Почему веб-приложения настаивают на определении строгих правил паролей?

Почти каждый сайт будет солить и шифровать ваш пароль независимо от того, что вы выберете. Проблема не в устаревшем коде, безопасности базы данных на стороне сервера или чем-то подобном, в большинстве случаев разработчики позаботятся об этом. Проблема в том, что тупые пользователи отправляют просроченные пароли, которые довольно легко взломать. Смысл правил в том, чтобы ЗАСТАВИТЬ вас не выбирать слишком глупый пароль.

Вот реферальная ссылка. http://www.codinghorror.com/blog/archives/001206.html

Причина правил пароля состоит в том, чтобы попытаться обеспечить «более надежный» пароль, что, по сути, означает, что в среднем требуется больше попыток, чтобы найти пароль с помощью атаки грубой силы. Большинству людей, даже после множества примеров, нравится недавний беспорядок в Твиттере, будет использовать пароль Джо или словарное слово, которое уязвимо для возможной атаки грубой силы.

Лучше всего спросить, какова ценность данных, стоящих за паролем, а затем какова стоимость (усилия) взлома пароля. Если значение небольшое, вам не нужны сложные правила, а может быть, вам вообще не нужен пароль. Если значение высокое, то нужно усложнить задачу.

Используйте Кипасс

http://keepass.info/

Это наверняка сведет к минимуму хлопоты.

Хорошо, вот и вся история.

Прежде всего, давайте определим меру «хорошего качества» схемы. В случае с паролями и т. п. мерой является среднее количество попыток, которое требуется для атаки методом грубой силы, чтобы получить доступ.

Допустим, ваши пароли взяты из алфавита S с n символами, а длина пароля составляет k. Тогда общее количество возможных паролей равно n^k.

Таким образом, в среднем атака грубой силы находит успешный пароль примерно через n^k/2 или n^k-1. испытания.

Для удобства и из-за некоторых теоретико-информационных соображений, в которые я не собираюсь вдаваться, мы обычно выражаем это числом битов, что равно lg n^k где lg обозначает основание логарифма 2. Поскольку мы привыкли думать о битах как о дискретных вещах, мы на самом деле обычно берем потолок этого числа, т. е. наименьшее целое большее чем lg n^k, но на самом деле дробное значение вполне допустимо.

Для печатных символов, 8-символьных паролей и отсутствия других правил это число находится в районе 100⁸ или около 10¹⁶; это около 53 бит. Единственное, такие случайные пароли практически невозможно запомнить; они, как правило, заканчиваются на желтых стикерах и становятся уязвимыми для такого рода атак. Тем не менее, это предельный случай. Требуется около 100 триллионов попыток, чтобы угадать это методом грубой силы. Если каждая попытка стоит копейки, то теоретически ваши данные могут стоить до 1 триллиона долларов, прежде чем они будут стоить времени вора.

С другой стороны, общеупотребительных словарных слов всего около 50 000. Это около 16 бит, или грубой силой требуется около 25 000 попыток. Учтите, что каждая попытка стоит копейки: тогда ваши данные не должны стоить больше 250 долларов.

Оба они являются приложениями правила

R = PH

где R — риск, P — вероятность того, что произойдет что-то плохое, а H (опасность) это цена случившегося плохого.

Теперь пенни за попытку слишком дорого, но теперь у вас есть необходимые инструменты. Выясните, сколько стоят данные, и вы можете использовать этот метод, чтобы решить, насколько обширный набор правил вам нужен. (Но будьте осторожны, так как если вы делаете правила слишком строгими, то энтропия набора допустимых паролей становится малой, пока вы не дойдете до старой шутки, что после долгих размышлений Служба безопасности определила лучший пароль из всех — '*8h% Jd!', так что теперь все пользователи начнут использовать этот пароль.)

Все, что неподготовленный пользователь (обычный тип для большинства веб-приложений) найдет естественным и легким для запоминания, будет легко взломано. Неважно, что вы делаете для его хранения, потому что программное обеспечение для взлома может перебрать все пароли, которые может использовать неподготовленный пользователь. Соление и хеширование эффективны только тогда, когда у пользователей есть хорошие пароли.

Решение состоит в том, чтобы либо попросить пользователя вспомнить что-то более сложное (которое вы отвергаете), либо основывать проверку на том, что есть у пользователя, а не на том, что он может вспомнить. Это может быть записанный пароль, один из тех брелоков безопасности, которые генерируют непредсказуемые числа, которые меняются каждые несколько секунд, или что-то более эзотерическое.

Что веб-сайт может сделать, так это разрешить все виды надежных паролей. Я ненавижу сайты, где я хочу использовать надежные пароли (обычно финансовые или медицинские), которые имеют такие правила, как «без специальных символов». (Конечно, я не люблю повторно использовать надежные пароли; я не хочу, чтобы кто-либо, взломавший мою систему безопасности HMO, мог свободно делать заказы с моей учетной записи Barnes & Noble.)

Вероятно, это не тот ответ, который вам нужен, но у плохих парней есть возможности, которые превзойдут стандартную безопасность, которая удобна большинству людей.

Keepass также имеет то преимущество, что он будет запускаться напрямую (например, даже не нужно его устанавливать) с USB-накопителя в большинстве случаев в Windows. Поместите и Keepass, и файл базы данных на USB-ключ, и у вас будет быстрая и простая переносимая база данных паролей. Убедитесь, что вы защищаете Keepass с помощью хорошего надежного пароля, хотя, как если бы вы потеряли свой USB-накопитель, вы не хотите, чтобы все и каждый попадали в вашу базу данных паролей.