Seguro versus conveniente
La política de seguridad de una contraseña debe ser apropiada para el costo del compromiso. Si su sitio web tiene mi cuenta financiera, me gustaría una protección estricta con contraseña. Si es un sitio de fanáticos de nicho sobre Autobots, no necesita mucha protección.
Las reglas de UPS son razonables con la excepción de:
- La longitud máxima es demasiado pequeña. Debe facilitar el uso de frases de contraseña que sean más fáciles de recordar y que sean más seguras.
No vi el reinicio después de X número de intentos en las reglas citadas, creo que esto es una tontería en la mayoría de los casos. Creo que es mejor que bloquees a alguien por un período de tiempo, en lugar de forzar un reinicio. Esto implica un cierto nivel de seguridad. Si eso no es necesario, entonces no lo es y bloquear / restablecer es un punto discutible.
Hay muchas reglas de política de contraseñas que tienen beneficios de seguridad marginal en el mejor de los casos. Sin embargo, también hay reglas que tienen beneficios reales y tangibles para la seguridad de su contraseña.
Reglas (y las razones):
Evita un ataque combinatorio de prueba y error que rápidamente romperá una contraseña muy corta.
- proscripción contra el uso de una sola palabra en inglés (o cualquier otro idioma)
Esto evita ataques de diccionario.
- inclusión forzada de diferentes categorías (es decir, mayúsculas y minúsculas, números, puntuación)
Esto aumenta el espacio de ataque promedio.
Todos estos motivos se pueden rastrear para minimizar el sesgo del usuario al elegir las contraseñas. La mayoría de los usuarios están predispuestos a crear contraseñas más cortas y fáciles de recordar. Desafortunadamente, eso generalmente hace que la contraseña sea más fácil de atacar. Lo que la mayoría de los usuarios necesitan son instrucciones sobre cómo crear contraseñas memorables seguras o una frase de contraseña más larga.
Contraseñas memorables seguras
Cuando necesito crear una contraseña con un límite de longitud, siempre comienzo con una frase, así que tengo un mnemotécnico incorporado. Tomo la frase y obtengo el mismo carácter posicional de cada palabra. Ahora tengo una secuencia de solo personajes. Luego elijo mayúsculas, algunas basadas en nombres propios en la frase, o por patrón (primer y último, cada dos letras, etc.). Luego agrego signos de puntuación y números basados en alguna regla o patrón arbitrario. (es decir, todas las 'j's son 7, usando' & 'donde hay una' y 'en la frase, etc.).
Mamá, acabo de matar a un hombre. Pon una pistola contra su cabeza. Apreté el gatillo, ahora está muerto.
Frase proporcionada por Queen
- mjkampagahhpmtnhd - primera letra de cada palabra
- MjkamPagahhPmtnhd - la carcasa coincide con la carcasa de la frase
- Mjk0mP0g0hhPmtnhd - cambió 'a' a 0
- Mjk0mP0g0 () Pmtnhd - cambió 'su cabeza' a ()
Después de escribirlo varias veces al pensar la frase, nunca tendré problemas para recordar.