繰り返し不可能なパスワードの強制により情報が漏洩する
どうやって?クラッカーが単純なパスワードを使用して新しいユーザーを作成しようとするたびに、システムは「Nope、ca n't have a password」と応答するため、クラッカーは「Goody、それはリストの1つです」と言います。
セキュリティに関する情報を漏らすことは一般に悪いことです。OK、アルゴリズムを知っているサードパーティはピアレビューが必要ですが、専用のクラッカーがキーを推測できるようにする-悪い、本当に、本当に悪い。
良いパスワード管理ポリシーと悪いパスワード管理ポリシーを説明するリソース
パスワードの強度に関する詳細な議論については、セキュリティの専門家であるBruce Schneierによるこの記事をお読みください。
セキュリティ研究者のPhilip InglesantとM. Angela SasseによるこのPDFを読んで、「使用できないパスワードポリシーの真のコスト」について詳しく説明してください。結論から引用するには:
「[ユーザー]だけが危険を理解していれば、彼らの行動は異なる」[12]という世界観に対して、「セキュリティマネージャーだけがユーザーと組織の真のコストを理解していれば、ポリシーを異なる方法で設定する」と主張します。
誤った安心感
したがって、クライアントは「同じパスワードを誰も持っていない場合、パスワードが解読された場合、影響を受けるのは1人だけです」とパイプします。いいえ。クラッカーがパスワードシステムに根本的な欠陥があることを実証しているため、誰もが影響を受けます。オンラインシステムでの辞書攻撃に対して脆弱です。そもそもクラッカーがパスワードに対して複数の推測を試みることは不可能だったはずです。
オンラインアクセスには6文字で十分です
話題から外れますが、興味のある読者には言及する価値があると思いました。セキュリティ用語では、オンラインシステムは、データへのアクセスを監視および制御するアクティブなセキュリティ管理プロセスを備えたシステムです。オフラインシステムとは、そうでないシステム(盗難されたハードディスクに暗号化されたデータがあるなど)です。
オンラインのパスワードシステムを使用している場合、セキュリティの高いパスワードは必要ありません。パスワードは、20回の試行内で推測を防ぐために十分に複雑である必要があります(したがって、単純な「配偶者/子供/ペットの名前」攻撃は失敗します)。次のアルゴリズムを検討してください。
- クラッカーは推測を最小限にするために「ルートとサフィックス」アプローチを使用してパスワードを推測します
- N * 10秒間、資格情報が拒否され、それ以上のログイン試行が禁止されました
- N> 20の場合、アカウントをロックし、管理者に通知します
- N = N +1
- 次のログインが時刻Tで発生する可能性があることをユーザーに通知します(上記で計算)
- ステップ1に進みます
単純な6文字のパスワードの場合、上記のアルゴリズムは辞書攻撃を防ぎますが、モバイルキーパッドで最も不慣れなユーザーでも最終的には通過できます。言われるまでゴム製ホースでパスワードの所有者を打つ、いわゆる「ゴムホース攻撃」を防ぐものは何もありません。
暗号化されたデータがフラッシュドライブ上にあり、クラッカーがそれに対して何かを試す自由があるオフラインシステムの場合、最も回復力のあるキーが必要です。しかし、その問題はすでに解決されています。