donjuedo
2017-02-01 04:02:16 UTC
每個人都知道強密碼的約定/需要。人們可以在密碼中使用多種線索,再加上各種大寫字母和數字字母的替換方式,黑客平均需要進行多次嘗試才能獲得成功的密碼。
此鏈接:降低重複密碼攻擊的速度討論了阻止所有猜測的方法,儘管我不是同一問題:為什麼為什麼不成為乾擾重複猜測的規範?每次錯誤猜測之後增加退避時間是一種方法,並且已經討論了其他方法。
我看到很少有嘗試在Linux系統或任何基於Web的身份驗證上禁止這種猜測。當我3次遇到錯誤時,我就被鎖定在一個系統之外。但這只是增加了在沒有真正限制次數的情況下所需嘗試的次數。
需要引用!許多系統實現了節流閥,儘管它們可能是靜默的,而不是顯式的鎖定。它們也可能是常規的站點請求限制,而不是特定於登錄的。對於ssh(已經具有內置的延遲),另請參見fail2ban的普及。我懷疑您實際上沒有經常遇到鎖定的原因是因為它們經過了“良好的調整”,不會觸發正常的用戶行為,並且您沒有積極,持久地嘗試破解用戶帳戶。
良好安全性的衡量標準是合法用戶與惡意用戶之間“區別”的程度。將合法用戶鎖定在其帳戶之外的安全系統無法通過CIA三合一的可用性標準(機密性,完整性和可用性)。應該設計良好的帳戶鎖定策略,以便合法用戶永遠不會遇到它們。如果不管使合法用戶付出多大代價都可以阻止壞人,那麼我擁有世界上最好的安全系統:`function login(un,pw){返回“對不起密碼錯誤”;}`。
加上以前的評論,此類節流閥將保持沉默,以避免幫助攻擊者確切地知道採用了哪種保護措施。
一旦帳戶被鎖定,系統通常會返回其正常的“用戶名或密碼錯誤”消息,這很普遍-否則,除非您跟踪每個輸入的用戶名並做出相同的響應,否則您將顯示帳戶是否存在。
例如,@LieRyan,新的驗證碼系統意味著真正的人不必經常從照片中進行選擇
@LieRyan:我將CIA理解為“機密性”(沒人能讀),“完整性”(我正在閱讀發送的內容)和“真實性”(它的確來自我的想法)。
@MartinBonner CIA: https://en.wikipedia.org/wiki/Information_security#可用性
“ IT人員施加了越來越多的限制,例如字符數,字母,數字,大寫字母以及從密碼中排除用戶名。”需要引用。通常,是尖頭的頭髮老闆添加了愚蠢的密碼“強度要求”。https://xkcd.com/936/
密碼強度對於黑客(其中黑客獲得了密碼的哈希表)也很重要。如果每個人的密碼都不正確,則哈希函數的強度將變得不那麼重要。
我不確定我是否會同意“每個人都知道需要強密碼”這一觀點。查看近期發生的任何密碼轉儲,我保證您會在其中找到大量的瑣碎密碼...
人們為什麼仍在使用MD5進行密碼哈希處理?因為他們不了解或不在乎。根據您自己的定義,@MartinBonner“真實性”將是“完整性”的一部分。