5-разрядный PIN лучше, чем большинство паролей?

Думаю, было бы легче запомнить, что "парольные фразы лучше PIN-кода" в любой день! », который продержится до атаки грубой силы примерно 400 триллионов лет.

В прошлом я предлагал схему, аналогичную вашей, потому что я видел множество случаев, когда пользователи просто записывали пароли на стикере рядом с их монитором, ссылаясь на то, что соучастие слишком сложно Помните. Я утверждал, что пароли не имеют большого значения, потому что хакер с большей вероятностью обнаружит другие дыры в системе, будь то через приложение или просто с помощью небольшой социальной инженерии.

Я думаю, что некоторые люди, особенно технические менеджеры, не полностью понимают, о чем вы говорите, любят чувство безопасности. Большой сложный пароль кажется надежным. Вроде как гарантия на коробку, приятно. Вроде как зубная фея

»Томми: Откуда вы знаете, что зубная фея - это не какой-то сумасшедший нюхатель клея.« Строим модели самолетов », - говорит он им. м не покупаю это. Он однажды пробирается в ваш дом, вот и все, что нужно. Следующее, что вы знаете, у вас пропадают деньги из ящика комода, а ваша дочь взламывает ».

В конечном счете, хотя простой пароль, такой как булавка, скорее всего, будет взломан или угадан с помощью обычных комбинаций, и это небезопасно. A PIN-код в сочетании с RSA SecurId - вот то, о чем мы все смогли договориться.

PIN-код против паролей, пароли выигрывают, не идеально, но с жесткой политикой, намного лучше, чем PIN-коды.

И кто сказал, что многие люди не пишут свои PIN-коды на стикерах, это проще для многих, чтобы запомнить комбинацию слов, чем пятизначное число, лично я запоминаю числа легче, и поэтому мои пароли больше числовые, чем буквенные.

Я до сих пор не понимаю, почему люди вообще ограничивают длину пароля. Разве мне не легче запомнить предложение или фразу? Например, я мог бы захотеть, чтобы мой пароль был « это мой пароль stackoverflow ». Если бы я забыл об этом, у меня были бы серьезные проблемы с памятью. Его длина составляет 34 символа и используется только алфавит из 27 символов, но по-прежнему практически невозможно отменить хеш (4,6 x 10 ⁴⁸ возможных перестановок).

В сочетании с вашими идеями относительно «атаки» flag "и правильные методы соления / хеширования, на мой взгляд, это было бы идеальным решением.

Остерегайтесь обработки сеанса

Я не слишком много знаю об обработке сеанса, но насколько мне известно, в большинстве случаев это делается с использованием файлов cookie. Когда у вас есть такая схема, как ваша, необходимо записывать ложные попытки в базу данных или в специальные файлы на вашем сервере, так как вы не можете полагаться на обработку сеанса (в вашем описании это звучит немного, как вы просто можете " проведите сеанс «чтобы получить всю правду ...) - поскольку сеансы через Интернет очень уязвимы. Это просто конструкция файлов cookie (которые можно удалить) и / или имен страниц (они также могут быть испорчены). Единственное, на что вы можете положиться, это на то, что пользователь все еще держит сеанс - вы не можете действительно определить, является ли какое-то (внешне) новое соединение не вашим старым пользователем ...

В частности, нет смысла различать между " у нас есть 4-значные PIN-коды), но для веб-сайтов всегда возникает проблема, заключающаяся в том, что на этих многих веб-сайтах есть пароли. Запомнить десятки пятизначных чисел так же сложно, как и множество паролей.

Лучше всего использовать пароли с солеными хэшами. Salt предотвращает большинство радужных атак, а пароль гораздо сложнее подобрать. Даже при атаке по словарю у вас будет больше шансов получить более быстрое обращение к 5-значному пину, чем к паролю такой же длины.

Имейте в виду, что злоумышленник, совершивший 3.000 попыток, может успешно заблокировать 1.000 учетных записей в течение нескольких минут. Другое дело, что он может изменить шансы на один успешный вход, пробуя тысячи разных учетных записей в день. Разве OpenID не подходит?

Обновление

Просто было немного вдохновения насчет пятизначного числа. Если 5 цифр (10 ^ 5 = 100.000) действительно легко запомнить и в то же время безопасно, что насчет этих случаев:

4 letters all lowercase (26^4 = 456.976) => abcd
3 letters with mixed cases (52^3 = 140.608) => aBc
3 letters lowercase + numbers (36^3 = 46.656) => ab1

Настоящая проблема? Люди.

Я знаю школьный округ с 4 паролями: 1111, 2222, 3333 и 4444. Почему? Пользователи собрались вместе и согласились сделать это, чтобы они всегда могли войти, когда персонал дома заболел. Слишком сложно залезть в заблокированный компьютер с деньгами на обед, когда работник обеда заболел.

О да, я много раз видел, как компьютер для обеда оставался без присмотра. И, да, вы можете в любое время попросить перевести ваш баланс в наличные .

Пользователи безумны.

По этой логике, если 5 цифр легче запомнить, чем 8 символов, но они содержат достаточную энтропию, то одна цифра и три буквы без учета регистра должны быть еще проще!

10**5 = 100,000
26**3 * 10 = 175,760

Теперь всего четыре. маленькие символы, но они передают больше энтропии!

Возможно, я просто использую свои инициалы, а затем цифру 1. . .

Я не то, что этим доказано, за исключением того, что есть большая неоднозначная серая область между reductio ad absurdum и сарказмом.