gpt4 book ai didi

web-services - 5位PIN码比大多数密码更好吗?

转载 作者:行者123 更新时间:2023-12-03 07:48:14 25 4
gpt4 key购买 nike

多年来,这一直困扰着我:为什么大多数在线服务高度重视密码的熵,将其视为安全措施,并在用户选择密码时强制执行?

在阅读论文"Do Strong Web Passwords Accomplish Anything?"(当然还有classic Dilbert cartoon)之后,我决定提出这个问题。

在线站点的典型策略是要求至少6或8位大写,小写和数字密码。这个长度与暴力攻击例如从哈希中恢复密码。但是,在线猜测的典型方式是有人尝试登录到服务器,经过几次尝试,该服务器可以自由拒绝。

例如,让我们想象一下,我们正在使用全数字PIN保护某些中型服务。
人们立即想到4位数或6位数的图钉,但这可能不是一个好主意,因为太多的人会被诱惑参加 child 的生日,这本质上是一种公共(public)知识。

因此,这是我的 5位数PIN码建议。我为每个用户保留一个“可能的攻击”标志。

  • 用户正确登录-> OK
  • 否则,请保留https session 并允许再尝试2次
  • 用户登录-> OK
  • 否则,在进行5分钟的休息之前再进行2次尝试
  • 用户登录-> OK
  • 用户中断 session ->设置标志
  • 用户中断 session ,但稍后可以正常登录:向用户显示对话框并允许清除标志
  • 用户穷尽了上面的尝试:发送带有链接的电子邮件;允许清除标志
  • 如果一个月内总共有100多个标志,请设置全局“可能的攻击”标志,该标志要求没有cookie的人回答安全问题
  • 在某些情况下(例如,用户最终从同一台计算机登录)自动清除用户标志

    让我们假设用户名是已知的(请注意,对于大多数站点而言,这不是正确的)。对一个用户的暴力攻击是没有希望的-5次尝试后您就被锁定,因此您有1/200000的机会。如果您尝试在一个月内猜出200次以上的密码,该标志将消失并且您一无所获。如果您每月尝试使用少于200个用户,那么一年后,您有不到1%的机会打破一个用户;使用网络钓鱼,病毒,社会工程或其他任何方式,您的生活都会变得更好。

    网站的大小仅在不误报的意义上才有意义,也就是说,用户真正忘记了密码(假设每月1%),将其找回,但不清除标志(假设密码为1%)这些),以及当您无法自动清除该标志时(例如,其中的10%)。这使得每106个用户每月有10个预期的误报标志---这意味着中型站点进入“恐慌”模式的可能性相当低,无论如何还算不错。

    我相信这个计划是很实际的。以下是一些关于它的明显的第一事实(更新):
  • 好处:PIN更容易记住。我相信这是一个很大的好处,因为现在可以要求用户记住您生成的密码。我相信大多数人都比任何其他类型的随 secret 码记住5个随机数字要好得多。
  • 权衡:如果攻击者同时知道哈希的PIN和密码,则哈希将无济于事。如果有人闯入您的数据库并了解您的盐腌过程,这是可能的。但是,我认为标准的密码熵在这种情况下也无济于事。
  • 的好处:与随机字母数字密码相比,人们更容易记住5位数字;因此,要求我们生成密码而不是用户密码要容易得多。这消除了字典/个人数据攻击。

  • 我的问题是:
  • 与我描述的典型方案相比,我的方案还有其他的权衡/好处吗?
  • 使用我的密码方案将不是大多数中型站点和组织更好的选择吗?
  • 他们选择他们拥有的方案的原因是什么?

  • 注意:我不主张总是使用短密码。我自己的Web密码通常是由密码管理器( 1Password)使用12个字符的高熵密码随机生成和加密的。但我认为,以上方案通常会比我们实际中的方案更好。

    最佳答案

    不,你错了。暴力攻击是一回事,但真正的危险是Rainbow Tables,它通过散列值为您提供纯文本密码。

    首先,您永远不会以明文形式存储任何内容。如果有人破坏了您的安全性(或者即使员工有恶意),您也不想公开用户的密码。因此,您将使用适当的加盐哈希。

    然后,使用5位数的PIN,它太短了,无法使用散列进行保护。有彩虹表(甚至Google搜索)可以让某人在获得哈希后取回密码。

    关于web-services - 5位PIN码比大多数密码更好吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1020218/

    25 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com