขามีสิทธิ์ แต่ไม่ให้พวกเขาออกกำลังกายโดยไม่มีการเปลี่ยนแปลง รหัสผ่าน

แน่นอนว่านี่อาจไม่ใช่มาตรการรักษาความปลอดภัยเพียงอย่างเดียว แต่อาจเป็นไปได้ด้วยดีถัดจากแนวทางการรักษาความปลอดภัย

คุณคิดอย่างไร? นี่เป็นการทำเกินความตั้งใจขโมยโฟกัสไปที่การรักษาความปลอดภัยที่สำคัญกว่าเดิมหรือเป็นวิธีที่ดีในการจำกัดความเสี่ยงและกระตุ้นให้ผู้ใช้ใช้รหัสผ่านที่ปลอดภัยยิ่งขึ้น (และหวังว่าจะทำให้คนที่คุณเชื่อมั่น


24
อะไรคือประโยชน์เมื่อคุณสามารถ จำกัด ผู้ใช้ด้วยรหัสผ่านที่ไม่เหมาะสมจากการเข้าถึงระบบของคุณเลย?
Pete

12
คนส่วนใหญ่อาจใช้ "letmein" ต่อไปโดยไม่คำนึงถึงข้อ จำกัด ที่คุณวางไว้ บังคับใช้กฎรหัสผ่านเมื่อสร้าง / เปลี่ยนรหัสผ่านหรือไม่
John Straka

3
@Carson Myers: ไม่ถ้าคุณทำมันออกมาจากสายเคเบิล Cat6 ไม่ใช่: D
Piskvor ออกจากอาคาร

13
ครั้งแรกที่ผู้ใช้อะไร ฉันเบื่อกับเว็บไซต์ที่ต้องเข้าสู่ระบบเพื่อดูภาพที่โพสต์ในฟอรัมจากนั้นต้องใช้รหัสผ่านเพื่อผสมตัวอักษร 10 ตัวพร้อมตัวเลขและอักขระพิเศษโดยไม่ต้องขีดเส้นใต้และหมายเลข 1 ทำให้ข้อกำหนดรหัสผ่านเป็นสัดส่วนกับมูลค่า การป้องกันข้อมูล
เอสเอฟ

6
ในฟลอริด้าผู้คนที่จ่ายเงินค่าเคเบิ้ลทีวีในบางครั้งอาจถูก จำกัด ไว้ที่หนึ่งช่อง CSPAN มันใช้งานได้สำหรับพวกเขา <shrug>
Mike Sherrill 'Cat Recall'

คำตอบ:


35

YAGNI , KISS , DRY , กฎ 10 วินาทีและความจริงที่ว่า "[u] เพื่อนไม่สนใจคุณ"อาจจะแคบลงเป็นวิธีแก้ไขปัญหาเดียว: ไม่

  • มันเป็นงานการพัฒนามากขึ้นซึ่งจะต้องมีจำนวนมากของการทดสอบมีความน่าเชื่อถือและมีความปลอดภัย
  • มันอาจลดความปลอดภัยของเว็บไซต์ในแบบที่คุณดู โอกาสของข้อผิดพลาดบางอย่างที่นำไปสู่การเพิ่มสิทธิ์ด้วยรหัสผ่านที่น่ากลัวนั้นใหญ่เกินไป
  • มันเพิ่มความซับซ้อนสำหรับนักพัฒนาทดสอบบำรุงรักษา DBA ดูแลระบบและผู้ใช้
  • ยิ่งมีความซับซ้อนมากเท่าไหร่ก็ยิ่งยากที่จะหลีกเลี่ยงการทำซ้ำในบางครั้ง
  • ผู้ใช้ไม่มีความสนใจในการอ่านข้อมูลของคุณและติดตามมัน พวกเขาจะใช้ในการปรับแต่งแบบฟอร์มการลงทะเบียนจนกว่าจะยอมรับการป้อนข้อมูลไม่ได้จนกว่าพวกเขาจะถึงระดับที่เหมาะ
  • ผู้ใช้เพียงแค่ไม่สนใจ

จุดแข็งทั้งหมดยกเว้นอาจจะแห้ง ทำไมต้องแห้ง นอกจากนี้ก็ไม่จำเป็นต้องเป็นที่ซับซ้อนที่ "โปรโมชั่นเพื่อ MOD" ทั้ง ฯลฯ เป็นเพียงตัวอย่างไม่กี่พิเศษ เนื่องจากเว็บไซต์ส่วนใหญ่ตรวจพบรหัสผ่านที่ไม่ปลอดภัยและแพลตฟอร์มทั่วไปจำนวนมาก (Wordpress อยู่ในใจ) อนุญาตให้คุณลงทะเบียนด้วยรหัสผ่านที่ไม่ปลอดภัยแล้วการเพิ่ม captchas สำหรับผู้ใช้เหล่านี้ทำให้เกิดข้อกังวลเหล่านี้ทั้งหมดหรือไม่ อาจเป็นเรื่องที่น่ารำคาญ แต่ทางเลือกอื่นทำให้ผู้ใช้หันเหออกไปอย่างสมบูรณ์หรือปล่อยให้พวกเขาเข้ามาและเสี่ยงต่อสแปมมากกว่า ตัวอย่างเช่น.
Carson Myers

3
+1 สำหรับลิงก์เพื่อใช้งาน เว็บไซต์ที่ดีดี น่าเกลียดอย่างน่าเกลียดสำหรับไซต์ UI / UX
StuperUser

4
+1 สำหรับผู้ใช้ไม่สนใจคุณ ถ้ามันเป็นบล็อกโง่ ๆ / เว็บไซต์ถาม - ตอบและฉันต้องจำชื่อผู้ใช้ / คำสั่งผสมที่ซับซ้อนฉันก็จะไม่ใช้มัน
ElGringoGrande

@ElGringoGrande ฉันไม่จำเป็นต้องเสนอสิ่งที่โง่ แต่เป็นจุดกึ่งกลางระหว่าง "อนุญาตรหัสผ่านทั้งหมด" และ "ปฏิเสธรหัสผ่านที่ไม่ดีทั้งหมด" ซึ่งมีไซต์จำนวนมากที่ใช้วิธีการแต่ละวิธี ฮ่าฮ่า
Carson Myers

13

บังคับใช้รหัสผ่านที่ปลอดภัยเมื่อมีการเปลี่ยนแปลงการลงทะเบียนหรือใช้ OpenId (2c ของ Jeff Atwood: http://www.codinghorror.com/blog/2010/11/your-internet-drivers-license.html ) จากนั้นจดจ่อกับฟังก์ชั่นที่น่าสนใจมากขึ้น

ประการหนึ่งผู้ใช้ถูกบังคับให้สร้างรหัสผ่านที่ปลอดภัยหรือใช้ OpenId ของพวกเขาดังนั้นจึงเป็นเรื่องง่ายสำหรับพวกเขา


ฉันยอมรับว่า OpenId นั้นยอดเยี่ยมสำหรับสิ่งนี้ แต่ฉันคิดว่าคุณอาจรู้สึกลำเอียงเมื่อคิดว่าผู้ใช้ส่วนใหญ่คุ้นเคยกับสิ่งเหล่านี้ คนส่วนใหญ่ที่ฉันรู้จักไม่เคยได้ยิน OpenId และใช้รหัสผ่านที่ไม่ปลอดภัยมากขึ้น
Carson Myers

1
จุดดี. ฉันไม่ได้ใช้ OpenId ก่อน SE แต่ฉันมีรหัสผ่านถูกปฏิเสธเนื่องจากไม่มีความซับซ้อน หากเป็นการรักษาสิ่งที่ง่ายและปลอดภัยความปลอดภัยจะมาก่อนแม้ว่าความรับผิดชอบในการให้ความรู้แก่ผู้ใช้ของคุณนั้นจะไม่เกิดขึ้นกับคุณ คุณต้องใช้ความพยายามในการให้ความรู้แก่พวกเขาเกี่ยวกับความรับผิดชอบของพวกเขาตามความซับซ้อนของรหัสผ่านดูเหมือนจะดีกว่าที่จะใช้มันเพื่อให้ความรู้แก่พวกเขาเกี่ยวกับความปลอดภัย / การส่งเสริมการเข้าสู่ระบบทั่วไป
StuperUser

การเข้าสู่ระบบทั่วไปนั้นเหมาะสมที่สุด แต่หากแอปพลิเคชันไม่ได้เป็นเรื่องเทคนิคผู้ใช้ส่วนที่ดีจะเลือกใช้รหัสผ่านเดียวกัน (หรือออกหากไม่สามารถใช้งานได้) ในตัวอย่างของฉันฉันสงสัยว่าควรลงมาทำให้ผู้ใช้หลุดออกไป (โดยปฏิเสธรหัสผ่าน) หรือให้ประสบการณ์การมองเห็นแก่พวกเขา (เราไม่สามารถให้คุณทำเช่นนั้นได้เพราะเราไม่รู้ว่ารหัสผ่านไม่ดีของคุณหรือไม่ บัญชีของคุณถูกบุกรุก) เพื่อแสดงให้พวกเขาเห็นปัญหาที่สร้างขึ้นโดยรหัสผ่านที่ไม่ดี
Carson Myers

ผู้ใช้ส่วนใหญ่จะมีบัญชี facebook หรือ hotmail หรือ Gmail (บัญชีอีเมลเป็นสิ่งจำเป็นสำหรับการดึงข้อมูลประจำตัวในหลาย ๆ เว็บไซต์) ทำให้ชัดเจนว่าจะใช้วิธีเหล่านั้นในการสมัคร / เข้าสู่ระบบอาจมีประโยชน์
StuperUser

ฉันเดาว่าฉันลืม facebook connect เป็นต้น
Carson Myers

12

ทำไมอนุญาตให้ใช้รหัสผ่านที่คุณรู้สึกว่าไม่ดีตั้งแต่แรก การหยุดปัญหาที่แหล่งที่มาจะช่วยให้คุณประหยัดเวลาในการออกแบบจำนวนมากพยายามที่จะคิดออกว่าคลาสของรหัสผ่านใดที่แมปกับบทบาทใด เนื่องจากผู้ดูแลระบบจะมีสิทธิ์แบบเต็มคุณจะต้องมีฟังก์ชันการทำงานเพื่อให้แน่ใจว่าเขาไม่ได้ป้อนรหัสผ่านที่จะ จำกัด เขา

คำตอบของฉันลงมาที่KISSจริงๆ


1
นี่ไม่ใช่วิธีการแก้ปัญหาเนื่องจากสิ่งนี้มีแนวโน้มที่จะผลักดันให้ผู้ใช้หันมาใช้มาตรการตอบโต้ที่เลิกนโยบายความปลอดภัยของคุณมากยิ่งขึ้น
deadalnix

@deadalnix เป็นอย่างไร ฉันคิดว่าเขาเพียงแค่บอกว่าสละความคิดทั้งหมดและเพียงปฏิเสธรหัสผ่านที่ไม่ดีในขณะที่แสดงตัวอย่างว่าทำไมความคิดของฉันอาจทำให้เกิดการระคายเคืองมากกว่าที่จำเป็น
Carson Myers

@deadalnix คุณหมายถึงอะไร ผู้ใช้จะใช้มาตรการตอบโต้อะไรกับรหัสผ่านที่ปลอดภัยได้บ้าง
StuperUser

7
@StuperUser: สิ่งนี้สิ่งที่สะดุดตาที่สุด: การเปลี่ยนช่องโหว่หนึ่งไปเป็นอีกช่องโหว่หนึ่ง
Piskvor ออกจากอาคาร

1
@StupidUser: หากผู้ใช้รหัสผ่านเดียวกันทุกไซต์และพวกเขาได้รับการบอกว่า "mypassword" ไม่เป็นที่ยอมรับเพราะมันไม่มีตัวเลขใด ๆ มีโอกาสดีที่พวกเขาจะใส่ "mypassword1"
elwyn

7

ในฐานะผู้ใช้นั่นอาจทำให้ฉันไม่เชื่อว่าจะใช้เว็บไซต์ของคุณ ฉันหมายถึงอย่างจริงจังธนาคารของฉันบอกฉันว่ารหัส 6 หลักมีความปลอดภัยอย่างสมบูรณ์แบบสำหรับธนาคารออนไลน์ แต่เมื่อฉันต้องการเขียนความคิดเห็นในบล็อกที่มีคนรู้จักน้อยฉันควรจะจำรหัสผ่านที่มีอย่างน้อย 8 ตัว - และตัวอักษรตัวพิมพ์เล็กตัวเลขตัวอักษรพิเศษและสัญลักษณ์กรีกหรือ Cyrillic ที่สามารถป้อนได้ก็ต่อเมื่อคุณทราบลำดับยูนิโคดด้วยหัวใจ และเปลี่ยนเป็นประจำ

อย่าเข้าใจฉันผิดความปลอดภัยเป็นสิ่งสำคัญ แต่ถ้าคุณไม่ควรรบกวนผู้ใช้ของคุณเว้นแต่คุณจะมีเหตุผลที่เชื่อได้ว่ามีใครบางคนพยายามที่จะถอดรหัสผ่านรหัสผ่านของพวกเขาเพื่อเข้าถึงเว็บไซต์ของคุณ หากเว็บไซต์ของคุณเกิดขึ้นเพื่อให้การเข้าถึง VPN ไปยังเครือข่าย FBI ไปข้างหน้ารบกวน แต่ถ้าเป็นฟอรัมผู้ใช้ที่ใครก็ตามที่มีที่อยู่อีเมลสามารถลงทะเบียนได้ประเด็นคืออะไร


ถ้าเรากำลังพูดถึงไซต์ชุมชนสแปมอาจเป็นปัญหาได้ (และจริงๆแล้วในบางโครงการที่ฉันเข้าร่วม) IMO จะทำให้ผู้ใช้จำนวนมากขึ้นปฏิเสธที่จะใช้รหัสผ่านของพวกเขาทันทีและหากเรากำลังจะลดปริมาณจดหมายขยะด้วยการใช้ captchas (ไม่ใช่เรื่องผิดปกติ) จะเป็นการดีกว่าที่จะสร้างความรำคาญให้กับผู้ใช้
Carson Myers

นอกจากนี้ฉันคิดว่ามันเป็นความเข้าใจผิดที่พบได้ยากที่จะพยายามทำลายถ้าคุณยังเล็ก ฉันมีส่วนร่วมในชุมชนออนไลน์ขนาดเล็กถึงขนาดกลางและเป็นปัญหาเสมอ คำถาม ServerFault นี้ดูเหมือนว่าจะสนับสนุนว่า
Carson Myers

5
ทำไมผู้ส่งอีเมลขยะจึงใช้รหัสผ่านที่สั้นกว่านี้ เหตุใดพวกเขาจะพยายามถอดรหัสรหัสผ่านของผู้อื่นหากพวกเขาสามารถสร้างบัญชีใหม่ได้ ฉันไม่เห็นข้อได้เปรียบของรหัสผ่านแบบยาวที่นี่
nikie

ฉันไม่มีความคิดฉันเพิ่งมากับมันสักครู่แล้วและตัดสินใจที่จะดูว่ามันยืนขึ้นเพื่อตรวจสอบข้อเท็จจริง :) ไม่ดีดูเหมือน ...
Carson Myers

1
ฉันชอบคำตอบของคุณเพราะชี้ให้เห็นถึงความโง่ของการใช้ความคิดนี้: การสร้างความปลอดภัยที่ไม่จำเป็นสำหรับไซต์ที่มีข้อมูลที่ไม่ปลอดภัย
Tundey

6

ทางออกที่ดีกว่า: ใบหน้าที่ยิ้มแย้ม

ฉันจริงจัง! การอ่านหนังสือเศรษฐศาสตร์เชิงพฤติกรรมเช่น "เขยิบ: การปรับปรุงการตัดสินใจเกี่ยวกับสุขภาพความมั่งคั่งและความสุข" ทำให้ฉันเชื่อว่ามีบางสิ่ง:

  1. คุณไม่สามารถบังคับให้ทุกคนตัดสินใจอย่างชาญฉลาด
  2. คนชอบเลือกอิสระ แต่พวกเขาไม่ชอบตัวเลือกมากมาย
  3. อย่างไรก็ตามคุณสามารถมีอิทธิพลต่อการเลือกของพวกเขาให้ดีขึ้นด้วยเทคนิคง่ายๆ

ฉันเห็นว่าหลักการเหล่านี้ใช้กับสถานการณ์ของคุณเช่นนี้:

  1. การ จำกัด ผู้ใช้โดยใช้รหัสผ่านที่ไม่ปลอดภัยมีแนวโน้มที่จะทำให้สับสนและสับสนได้ ... โดยเฉพาะอย่างยิ่งสำหรับคนส่วนใหญ่ที่ไม่ได้อ่านคำอธิบายที่เขียนอย่างละเอียดในกล่องโต้ตอบและโทรไปที่แผนกช่วยเหลือเพื่อพูดว่า "ไม่ งาน."
  2. เมื่อสร้างรหัสผ่านผู้ใช้ไม่จำเป็นต้องเห็นรายการความเป็นไปได้ทั้งหมดของอักขระพิเศษและสามารถใช้งานได้ ดีกว่าที่จะแสดงป๊อปอัพเล็กน้อยแนะนำให้พวกเขาเพิ่มความซับซ้อนบางอย่างเฉพาะในกรณีที่รายการของพวกเขาไม่เป็นไปตามข้อกำหนด
  3. ผู้คนได้รับอิทธิพลอย่างมากจากตัวชี้นำทางสังคม - แม้แต่เด็กเล็ก ๆ อย่างใบหน้าที่มีความสุขแสดงให้เห็นว่าเราเห็นด้วยกับพฤติกรรมของพวกเขาหรือหน้าเศร้าถ้าเราไม่ทำ เว็บไซต์ที่ได้รับการออกแบบที่ดีขึ้นบางแห่งจะแสดงแถบความคืบหน้าสีที่เปลี่ยนจากสีแดงเป็นไม่ดีพอ :(เป็นสีเขียวสำหรับงานที่ดี! :)เนื่องจากผู้ใช้พิมพ์รหัสผ่านและการยืนยันของพวกเขา UI นี้ให้แรงกดดันทางสังคมแก่พวกเขาเพื่อให้เป็นไปตามมาตรฐาน - เพื่อให้แถบเปลี่ยนเป็นสีเขียวหรือเปลี่ยนหน้านิ่วเป็นรอยยิ้ม - เมื่อพวกเขาค้นพบตัวเองว่าจะสร้างรหัสผ่านที่ปลอดภัยมากขึ้นได้อย่างไร เปลี่ยนสี

2
ความคิดเริ่มแรกของฉันคือคุณแนะนำให้ผู้ใช้ใช้หน้ายิ้มในรหัสผ่าน
aslum

4
@ aslum: อันที่จริงแล้วการยิ้มด้วยรหัสผ่านนั้นเป็นความคิดที่ไม่ดี เกือบทั้งหมดของพวกเขาประกอบด้วยอักขระที่ไม่ใช่ตัวอักษรและตัวเลขดังนั้นเพียงแค่กด :) ในตอนท้ายของรหัสผ่านที่อ่อนแออย่างอื่นจะทำให้แข็งแกร่งขึ้นอย่างมากเพียงแค่เพิ่มพื้นที่การค้นหา
afrazier

@afrazier: นอกเสียจากว่ามันจะกลายเป็นเรื่องธรรมดาและพวกเขาสามารถเพิ่มเข้าไปในรายการของตัวละครใช่มั้ย?
serv-inc

4

ไม่คิดมาก แต่ฉันคิดว่ามีเหตุผลอื่นที่จะยื่นเรื่องนี้ภายใต้ "ความคิดที่ไม่ดี" ฉันยังไม่ได้กล่าวถึง - ฝ่ายบริการลูกค้า

หากนี่คือผลิตภัณฑ์ที่จะมีฝ่ายสนับสนุนลูกค้าอยู่ข้างหลังพวกเขาจะไม่ชอบสิ่งนี้มากนัก หนึ่งในสมมติฐานพื้นฐานของการสนับสนุนคือพวกเขาเข้าใจและสามารถทำนายประสบการณ์ของผู้ใช้ - หากพวกเขาช่วยเหลือผู้ใช้ทั่วไปหน้า 1 ควรมีลิงค์ไปยังหน้า 2, 3 และ 4 ซึ่งพวกเขาสามารถทำได้ X, Y, Z ฯลฯ

ทีนี้คุณจะให้ตัวแปรอีกอย่างที่พวกเขาต้องติดตาม หากผู้ใช้ไม่เห็นลิงก์ไปยังหน้า 4 นั่นเป็นเพราะพวกเขาทำสิ่งที่โง่? หรือเป็นเพราะรหัสผ่านของพวกเขาแย่และระบบของคุณกำลังลงโทษพวกเขาโดยปฏิเสธไม่ให้พวกเขาเข้าถึงหน้า 4? รอสักครู่ ... อึกำลังปฏิเสธการเข้าถึงหนึ่งในบทลงโทษสำหรับรหัสผ่านไม่ถูกต้องหรือฉันกำลังคิดถึงหน้า 5 อยู่หรือไม่ ให้ฉันดูสิสักครู่หนึ่ง ... โอเคมันบอกว่าสำหรับรหัสผ่านที่ไม่ได้ผสมตัวอักษรพิมพ์ใหญ่และพิมพ์เล็กอนุญาตให้เข้าถึงหน้าเลขคู่ได้ แต่อนุญาตให้อ่านได้อย่างเดียวเท่านั้น ... ตกลง ครับรหัสผ่านของคุณมันประกอบด้วยตัวพิมพ์ใหญ่หรือตัวพิมพ์เล็กทั้งหมดหรือไม่ กรณี. เมื่อคุณพิมพ์ตัวอักษรนั่นเป็นตัวพิมพ์เล็ก เมื่อคุณใช้กะนั่นคือเมื่อมันเป็นกรณีบน คุณได้ผสมเคสในรหัสผ่านของคุณหรือไม่? รหัสผ่านที่คุณใช้เพื่อเข้าสู่ระบบ คนที่คุณเพิ่งใช้ ตกลงไปที่แก้ไขแล้วเลือกการตั้งค่าจากนั้นเลือกความปลอดภัย เลือก "รหัสผ่านที่บันทึกไว้" ... ไม่เลยฉันไม่เห็นรหัสผ่านของคุณจากที่นี่ ....

ใช่. อย่าทำอย่างนี้


2

จำกัด รหัสผ่านหรือแจ้งให้ผู้ใช้ทราบถึงความเสี่ยงของรหัสผ่านที่อ่อนแอ ฉันเดาว่าผู้ใช้ไม่สนใจข้อมูลของพวกเขาคุณอาจต้องการ จำกัด การเข้าถึงของผู้อื่น บางทีผู้ใช้อาจรู้สึกมั่นใจมากขึ้นหากผู้ที่ปฏิบัติตามแนวทางปฏิบัติเกี่ยวกับรหัสผ่านที่ไม่ระมัดระวังนั้นถูกกำจัดออกไป อะไรคือจุดที่ต้องใช้รหัสผ่านที่เข้มงวดกว่านี้ถ้ามันจะจบลงด้วยโน้ตที่อยู่ใต้คีย์บอร์ดหรือแปะไว้ที่แล็ปท็อป (ไม่สามารถทำให้มันเป็นแบบนั้นได้


ส่วนหนึ่งของคำถามของฉันคือการ จำกัด อิทธิพลของผู้ใช้ที่มีต่อกันและกันเมื่อพวกเขาใช้รหัสผ่านที่ไม่ดีดังนั้นคุณจึงไม่ส่งพวกเขาออกไปทันที หลังจากการสนทนาที่ยาวนานนี้ดูเหมือนจะไม่คุ้มค่า ถึงอย่างนั้นฉันก็คิดว่าสนุก
Carson Myers

2

และสามารถตั้งอยู่ในตารางรุ้งได้หรือไม่

ฉันเดาว่าคุณหมายถึงพจนานุกรมไม่ใช่ตารางเรนโบว์ การโจมตีในพจนานุกรมใช้งานได้เพียงทดสอบคำศัพท์ทั้งหมดของพจนานุกรมหากตรงกับรหัสผ่าน การโจมตีนี้สามารถแก้ไขได้ 5 ครั้งและบล็อกเป็นเวลา x นาที ...

ตารางรุ้งจะใช้เฉพาะเมื่อคุณแฮรหัสผ่านและผู้โจมตีรู้แฮช กว่าที่เขาจะสามารถหาแฮชในตารางรุ้งได้ถ้ามันเป็นแค่ "12345" หรืออะไรทำนองนั้น

เพียงเพื่อให้เสร็จสิ้นการออกรอบ: เพื่อให้โต๊ะรุ้งไร้ประโยชน์คุณควรใส่เกลือรหัสผ่าน และใช้เกลือ unqiue สำหรับทุกรหัสผ่านและไม่ใช่เพียงรหัสเดียวสำหรับทุกคน หากคุณทำเช่นนั้นผู้โจมตีจำเป็นต้องสร้างตารางสายรุ้งด้วยเกลือที่ไม่ซ้ำกันสำหรับแต่ละบัญชีที่เขาต้องการเข้าถึง ข้างเคียงที่ชาญฉลาดของคุณคุณสามารถเพิ่มความแฮ็ชด้วยอัลกอริทึมแฮชหลายแบบเพื่อให้รุ่นหนึ่งอาจใช้เวลาครึ่งวินาที หากคุณทำสิ่งนี้การเข้าถึงบัญชีในเว็บไซต์ของคุณจะต้องมีค่าต่อวันอาจเป็นเดือนที่แฮ็ชต้องพบบัญชีนี้ ... ฉันไม่คิดว่าผู้โจมตีจะพยายามรับรหัสผ่านทั้งหมดเมื่อใด ใช้เวลานานขนาดนั้น

สำหรับช่วงเวลาของการแฮ็ก: คิดถึงเวลารอ 500ms สำหรับกลไกการเข้าสู่ระบบ ฉันคิดว่ามันเป็นที่ยอมรับ ... (คำเตือน: เกือบหนึ่งวินาทีจับมือกับ SSL)


ใช่ฉันหมายถึงพจนานุกรมขอบคุณ และแน่นอนว่าคุณจำเป็นต้องรักษาความปลอดภัยรูปแบบอื่น
Carson Myers
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.