Здравствуйте, __SPIRIT__, Вы писали:
__S>Пришла тут от заказчика просьба поправить правила проверки стойкости пароля
__S>
__S>password security — additional rules:
__S>....
__S>Non-numeric in first and last position.
__S>.......
__S>Им это какая-то контора посоветовала, занимающаяся аудитом. Но тут, на мой взгляд, явное сокращение перебора.
__S>Или где-то собака порылась и я не прав?
варианты:
— усложняет пароль, если вводят обычно только цифры
— усложняет перебор в программах где цифры перебираются раньше
Здравствуйте, ilnar, Вы писали:
I>варианты: I>- усложняет пароль, если вводят обычно только цифры I>- усложняет перебор в программах где цифры перебираются раньше
Если эти правила в каком-либо виде доступны злоумышленнику, то это наоборот облегчит перебор.
Здравствуйте, Twirl, Вы писали:
T>Здравствуйте, ilnar, Вы писали:
I>>варианты: I>>- усложняет пароль, если вводят обычно только цифры I>>- усложняет перебор в программах где цифры перебираются раньше
T>Если эти правила в каком-либо виде доступны злоумышленнику, то это наоборот облегчит перебор.
Да правила публичны. Администратор настраивает какие правила включены а какие нет, и если правило включено то мы показываем его пользователю.
Правила разные на длину на использование букв/цифр/знаков на запрет старых паролей и т.д.
Здравствуйте, __SPIRIT__, Вы писали: __S>Пришла тут от заказчика просьба поправить правила проверки стойкости пароля __S>Им это какая-то контора посоветовала, занимающаяся аудитом. Но тут, на мой взгляд, явное сокращение перебора. __S>Или где-то собака порылась и я не прав?
это правильное ограничение
Здравствуйте, __SPIRIT__, Вы писали: __S>Здравствуйте, __kot2, Вы писали: __>>это правильное ограничение __S>по подробнее пожалуйста. Какой профит?
многие когда сталкиваются с надоедливым напоминанием в очередной раз сменить пароль меняют его просто на пароль2, потом соотв-но на пароль3 и т.д.
Здравствуйте, __kot2, Вы писали:
__>Здравствуйте, __SPIRIT__, Вы писали: __S>>Здравствуйте, __kot2, Вы писали: __>>>это правильное ограничение __S>>по подробнее пожалуйста. Какой профит? __>многие когда сталкиваются с надоедливым напоминанием в очередной раз сменить пароль меняют его просто на пароль2, потом соотв-но на пароль3 и т.д.
Вы действительно думаете, что у человека не хватит ума менять на пароль1а пароль2a и т.д.?
У нас на работе как то пытались ввести подобную практику. Я поинтересовался у коллег, использует ли кто-либо подобные сокращения. Как оказалось, все (100%), кого я спрашивал, сказали, что используют именно такой пароль.
Этот метод не работает. Он не увеличивает безопасность вообще.
Если уж делать, то сравнивать введённый пароль с n предыдущими паролями и если они похожи, то отвергать.
Здравствуйте, vsb, Вы писали: vsb>Вы действительно думаете, что у человека не хватит ума менять на пароль1а пароль2a и т.д.?
смотря у какого человека
vsb>Если уж делать, то сравнивать введённый пароль с n предыдущими паролями и если они похожи, то отвергать.
в общем, да
__S>Им это какая-то контора посоветовала, занимающаяся аудитом. Но тут, на мой взгляд, явное сокращение перебора.
__S>Или где-то собака порылась и я не прав?
обычный юзер выбирает буквенные пароли. если его заставляют использовать цифры — они у него получаются обычно в конце (и чаще всего это либо одна цифра, либо две, либо 4 — год, либо 123), реже в начале. соответственно, подобное правило сподвигнет юзеров на более продвинутые пароли. в целом правильно.
Здравствуйте, Twirl, Вы писали:
T>Если эти правила в каком-либо виде доступны злоумышленнику, то это наоборот облегчит перебор.
Вообще лучше стремиться к тому, чтобы стоимость вскрытия защиты формировалась не за счет секретности алгоритма или правил оформления ключа, а за счет стойкости самого алгоритма.
Здравствуйте, artevseev, Вы писали:
T>>Если эти правила в каком-либо виде доступны злоумышленнику, то это наоборот облегчит перебор. A>Вообще лучше стремиться к тому, чтобы стоимость вскрытия защиты формировалась не за счет секретности алгоритма или правил оформления ключа, а за счет стойкости самого алгоритма.
