¿Las reglas complicadas para las contraseñas realmente evitan la piratería?

No ellos no. Por el contrario, hacen que las contraseñas sean más propensas a ser robadas. Hacen las contraseñas difíciles de recordar. Y si son difíciles de recordar, es más que probable que los escriba en algún lugar. Porque así es como trato con cosas que no recuerdo: ya sabes, como los números de teléfono, las tareas pendientes, los aniversarios y los pagos.


Creo que la atención debería centrarse más en almacenar las contraseñas de forma segura, en lugar de en contraseñas seguras. Incluso si obliga a sus usuarios a usar contraseñas de 50 caracteres con “al menos una puntuación, un número y una letra mayúscula”, no hay prácticamente ningún uso si va a almacenar las contraseñas en texto sin formato. Por otro lado, si permite que los usuarios elijan su contraseña sin restricciones, y haga su tarea y la almacene de manera segura, entonces todos estarán felices.


Y seamos sinceros. No es tan difícil proteger las contraseñas para que no sean forzadas. Tampoco es tan difícil proteger sus sistemas contra vulnerabilidades y vulnerabilidades conocidas. Y no es tan difícil tener instalado un sistema de detección de intrusos.

Lo que debe entenderse es que, si obliga a los usuarios a elegir contraseñas que no tienen sentido, y las escriben, entonces es un punto único de falla de toda la seguridad que tiene. ¿Solución? Evitarlo

Créditos de la imagen:
[1]: Frank Buck Consulting – Frank Buck Consulting
[2]: 102 Fuerza de la contraseña

Hace unos meses escribí un artículo acerca de la psicología de la contraseña que describe las estrategias de memorización, los patrones visuales y de los dedos, la afinidad hacia las personas o los eventos, etc. El siguiente es el enlace a mi artículo. Espero que disfrutes leyéndolo: ¿Qué dice ‘ [correo electrónico protegido] ‘ sobre ti?

Un extracto del artículo:

Hacer

  • Use una combinación de nombres / fechas de nacimiento / eventos en mayúsculas y minúsculas.
  • Sería aún mejor si pudiera usar una combinación de palabra / frase junto con números y símbolos, ya que se vuelve más complejo de adivinar.
  • Siga cambiando sus contraseñas cada mes (las personas perezosas como yo pueden ejercer la libertad de la misma contraseña por un mes o dos adicionales)
  • Si cambiar su contraseña parece un trabajo intelectualmente tedioso, es probable que no cambie su contraseña completa. Puede decidir cambiar solo la frase o solo el número / símbolo. Es una buena idea para las personas que generalmente no mantienen un registro de sus contraseñas.

NO HACER

  • No uses frases que sigas diciendo todo el tiempo. Si una chica sigue diciendo a sus amigos ‘ Main apni favorite hoon’ , ese es definitivamente un ‘NO’ para ella como contraseña. Sabrías exactamente a lo que me refiero si has visto a Akshay Kumar y a Bobby Deol protagonizada por Ajnabee (¡el Bollywood dentro de mí sigue saliendo de vez en cuando!)
  • No comparta sus contraseñas con personas en las que no pueda confiar su seguridad y privacidad.
  • No almacene la lista de sus contraseñas en texto sin formato en su PC. Es recomendable utilizar un software de almacenamiento de contraseñas o crear una lista de sitios web junto con el nombre de usuario y escribir una sugerencia para cada uno que sea importante solo para usted.

PD: Este artículo es más desde la perspectiva de la psicología cognitiva. Hay un pequeño ejercicio de bricolaje al final del artículo (enlace pegado arriba). Hazme saber si te gusta.

¡Gracias!

* Aakanksha Bhatia es el fundador de Together We Can, una organización de asesoramiento en Nueva Delhi, India. Tiene más de 3 años de experiencia en ayudar a las personas a lidiar con conflictos de relaciones, matrimonios fallidos, pérdida de un ser querido, sentimientos de baja autoestima e indignidad, trauma infantil, ansiedad pública, problemas de identidad, inquietudes sobre sexualidad, problemas de adolescentes, etc.

Ella ha sido la Topper de la Universidad mientras estudiaba la licenciatura (con honores) y la Psicología de la Universidad de Delhi (DU). Además, hizo estudios de educación superior de CIE (DU) y actualmente es doctora en investigación de doctorado en el Departamento de Psicología, DU. Ella también es una investigadora junior de UGC.

Para recibir asesoramiento personalizado con ella por correo electrónico / teléfono / Skype / Cara a cara, escriba un correo electrónico a [correo electrónico protegido]

Para recibir actualizaciones periódicas, por favor siga su página de FB Juntos Podemos | Facebook

Pia su @Aakanksha Bhatia

Como es habitual, podemos contar con xkcd para una buena respuesta.

seguridad de la contraseña

(Texto alternativo: a cualquier persona que entienda la teoría y la seguridad de la información y se encuentre en una discusión exasperante con alguien que no (posiblemente involucre un caso mixto), me disculpo sinceramente).

Resumen: las reglas complicadas para las contraseñas no impiden la piratería. Hacer que las contraseñas sean más difíciles de recordar no agrega mucha protección, y agrega un alto costo de recordar y la posibilidad de que las personas se vean obligadas a escribirlas. Las contraseñas más largas que son más fáciles de recordar son una mejor manera de hacerlo.

La mayor amenaza es la reutilización de contraseña:

(Texto alternativo: Será divertido las primeras veces que suceda esto).

Es mejor tener contraseñas largas con caracteres comunes y pequeñas variaciones de la contraseña por sitio para evitar ataques automáticos entre sitios cuando se comprometa una contraseña.

Es especialmente importante que sus cuentas de correo electrónico tengan una contraseña específica para que los sitios que usan correo electrónico + contraseña para la autenticación no proporcionen acceso a su cuenta de correo electrónico cuando sus bases de datos de contraseñas son pirateadas.

Sí, las reglas de contraseñas complicadas y poco amigables realmente ayudan a reducir la piratería.

En los años 90, uno de mis trabajos en CMU era correr crack contra los archivos de contraseñas de la universidad. Los antiguos archivos de contraseña permitían un ataque eficiente “sin conexión” contra las contraseñas.

Usted suministró crack un diccionario y un archivo de contraseña. crack intentaría adivinar las contraseñas utilizando primero las contraseñas más comunes (por ejemplo, ‘contraseña’, ‘abc123’ ‘12345678’). Luego adivinaría utilizando palabras del diccionario que proporcionó, pares de palabras del diccionario, etc.

Si recuerdo correctamente, alrededor del 10% de las miles de contraseñas de cuentas estaría en la lista de las doscientas contraseñas más populares. Otro 20-30% se adivinaría con un diccionario simple en un día.

El almacenamiento de contraseñas es más seguro en estos días, y muchos ataques deben estar en línea (y, por lo tanto, tomarse más tiempo sin detección) en lugar de estar desconectados. Pero imagínese si pudiera, en el transcurso de un año, probar las diez contraseñas principales contra mil cuentas. Si no hubiera reglas de complejidad / composición de contraseñas, probablemente podría adivinar del 2% al 5% de las contraseñas de las cuentas. Para agregar insulto a la lesión, el tipo de persona que elige un valor común como su contraseña generalmente no la cambia a menos que sea obligada, dejándola vulnerable para siempre.

¿Todavía hay contraseñas malas con reglas de complejidad de contraseña? Claro, pero mucho menos de ellos. ¿Hace que la gente haga cosas tontas, como usar la misma contraseña en todas partes y anotar su contraseña? De nuevo, claro. Pero el riesgo para una institución dada es dramáticamente menor de lo que era sin la complejidad de la contraseña y las reglas de cambio.

Contraseñas complejas: en particular, las contraseñas cuya complejidad surge sin previo aviso, como intentar registrarse en un sitio y descubrir que tiene más de ocho letras, contienen letras mayúsculas y minúsculas, al menos un número y al menos un símbolo especial , conduce a esto

Eso es lo contrario de “seguro”.

Y no, esa no es mi contraseña, solo una imagen que encontré. Lo que asusta es que probablemente sea la contraseña real de alguien …

Pueden, si las contraseñas son lo suficientemente fuertes y no se reutilizan en absoluto.

Para lograr esto de una manera fácil, mi consejo es usar un

  • administrador de contraseñas , en combinación con
  • Autenticación de dos factores para cuentas de correo electrónico .

Administrador de contraseñas

Esta es esencialmente una base de datos cifrada para sus contraseñas, que solo puede abrirse con esta contraseña muy difícil de descifrar que debe recordar.

  1. Solo necesita recordar UNA contraseña muy difícil de descifrar, que le da acceso a su administrador de contraseñas. No lo escribas nunca. En algunos casos, esta contraseña es la misma que la contraseña de su cuenta de computadora. Esta contraseña debería ser muy difícil de descifrar. No escriba esa contraseña tampoco. Esto debería ser fácil, ya que no hay más contraseñas para recordar.
  2. Para cada sitio nuevo que requiera un inicio de sesión, el administrador de contraseñas generará automáticamente una nueva contraseña segura que no puede y no necesita recordar.
  3. Como el administrador de contraseñas proporcionará automáticamente el nombre de usuario y la contraseña correctos a cualquier sitio que visite, no necesita recordar las contraseñas almacenadas en él.

Ejemplos de gestores de contraseñas:

  • iCloud – Llavero de iCloud – Soporte de Apple (OSX y iOS) (gratis)
  • KeePass Password Safe (multiplataforma) (código abierto)
  • Dashlane.com – Nunca olvide otra contraseña ((multiplataforma) (Suscripción)

    Nombres de usuario

    Una cosa importante sobre los nombres de usuario:

  • Como el nombre de usuario suele ser una dirección de correo electrónico, se recomienda utilizar la autenticación de dos factores para la cuenta de correo electrónico asociada.

Autenticación de dos factores

Esto hace que sea imposible hackear su cuenta de correo electrónico, incluso cuando el nombre de usuario y la contraseña están en manos de un pirata informático.

Para cada inicio de sesión en su cuenta en línea, se envía un código de verificación a un dispositivo de confianza que está en sus propias manos (teléfono, teléfono inteligente).
O el código lo genera una aplicación de autenticador en un dispositivo de confianza en su poder.
Como ningún hacker tendrá acceso a su dispositivo de confianza, o incluso sabrá que existe, nadie puede piratear su cuenta de correo electrónico.

Para los dispositivos de confianza, se puede elegir un código de verificación para que se proporcione solo una vez, de modo que no se le vuelva a pedir uno en ese dispositivo en particular.

La doble autenticación está disponible para una variedad de cuentas de correo electrónico y sitios correspondientes, que incluyen:

  • Cuenta de Microsoft
  • Cuenta de Apple
  • cuenta Google
  • Etcétera

Para una lista extensa vea:
Página en twofactorauth.org

Un par de cosas sobre el hacking:

1. Todos dicen tener una contraseña diferente para cada sitio web que visite. Si bien este es un gran consejo, la mayoría de las personas no lo seguirán porque es demasiado difícil recordar todas esas contraseñas. Si puedes, usa un administrador de contraseñas . Si no puede, y desea usar la misma contraseña, por lo menos haga una parte diferente. Por ejemplo. Si su contraseña es “I_L0ve_Cake” y sabe que no puede recordar otra contraseña diferente, al menos puede incluir la URL del sitio en su contraseña. Por ejemplo, “I_L0ve_Cake_Quora” para este sitio, “I_L0ve_Cake_Faceb00k”, etc.

2. El correo electrónico es la clave del reino. En otras palabras, la mayoría de los sitios web, si olvida su contraseña, le enviará una nueva por correo electrónico. Eso significa que si alguien piratea su correo electrónico, puede comenzar a ir a las compañías de tarjetas de crédito, etc., adivinar su nombre de usuario y luego hacer clic en “Olvidé mi contraseña” y recibir una nueva por correo electrónico (muchos sitios * están * mejorando). acerca de esto: se requieren mensajes de texto o códigos, etc., pero MUCHOS otros aún hacen un simple correo electrónico). Haga que su contraseña de correo electrónico sea diferente de cualquier otra contraseña y hágala su contraseña más larga. No tiene que ser difícil de recordar. Algo como: “4_Sc0re_and_7_Years_Ago” pero debe ser DIFERENTE.

2. Tenga un nombre de usuario / contraseña “no deseado” para los sitios web no deseados que requieren una contraseña. Por ejemplo, sospecho que muchos sitios web que le piden que se “registre” son solo phishing para nombres de usuario y contraseñas, asumiendo que las personas usarán la misma ID y contraseña para cada sitio. Por ejemplo, para los sitios “celebritygossip” e “ilovepotatochips”, su nombre de usuario podría ser “junkuser100” (si 100 es el número de su casa, haciéndolo fácil de recordar) y la contraseña podría ser algo así como “junkpassword”.

La mayoría de las respuestas que he leído sobre esta pregunta son un poco precisas, pero no realmente. Verás, tu contraseña es tan segura como los sitios en los que la usaste.

Aquí hay una demostración rápida.

Te registras en http://www.test1.com ->

http://test1.com tiene una vulnerabilidad de SQL -> un hacker inyecta el sitio y vuelca la base de datos -> ahí va su contraseña. Si tiene suerte, se cifrará con una fuerte técnica de hash y sal. De lo contrario, despídete de tus cuentas.

En el caso de que esté cifrado, cuanto más fuerte sea su contraseña, mejor. Por ejemplo, ‘passw0rd394’ parece fuerte pero no lo es. Busca tu contraseña en esos sitios web de hash cracking de vez en cuando. Aunque eso es solo lo que usan los noobs para descifrar hashes, estará un poco más seguro sabiendo que la gente tiene que usar un mask_attack en su contraseña. Así que si es una contraseña segura, bien.

PROPINA; use su contraseña # 1 en sitios seguros, y uno aleatorio en sitios web no seguros.

¿Por qué estamos tan obsesionados con mantener nuestros correos electrónicos, etc. tan seguros?

¿Alguna vez te detuviste a pensar en lo insegura que es tu casa? ¿Fuiste a un cerrajero y le pediste que creara una llave especial que solo tú sabes cómo usar, luego la ocultaste en un lugar especial que solo pensabas buscar? ¿Tienes rejas en todas tus ventanas?

Ir a un pub esta noche y quitarse el abrigo del respaldo de una silla, encontrará las llaves de un automóvil y una billetera con la dirección de esa persona.

Conduce a su casa, déjate entrar con sus llaves, roba TODO. Luego mire el tablón de anuncios, hay una carta del trabajo, conduzca allí, use su llavero para atravesar la puerta automática, abra todos los archivadores que pueda ver y robe toda su información.

¿Qué tienes? Detalles bancarios, domicilios, edades, quizás algo de dinero y pertenencias personales, tal vez algunas cosas para chantajear a las personas.

Las personas son molestadas todos los días, pero todavía dejas tu chaqueta y las llaves en el respaldo de tu silla. Y, sin embargo, queremos contraseñas que no se puedan rastrear para proteger nuestros correos electrónicos.

Esto comenzó como un comentario a las excelentes observaciones de John L. Miller sobre las estructuras y el uso de las contraseñas, pero se volvió lo suficientemente complejo que pensé que valía la pena agregarlo como respuesta. Realmente no responde a su pregunta, pero describe un método de pastel en el cielo para mejorar en gran medida el conjunto de requisitos de contraseña que alienta a muchos usuarios a usar una sola palabra para cada uno de los cinco o diez o Así que las reglas que vemos por ahí.

¡Tal vez a alguien le guste y sucederá algún día! 🙂


Sería bueno, sin embargo, si hubiera algún tipo de consenso internacional a nivel mundial para cualquier lugar que quisiera una estructura de contraseña específica para sus usuarios. Digamos, algo así como 10 caracteres con al menos uno de cada uno de los sospechosos: Cap, pequeño, número y especial. Eso ofrecería algo así como 80 (?) Opciones para cada uno de los 10 espacios que ocupar, y supongo que las habilidades matemáticas de otra persona nos dirán cuántas combinaciones posibles hacen que sea mucho más rápido que mis habilidades. Jaja

Si casi todos los sitios utilizan eso como su estándar, entonces un usuario podría elegir su propio “cuerpo principal” único para su palabra y aplicar algún tipo de algoritmo para hacerlo diferente de un sitio a otro. Por ejemplo, podría elegir que ocho de mis personajes permanezcan iguales, pero mi primer carácter será la última letra del nombre del sitio y el último carácter será la primera letra del nombre del sitio. O la misma letra con una resta o suma, o un solo dígito numérico para cada letra contando hacia atrás desde z, etc. Habría miles de algoritmos diferentes, e incluso contando para que ciertos patrones sean más comunes que otros, alguien que tenga uno De tus contraseñas, TODAVÍA tendría una tarea tremendamente desalentadora de descifrar tus otras contraseñas.

Ese tipo de sistema alentaría a los usuarios que no podían manejar listas, etc. a usar diferentes palabras clave porque con un momento de reflexión siempre podrían descifrar (usando su algoritmo y su núcleo elegido de 8 caracteres (o 9, o 6) cuál debe ser su contraseña para cualquier sitio dado.

¡También desalentaría el sistema del hombre perezoso de hacer que Chrome recuerde todas sus palabras clave en una lista fácilmente pirateada en un subdirectorio! No podía creerlo cuando descubrí esa vulnerabilidad … ¡es increíble!

OK … todo lo que quería decir es que estoy de acuerdo con sus inquietudes sobre las buenas contraseñas, pero creo que un sistema estandarizado fomentaría un uso más seguro por parte de muchos usuarios.

  • MJM

Un administrador de contraseñas es una nota post-it encriptada. Estaba leyendo que uno de ellos usa un cifrado de alta tecnología realmente moderno, pero también estaba leyendo que ya existía una falla en él y que, por lo tanto, se podía descifrar. Básicamente, almacenar tus contraseñas es una mala idea. Tener demasiadas contraseñas y contraseñas demasiado complejas lleva a la necesidad de almacenar contraseñas. Tener que volver a escribir su contraseña cada vez que accede a algo aumenta la posibilidad de que las contraseñas sean vistas o interceptadas. La autenticación de 2 factores es mejor Incluso el uso de la misma contraseña pero algún otro marcador de identificación es más seguro que tener una contraseña única y complicada para cada servicio único al que accede y tampoco es perfecto.

En general, mi regla de oro aquí es considerar lo que está protegiendo. Reconozca las limitaciones de los compromisos de seguridad (todos los hacemos por conveniencia) y asegúrese de que sean proporcionales al riesgo que presentan. Si escribe el nombre de usuario y la contraseña de su banco en un post-it que vive al límite, pero al escribir su contraseña para el foro de imágenes de su gato divertido, en el peor de los casos, se le prohibirá el acceso a las imágenes de gato divertido y arruinará la reputación de su imagen de gato divertido.

Es de esperar que para las cosas que realmente requieren altos niveles de seguridad, tenga una autenticación de múltiples factores, incluso si es solo “No reconozco que este dispositivo haya enviado un PIN a su teléfono” es mejor que una contraseña por sí sola.

Para mí, las contraseñas y las preguntas de seguridad son como cerraduras en la puerta. Si alguien quiere romperlos, puede más que disuadir a los honestos o a los poco entusiastas. Al agregar el No reconozco a este dispositivo que se ha enviado un pin, es como agregar un sistema de seguridad. La biometría, junto con las demás, es como agregar acero reforzado de 18 pulgadas en las paredes a ambos lados de las puertas. Alguien todavía podría bajar la puerta, pero cada nivel agregado hace que sea un poco más fácil quedar atrapado y un poco más difícil y un poco menos valioso.

Recuerdo que la política de seguridad sugerida para las reglas de contraseña era comparar una contraseña sugerida con todas las contraseñas existentes y no permitirla una vez que se usó n veces por un valor pequeño de n (por ejemplo, 3). Ahora, si hay algunas contraseñas comunes (contraseña, qwerty, dios, sexo, 1234, etc.), los primeros usuarios podrían obtenerlas, pero cuando tengas millones de usuarios, sabrás que la gente tiene que crear contraseñas poco comunes porque estaré comprobando

Hay algunos detalles en torno a si realmente está verificando las contraseñas (o solo los hashes) y podría usarse como un ataque (si intento cambiar mi contraseña y me rechazan, sabré que algunas cuentas al azar 3 tienen esta contraseña) pero esto siempre me pareció más inteligente que los típicos al menos 8 caracteres, no uno que haya usado en el pasado, al menos una letra mayúscula, un símbolo, un número y ninguna palabra.

En mi experiencia; No, son un estúpido desperdicio del tiempo de todos. Como señala Stan Hanks, es probable que las cosas sean menos seguras.

Ser forzado a incluir mayúsculas en una contraseña también es innecesariamente inconveniente, si alguna vez ha tenido que balancear una computadora portátil con una mano al intentar iniciar sesión en un enrutador durante una interrupción no programada en el centro de datos. O, usándolo en su teléfono inteligente donde se necesitan varias pulsaciones adicionales para acceder a los caracteres especiales. Y, hay una alta probabilidad de que el personaje se escriba mal y tenga que comenzar de nuevo.

Las contraseñas muy fuertes se pueden crear fácilmente sin la necesidad de recurrir a contraseñas irreemplazables y difíciles de manejar.

El sistema que he usado durante muchos años es tomar dos palabras sin sentido y agregar un número al comienzo, entre ellas o al final, o cualquier combinación de ellas. Y si quieres, usa 1337 reemplazos para algunas de las letras.

Por ejemplo: seleccione dial y cebra como las dos palabras, para crear una contraseña como “dial85zebra”, o si prefiere “di4l85z3br4”, es muy fácil de recordar e imposible de adivinar.

Para una contraseña aún más fuerte, use una frase completa: “11dialedmyzebrain85”. Ahora, ¿quién va a adivinar eso? Muy simple, muy fácil de recordar, solo se puede romper por la fuerza bruta masiva.

No. Dan la sensación de seguridad con muy poca seguridad en el backend.

Si bien la contraseña podría estar encriptada en la base de datos, eso todavía no proporciona mucha protección.

El problema ha sido la falta de estándares en la seguridad de los datos Y el uso frecuente de contraseñas permite la vigilancia / suplantación entre compañías.

No, no lo hace.

Refiérase a este video de Edward Snowden:
https://www.youtube.com/watch?v=…

¿Quién es Edward Snowden?
Edward Snowden

Si has pasado por el enlace wiki, puedes confiar en lo que este chico está diciendo en el video.

Esencialmente, la idea detrás de una buena contraseña es ser una frase que solo signifique algo para usted. Usar palabras del diccionario con alguna permutación no lo resolverá. Dado el poder de cómputo que tenemos hoy en el mundo con el complejo conjunto de algoritmos y el tipo de datos que tienen las compañías, no es muy difícil descifrar una contraseña que esencialmente es un conjunto de palabras de diccionario y un número.

Hemos visto que compañías gigantes como Twitter y LinkedIn han violado su seguridad. Por lo tanto, sus contraseñas siempre pueden ser hackeadas, pero mantengamos una contraseña que no pueda ser adivinada al menos. Y no tiene nada que ver con las complicadas reglas.

La regulación de contraseñas apesta.

  • Las contraseñas pueden ser atacadas por fuerza bruta si eres lo suficientemente valioso
  • Cada sitio web que desee uno diferente te hace olvidarlos más.
  • Solo necesitas uno de tus correos electrónicos para que te piraten y estás bastante jodido; Todas las contraseñas se pueden descifrar desde allí.
  • Excepto en el caso de los archivos financieros y corporativos, la mayoría de las cosas de protección de contraseña son para phishing y mantener el spam; de todos modos no es una gran cosa
  • La decisión de Apple de dar un pequeño paso hacia la protección biológica (es decir, hacer de los escáneres de huellas dactilares una opción móvil) es genial. No pasará mucho tiempo hasta que comencemos a utilizar la bioprotección de todos nuestros documentos importantes.

El hilarante video de GradeAunderA que expresa su frustración con pw; Se recomienda la discreción del espectador

Como uso un diseño de teclado bépo, puedo escribir muchos caracteres adicionales que a menudo se quedarían fuera de los ataques de diccionario e incluso la mayoría de los ataques de fuerza bruta.

Por lo tanto, una regla complicada es innecesaria para mí, excepto cuando algunos sitios (bancos en particular) son perezosos y racistas en sus reglas de contraseña, lo que obliga a las personas a usar solo az, 0-9. Incluso el inglés usa más caracteres que estos.

Dado que se ha vuelto tan común torturar a los usuarios con reglas de contraseña tontas, los usuarios a menudo reutilizan las contraseñas, haciendo que sea más fácil comprometerlos. Mi recomendación es usar una contraseña muy larga pero simple que varíe ligeramente según el lugar donde la estés usando.

Estas reglas aumentan la seguridad, por ejemplo, en un ataque de fuerza bruta en una contraseña de 8 caracteres, si las reglas no se cumplen, el atacante puede suponer que solo está usando mayúsculas inferiores que son 25 ^ 8, combinaciones. En un sistema forzado hay más de 70 ^ 8, que es mucho más.

El problema con las reglas complicadas para las contraseñas es doble:

  • Diferentes sistemas requieren reglas diferentes (a menudo incompatibles). (Esto puede evitar el uso de contraseñas algorítmicas).
  • Las reglas suficientemente complicadas y el deseo de no reutilizar las contraseñas terminan con ALMACENAR LAS CONTRASEÑAS con (o sin) algún mecanismo de CIFRENCIA REVERSIBLE.

Requerir ALGUNA complicación para las contraseñas (o frases de contraseña) parece razonable, especialmente teniendo en cuenta la cantidad de personas que parecen usar “contraseña” y “12345678” como contraseña. Por otro lado, ¿cuántas de esas contraseñas son para cuentas “desechables” que las personas podrían crear porque solo quieren usar ese servicio UNA VEZ y el servicio requiere (innecesariamente) que las personas creen una “identidad” para poder usarlas? ¿eso?

¿Sabes qué regla de contraseña odio? Los 3-5 intentan el bloqueo. El propósito de la regla es bastante obvio. Entre otras razones, esto evita que los ataques de fuerza bruta entren en su cuenta.

Pero, aquí está la cosa. no hay absolutamente ninguna razón para que sea un número tan bajo. Nada que pueda descifrar su contraseña en 10 intentos no podrá hacerlo en 5. Subir esos límites a 10 prácticamente anularía a cualquiera que bloqueara su cuenta debido a contraseñas mal escritas.