Récemment, une liste de ressources avec des règles déraisonnablement complexes et simplement infructueuses pour les mots de passe a été
publiée sur GitHub. La sélection est activement discutée et nous avons décidé de nous joindre à la discussion.
Photos - Andre Hunter - UnsplashLongueur de mot de passe inconnue
Presque tous les sites ont des restrictions sur la longueur du mot de passe. Jeff Atwood, auteur de Stack Overflow et du blog Coding Horror,
note qu'une barre minimale de dix caractères réduit de 80% les chances de l'utilisateur d'entrer un mot de passe faible ou populaire. Mais il existe des ressources qui signalent une longueur minimale de mot de passe, mais n'indiquent pas la présence d'un seuil supérieur. Dans la
sélection, vous pouvez trouver des exemples de sites de grands fournisseurs, où des phrases jusqu'à 20 caractères sont autorisées dans le champ du mot de passe. Mais vous pouvez vous renseigner sur cette limitation exclusivement par essais et erreurs.
Les développeurs du site du système de péage électronique aux États-Unis sont allés plus loin. Le champ de mot de passe
tronque généralement
les caractères "supplémentaires". Les utilisateurs ne comprennent pas immédiatement pourquoi les mots de passe ne correspondent pas lorsqu'ils sont entrés dans les champs appropriés. Un problème similaire
existe sur le site Web d'un transporteur néo-zélandais. De plus, il n'apparaît pas sur toutes les pages. Il existe de nombreuses ressources de ce type - un résident de Hacker News
note qu'il a déjà perdu le compte, combien de fois il a dû modifier manuellement les scripts JS dans l'onglet Source du navigateur afin que les mots de passe soient traités normalement.
On pense que le problème de la «réduction» des mots de passe est caché dans la méthode de leur stockage. Peut-être que les accès sont en clair (sans hachage) - par exemple, dans une base de données avec le champ varchar.
Changement de mot de passe régulièrement
On pense que si le mot de passe est fiable et n'a pas été mis en évidence dans les fuites, le changer
n'a aucun sens . Au début de l'année, même Microsoft a
refusé de changer régulièrement de mot de passe. Mais tout le monde n'a pas suivi leurs traces. Par exemple, une entreprise américaine qui développe des applications pour les organisations de crédit et d'hypothèque
oblige les utilisateurs à changer leur mot de passe tous les six mois.
L'un des résidents de Hacker News
dit que son entreprise doit changer le mot de passe tous les trois mois. Cela l'énerve énormément. Dans ce cas, le logiciel, qui est responsable de la rotation, confond l'ordre des caractères spéciaux tout en enregistrant de nouvelles données d'authentification. La connexion avec le mot de passe modifié devient impossible. Jusqu'à ce que la situation soit corrigée, il est obligé d'utiliser des phrases alphanumériques plus faibles. L'obligation de changer régulièrement le mot de passe conduit également au fait que les employés de l'entreprise commencent à réutiliser d'anciens identifiants. Un autre utilisateur, HN, a
déclaré qu'il travaillait avec un fournisseur de télécommunications, où un employé n'a utilisé que deux mots de passe pour se connecter à son compte: "Apr1999!" Ou "Mar1999!". Ils ne respectaient les exigences de mot de passe que de manière formelle: lettres majuscules et minuscules, chiffres et symboles.
Gestion des entrées
On ne sait pas exactement comment la pratique du blocage de l'insertion des mots de passe est apparue. Les ingénieurs du National Cybersecurity Center des États-Unis
notent que personne n'a vu aucun article scientifique, étude, règle ou RFC à ce sujet. Ils disent également que cette mauvaise pratique nuit à la sécurité. Les visiteurs de ressources perdent la possibilité d'utiliser des gestionnaires et des générateurs de mots de passe. En conséquence, ils choisissent des mots de passe simples pour ne pas perdre de temps et accéder plus rapidement aux ressources. Le directeur régional de Microsoft, Troy Hunt, et
le rédacteur en chef de Wired, Joseph Cox, se sont également
prononcés contre le blocage des insertions.
Photo - Matthew Brodeur - UnsplashNotez que le plugin Don't F * ck With Paste pour Chrome et Firefox peut contourner le problème. En outre, le problème peut être résolu manuellement dans les paramètres. Par exemple, pour un "renard du feu", l'indicateur about: config: dom.event.clipboardevents.enabled doit être réglé sur false . Cependant, cela peut perturber le copier / coller dans Google Docs. Pour lutter contre le blocage du copier / coller, l'un des résidents de Hacker News a écrit son propre script - AutoHotKey. Il lit les données du presse-papiers, puis les imprime l'une après l'autre dans le champ de saisie avec un retard de 100-200 ms.
Qui normalise les politiques de mot de passe
Il existe des organisations qui développent des normes pour travailler avec des mots de passe. Par exemple, le National Institute of Standards and Technology (NIST) des États-Unis compile le cadre
NIST 800-63B . Il indique que le mot de passe
doit comporter au moins huit caractères. Dans le même temps, les sites sont invités à définir une longueur de mot de passe maximale d'au moins 64 caractères.
Le mot de passe sélectionné ne doit pas être inclus dans la liste des phrases les plus populaires et contenir des lettres et des chiffres répétés ("aaaaaa" ou "1234abcd"). Une brève compression contenant des explications sur ces règles a été
préparée par les ingénieurs de Sophos, fabricant d'outils de sécurité des informations pour serveurs et PC. La norme NIST possède déjà de nombreux sites. Par exemple, la ressource login.gov, qui fournit des services d'authentification pour les portails du gouvernement américain.
Il existe d'autres cadres (par exemple,
HITRUST ), mais ils ont toujours des pratiques obsolètes comme la rotation régulière des mots de passe. Mais ils, comme le NIST, s'améliorent progressivement.
Lecture supplémentaire sur le blog 1cloud:
Quoi de neuf dans le noyau Linux 5.3 «Comment nous construisons l'IaaS»: matériaux 1cloud Contrôle des appareils électroniques à la frontière - un besoin ou une violation des droits de l'homme? Pourquoi les développeurs de navigateurs traditionnels ont à nouveau refusé d'afficher le sous-domaine