it-swarm-tr.com

Maksimum şifre uzunluğu ne kadar olmalıdır?

Önerilen minimum şifre uzunluğu yaklaşık 8 karakterdir, bu nedenle standart/önerilen maksimum şifre uzunluğu var mı?

60
Mohamed

Bruce Schneier'in şifre politikaları hakkında birkaç ilginç makalesi var.

Gerçek dünya şifreleri - şifre uzunluğu, karmaşıklık ve yaygın şifreleri kapsar.

Şifre önerisi - bazıları aşağıdakileri de içerir:

  • Bir şifre yöneticisi KULLANIN
  • Parolaları sık sık değiştirin. Altı ayda bir benimkini değiştiriyorum ...
  • Eski şifreleri tekrar kullanmayın.
  • Sözlük kelimeleri, doğum günleri, aile ve evcil hayvan adları, adresler veya diğer kişisel bilgilerden oluşan şifreleri KULLANMAYIN.
  • Site https ile güvence altına alınmadıkça, açık Wi-Fi ağları veya güvenmediğiniz başka bir ağ üzerinden şifre korumalı hesaplara erişmeyin.

ve daha fazlası

Şifreleri değiştirme - kullanım ve tehdit ortamına bağlı olarak ne sıklıkta değişmeniz gerektiği hakkında ayrıntılı bir tartışma.

15

Bunun cevabı, Güvenlik'teki birçok soru gibi "duruma bağlıdır".

Şifre uzunluğuna bakarken dikkate alınması gereken birkaç faktör vardır. Birincisi, uzun bir parolanın korunmak için tasarlandığı şeylerden bazılarıdır, bu da genellikle parola tahmin saldırısının (çevrimiçi veya çevrimdışı) kaba kuvvetidir.

Çevrimiçi şifre tahmini için, nispeten agresif bir kilitleme politikanız varsa (örn. 3 yanlış deneme ve ardından belirsiz bir kilitleme), saldırganın şifrenin ne olduğu konusunda iyi bir fikri olmadığı sürece tek bir hesaba yapılan saldırıların başarılı olması olası değildir. olacak.

Saldırganın kullanıcı adlarını (ör. Web forumları) çalıştırabileceği aynı kilitleme ilkesine sahip büyük bir kullanıcı popülasyonuna yönelik saldırılara karşıysanız, en önemli unsur muhtemelen kullanılan parolaların gerçekten yaygın olanları.

Bir kenara, hesap kilitleme tarafında dikkat edilmesi gereken bir şey, on-line uygulamalar için agresif politikaların ek önlemler almadan servis reddi saldırısını oldukça kolay hale getirebilmesidir.

Çevrimdışı kaba kuvvet riski varsa, şifre gücü daha önemli hale gelir. buradaki sorun, gelişmiş işleme gücü ve saldırı yöntemlerinin bunu güç açısından hareketli bir hedef haline getirmesidir. Gerçekçi olarak, şifrelerin ortak sözlük listelerinde olmadığı 10'dan fazla karaktere ve güçlü uygulamaya bakacağınızı söyleyebilirim (@andy parolaların burada iyi bir seçenek olduğunu söylüyor).

Burada dikkate alınması gereken bir diğer faktör de kullanıcı tabanınız ve uygulamanın nasıl kullanıldığıdır. Bazı durumlarda, çok güçlü şifre gereksinimlerinin aslında daha az güvenli bir uygulamaya yol açabileceğini söyleyebilirim. Kullanıcıların aynı yerde olduğu bir uygulamanız varsa (örneğin, çok sayıda kurumsal uygulama) ve şifre politikasını çok "güçlü" yaparsanız (hem şifre uzunluğu hem de rotasyon gereksinimleri açısından), büyük olasılıkla kullanıcılar muhtemelen bu uygulama için güvenlik hedeflerinden birini yenen şifrelerini yazıyor.

Bununla ilgili daha fazla bilgi için iyi bir kaynak, Doğrulama: Parolalardan Ortak Anahtarlara adlı bir kitaptır.

20
Rory McCune

Şimdiye kadar iyi cevaplar, ama başka bir olasılık önermek istiyorum: ifadeleri geçmek . StackOverflow kendi Jeff Atwood'un önerdiği gibi, teknik sınırlamalarla yasaklanmadıysanız, geçiş ifadelerine izin vermeyi ve önermeyi düşünebilirsiniz. Onları zorlayabilirsiniz, ancak bu muhtemelen çoğu sitedeki bazı kullanıcıları yabancılaştıracaktır. Uzunluğu nedeniyle, kırılması önemli ölçüde daha zor olabilir ve hatırlanması "A1lUrB @ se!" Gibi bir şifreden daha kolay olabilir. ya da bunun gibi şeyler.

19
Andy

Şifreyi veriyorsanız, neden bir üst limit belirlemelisiniz?

Web tabanlı veya başka bir şekilde metin alanlarında maksimum karakter sınırına ulaşma konusunda endişelenmeniz gerekmiyor gibi. Böylece, kullandığınız metin alanlarının bazı sınır koşullarını sınırlamak için muhtemelen en fazla birkaç yüz karakter ayarlayabilirsiniz.

Tabii ki, birden fazla sitede kullanmaya çalışacağınız bir şifre oluşturmaktan bahsediyorsanız, boş verin; dışarıdaki hiç kimse buna katılmıyor gibi görünüyor. Daha da kötüsü, farklı giriş alanlarında farklı maksimum karakter sınırlarına sahip siteler buldum, bu yüzden giriş yapmak için daha fazla karaktere izin veren farklı bir alan verilmeden önce yanlış yazmanız gerekir. Elbette, her site, yapay olarak sınırlandırmaya çalışmadan tipik bir metin alanının minimum beklenen yetenekleri olmasına izin verirse, yaklaşık 2 bin karaktere izin verilir ve bunun için endişelenmenize gerek kalmaz.

Eklemek için düzenlendi: geçerken bahsedilen bir şey burada beni duraklattı:

karma çalışmasını sunucularınızda veya cihazlarınızda mevcut ve makul olanlarla ölçeklendirmeniz gerekir. Örneğin, Söylem'de küçük bir hizmet reddi hatası yaşadık ve burada insanların giriş formuna 20.000 karaktere kadar şifre girmelerine izin verdik.

Bu nedenle, işleri olabildiğince hesaplamalı olarak pahalı olacak şekilde karıştırıyorsanız, hem parola ayarlama hem de parola denemeye makul bir sınır koymaya değer olabilir. Birkaç yüz karakter, bir kullanıcının deneyebileceğinden çok daha fazlası olsa da, her şeyin çok fazla patlamasını engelleyebilir.

16
Doug Kavendek

Maksimum şifre uzunluğu olmamalıdır - kullanıcı çok uzun bir şifre kullanmayı kabul ederse, övgüye değer, engellenmiş olmalıdır.

Yazılım olduğu gibi, birkaç sistem, esas olarak GUI sorunu, zayıf programlama veya daha eski sistemlerle geriye dönük uyumluluk nedeniyle şifre boyutu üzerinde bir sınır uygulayacaktır. Örneğin, eski Unix sistemleri yalnızca ilk sekiz karakteri kullanan ve diğerlerini tamamen görmezden gelen bir parola karma işlemi kullandı. Benzer şekilde, eski Windows sistemlerinin 14 karakterlik bir iç sınırı vardı. Bu nedenle, ilk 14 karaktere kısaltıldığında parolanın hala "güçlü" olması en iyisidir.

Ancak, maksimum şifre boyutu için tek sınır kullanıcının sabrı olmalıdır. Burada hiçbir şeyi zorlamanın bir anlamı yok.

8
Thomas Pornin

Bugün ortak bir asgari 12 karakterdir, bu da makul bir süre içinde makul ölçüde iyi finanse edilen bir kuruluş tarafından kaba kuvvet çatlamasını önleyemeyecek kadar büyüktür.

Maksimum uzunluğa kadar; birkaç düşünce: birkaç yüz bayttan daha uzun bir şifre neredeyse kesinlikle kötü amaçlıdır (örneğin, SQL enjeksiyon girişimi). Ayrıca, şifrenizi hash ediyorsanız (ve eğer başlamıyorsanız, baştan başlamanız gerekir), şifrelerinizin daha uzun karma çıkışınızdan daha fazla entropi eklemediğini unutmayın. "Daha uzun" ile, anahtar alanınızdaki aynı sayıda bit anlamına geldiğini, aynı karakter uzunluğunu ifade etmediğini unutmayın. Bu nedenle, karma uzunluktan daha uzun parolalara izin verilmesi kolaylık noktası olarak izin verilen olmalıdır, ancak böyle bir şeyin olması için matematik açısından mantıklı olmaz gerekli .

Karışık durum gerektirmesi, büyük karmaşıklık getirileri sağlayan ve muhtemelen gerekli olması gereken alfabenizin boyutunu iki katına çıkarır. Sayısal karakterlere gereksinim duymak, alfabenize% 20 daha fazla katkıda bulunur, bu da çok büyük bir anlaşma değildir ve semboller gerektirmek, bunun üzerine belki de (hangi sembollere bağlı olarak)% 16 ila% 40 daha fazla ekler ve tekrar değil, oldukça önemli bir dönüş, ama kesinlikle izin verilmemelidir.

3
tylerl

Şahsen en az 8 karakter ve maksimum 32 karakter (tüm siteler 10 veya 15'ten fazla şifre uzunluğunu desteklemediğinden) şifreleri oluşturmak ve kullanmak için bir şifre üreticisi (lastpass.com veya 1parola gibi) kullanmaya devam ediyorum ve bir ana şifre kullanıyorum (Bu yine lastpass.com gibi sitelere olan güveninize bağlıdır) veya Mac ve Windows için istemci tarafı şifreli 1 şifre yardımcı programıdır).

Tüm siteler için bir dizi şifre kullanılması önerilmez. Forumlar bana şifreleri düz metin olarak e-posta ile gönderir. Bazı siteler, "Şifremi Unuttum" özelliğini kullanmanız durumunda düz şifre gönderme özelliğine sahiptir.

Genellikle, kısıtlamalar sunucuda ayarlanır (web siteleri için). Kullanıcı şifreleri üzerinde kısıtlama getirmemek için kullandığımız sunucuları suçlamalıyız.

Kısacası, her seferinde farklı şifreler kullanın. Hatırlamanız gereken 10-15'ten fazla şifreniz varsa, "güvenli" bir şifre yöneticisi kullanmaya başlama zamanı. (Kayıt için, firefox şifre yöneticisi hiç güvenli değil)

2
Sairam

16 karakter.

Bu, Wikipedia 'a göre 96 bit verir, bu da bu makaleye göre kırılabilir her şeyin ötesindedir.

Şahsen, cep telefonum için Firefox'un Ana Şifre özelliğiyle birlikte bir şifre programı kullanıyorum. Ana şifremin 25'ten fazla karakteri var ve Dice Ware'i temel alıyor, bu da hatırlanmasını oldukça kolaylaştırıyor. Firefox neredeyse benim için şifreleri hatırladığı için neredeyse tüm şifrelerim rasgele yenileniyor.

2

Güvenlik görevlisinin delirdiği bir müşterideydim. Mümkün olan her şifre karmaşıklığı politikasını kullanmak istedi. (Novell eDirectory'nin bir çok şifre karmaşıklığı sorunu var ve daha fazlasını eklemek için ek bir eklenti kullanmak istedi!)

Bu noktaya kadar, hatırlanabilecek bir şifre oluşturmak imkansızdır. Yıkanmamış kitlelerin onu bulmasını ve uygulandıktan sonra katran ve tüy atmasını bekliyordum.

Başka bir deyişle, çok ileri gidebilirsiniz.

1
geoffc

Tavsiye

2019'da güvenli bir şifre/parola için gereken rasgelelik:

  • Küçük harf, büyük harf ve rakam içeren rastgele oluşturulmuş 12 karakter; veya
  • 6 rastgele oluşturulmuş kelime. (= değil kelimeleri kendiniz seçin! Bu desenler yaratır.)

Bunlardan yirmi tanesini hatırlamak imkansızdır, bu yüzden düzenli olarak kullandığınız birkaç önemli öğeyi ezberleyin. Örneğin, e-posta hesabınız için olanı ve şifre yöneticiniz için olanı ezberleyebilirsiniz. Diğer her şey için, şifreleri bir şifre yöneticisinde saklayın.

İlgili: Ortalama bir kullanıcının gerçekten bir şifre yöneticisine ihtiyacı var mı?
En çok oy alan cevap açık bir "evet".

İlgili: Şifre yöneticileri ne kadar güvenlidir?
Üst cevaptan, paj28 tarafından (vurgu mayın):

çoğu insan için bu riskler kabul edilebilir ve bir şifre yöneticisi yaklaşımının [çoğu] için şifrelerinizin çoğunun her yerde aynı şifreyi kullanmaktan daha iyi olduğunu söyleyebilirim - ana alternatif gibi görünüyor. Ama her şifreyi orada saklamam; İnternet bankacılığı gibi en önemlilerini ezberlemek için çaba göster.

Sık kullanılan parola yöneticileri KeePass (X), 1Password ve LastPass'dir. Tarayıcınızdaki şifre şunlara bağlıdır: Firefox'u bir ana parola ile kullandığınızda, neredeyse adanmış bir parola kullanmak kadar iyidir. Parolalara erişebilmeniz için tarayıcınızın bir parola istememesi, çok güvenli değildir (ancak ayrıntılar, kendi başına bir konunun tamamı olan kesin uygulamaya bağlıdır).

Geliştiriciler

Bir uygulama oluşturduğunuzda, bazı önemli noktalar şunlardır:

Şifreleri güvenli bir şekilde nasıl oluştururuz?
Özet: Scrypt veya Argon2'yi olabildiğince yavaş kullanın. Bunlar mevcut değilse, Bcrypt veya PBKDF2 kabul edilebilir alternatiflerdir. Hem tuz hem de biber ekleyin.

Maksimum şifre uzunluğum olmalı mı?
Özet: sadece DoS saldırılarına karşı, bu yüzden birkaç kilobayt kadar.

İstemci tarafı şifre karmasını uygulayın
Tam açıklama: Kendi cevabımla bağlantı kuruyorum çünkü bence en eksiksiz cevap bu. Başkalarının görüşlerini de okuduğunuzdan emin olun.

Ayrıntılar

"Neden benim PIN kodu sadece 4 hane? Bu banka hesabımı güvende tutmak için yeterlidir!" Diye merak edebilirsiniz. Buna adanmış bir soru var , ancak özet iki şeydir: erişim için banka kartınıza ihtiyacınız var (ikinci bir kimlik doğrulama faktörü) ve çip 3 denemeden sonra sizi kilitler.

Web siteleri çok daha yumuşaktır, bu nedenle bir saldırgan daha fazla deneme yapabilir. Ayrıca, web sitelerinin er ya da geç saldırıya uğraması beklenir, bundan sonra saldırgan karma parolanızı verimli bir şekilde kırabilir.

Çoğu web sitesi, şifrenizi karma adı verilen tek yönlü şifreleme ile depolar. Şifre çözme anahtarı yoktur. Aynı karma algoritmayı tekrar uygulayarak, sistem parolayı (yeni yazdığınız) depolanan parolayla (veritabanından) karşılaştırabilir ve eşit olup olmadığını bilebilir. Ancak sadece veritabanı ile orijinal şifreyi bilemezsiniz.

Geçmişte hızlı hash yöntemleri yaygındı. Bu aynı zamanda karmayı alan bir saldırganın bilgisayarına ortalama bir oyun bilgisayarında saniyede milyarlarca deneme yapabileceği anlamına gelir. Saniyede on milyar denemeyi varsayarsak, 11 karakterlik rastgele bir şifre yaklaşık 165 yıldır. Ve bu sadece bir oyuncu, bazı yabancı rakiplerin ilgilendiği şirket verilerine erişebildiğinizi düşünün: bazı ekstra hesaplama gücüyle, 165 yıl aniden birkaç ay çatlamaya dönüşür. Ve gelecek yıl, aynı fiyat için daha hızlı olan ve gücü tekrar azaltan yeni CPU'lar olacak. Bu yüzden on iki karakter güçlü bir şifre için minimumdur: bir ekstra karakter, çatlama süresine tam anlamıyla on bin yıl ekler (165 yıl 10 230 yıl) ve öngörülebilir gelecek için güvenlidir.

Bu arada, şifre gücünü hesaplamak kolaydır: variations^length / guesses_per_time. Varyasyonlar, kaç tane benzersiz elemanın olduğu ve uzunluk, kullandığınız elemanların sayısıdır. Bu nedenle, yalnızca rakam kullanırsanız, on varyasyon vardır (0 ila 9). Bir sözlükten kelime kullanırsanız, sözlükte birçok kelime vardır. Öyleyse, guesses_per_time, saldırganın çatlayabileceğini varsaydığınız hızdır. Makul bir değer saniyede onlarca milyar.
Misal: 10^14/10e9/3600, saniyede 10e9 deneme yaptığını varsayarsak, 14 basamaklı bir kodu kırmanın kaç saat sürdüğünü gösterir (bir saatte 3600 saniye, 60 * 60).

Bazı web siteleri akıllıdır ve yavaş karma algoritması kullanır. Bunların hangileri olduğunu söyleyemeyiz, çünkü sunucu hash yapar, böylece dışarıdan göremezsiniz. Bu durumda, tek bir tahminin hesaplanması çok daha uzun sürecektir (sunucu için değil, aynı zamanda bir saldırgan için). Makul bir durumda, iyi finanse edilen bir saldırgan saniyede sadece elli bin tahmin yapabilir, bu durumda 9 karakterli bir şifre yeterli olacaktır. Ancak 9 rastgele karakteri, özellikle de hepsini düzenli olarak kullanmıyorsanız, birçok farklı hesap için ezberlemek zaten çok zordur. Bu nedenle, parolalarda gerçekten herhangi bir güvenliğe sahip olmak için bir parola yöneticisi gerekir.

Ancak benzersiz şifreler oluşturmak gerçekten gerekli mi? Neden birkaç farklı sitede güçlü şifreleri tekrar kullanmıyorsunuz? Çünkü web siteleri sık sık tehlikeye giriyor. Bu günlük bir olay değildir, ancak haveibeenpwned.com içine e-posta adreslerinizi girmeye çalışın: kesinlikle çok fazla olur. Hesaplar en sık bu şekilde saldırıya uğrar: şifre yeniden kullanımı. Şifre yöneticilerinden ödün vermek çok daha az yaygındır.

0
Luc