Recentemente, uma lista de recursos com regras irracionalmente complexas e simplesmente sem êxito para senhas foi
publicada no GitHub. A seleção está sendo discutida ativamente e decidimos participar da discussão.
Fotos - Andre Hunter - UnsplashComprimento da senha desconhecida
Quase todos os sites têm restrições quanto ao tamanho da senha. Jeff Atwood, autor do Stack Overflow e do blog Coding Horror,
observa que uma barra mínima de dez caracteres reduz a chance do usuário de inserir uma senha fraca ou popular em 80%. Mas existem recursos que relatam um tamanho mínimo de senha, mas não indicam a presença de um limite superior. Na
seleção, você pode encontrar exemplos de sites de grandes fornecedores, onde frases com até 20 caracteres são permitidas no campo de senha. Mas você pode aprender sobre essa limitação exclusivamente por tentativa e erro.
Os desenvolvedores do site do sistema de pedágio eletrônico nos Estados Unidos foram além. O campo de senha geralmente
trunca os caracteres "extras". Os usuários não entendem imediatamente por que as senhas não coincidem quando são inseridas nos campos apropriados. Um problema semelhante
existe no site de uma transportadora da Nova Zelândia. Além disso, ele não aparece em todas as páginas. Existem muitos recursos - um residente do Hacker News
observa que ele já perdeu a conta, quantas vezes ele teve que modificar manualmente os scripts JS na guia Origem do navegador para que as senhas sejam processadas normalmente.
Acredita- se que o problema com a "redução" de senhas esteja oculto no método de armazenamento. Talvez os acessos sejam claros (sem hash) - por exemplo, em um banco de dados com o campo varchar.
Mudança de senha regularmente
Acredita-se que, se a senha for confiável e não tiver sido destacada em vazamentos, a alteração não
fará sentido . No início do ano, até a Microsoft
se recusou a alterar as senhas regularmente. Mas nem todos seguiram seus passos. Por exemplo, uma empresa americana que desenvolve aplicativos para organizações de crédito e hipoteca
exige que os usuários alterem sua senha a cada seis meses.
Um dos moradores de Hacker News
diz que sua empresa precisa alterar a senha a cada três meses. Isso o irrita bastante. Nesse caso, o software, responsável pela rotação, confunde a ordem dos caracteres especiais enquanto salva novos dados de autenticação. O login com a senha alterada se torna impossível. Até que a situação seja corrigida, ele é forçado a usar frases alfanuméricas mais fracas. A exigência de alterar regularmente a senha também leva ao fato de que os funcionários da empresa começam a reutilizar identificadores antigos. Outro usuário, HN,
disse que trabalhava com um provedor de telecomunicações, onde um funcionário usava apenas duas senhas para fazer login em sua conta: "abr1999!" Ou "mar1999!". Eles atenderam formalmente aos requisitos de senha: letras maiúsculas e minúsculas, números e símbolos.
Gerenciamento de entrada
Não se sabe ao certo como surgiu a prática de bloquear a inserção de senha. Os engenheiros do Centro Nacional de Cibersegurança dos EUA
observam que ninguém viu nenhum artigo científico, estudo, regra ou RFC sobre esse assunto. Eles também dizem que essa é uma prática ruim que prejudica a segurança. Os visitantes de recursos perdem a capacidade de usar gerenciadores e geradores de senhas. Como resultado, eles escolhem senhas simples para não perder tempo e obter acesso mais rápido aos recursos. O diretor regional da Microsoft, Troy Hunt, e o
editor da Wired, Joseph Cox, também se
manifestaram contra o bloqueio de inserções.
Foto - Matthew Brodeur - UnsplashObserve que o plug-in Não F * ck com pasta para Chrome e Firefox pode solucionar o problema. Além disso, o problema pode ser resolvido manualmente nas configurações. Por exemplo, para um "fire fox", o sinalizador about: config: dom.event.clipboardevents.enabled precisa ser alternado para false . No entanto, isso pode interromper a copiar / colar no Google Docs. Para combater o bloqueio de copiar / colar, um dos moradores do Hacker News escreveu seu próprio script - AutoHotKey. Ele lê os dados da área de transferência e os imprime um após o outro no campo de entrada com um atraso de 100-200 ms.
Quem padroniza as políticas de senha
Existem organizações que desenvolvem padrões para trabalhar com senhas. Por exemplo, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) compila a estrutura
NIST 800-63B . Ele afirma que a senha
deve ter pelo menos oito caracteres. Ao mesmo tempo, os sites devem definir um tamanho máximo de senha de pelo menos 64 caracteres.
A senha selecionada não deve ser incluída na lista das frases mais populares e conter letras e números repetidos ("aaaaaa" ou "1234abcd"). Um breve aperto com explicações dessas regras foi
preparado por engenheiros da Sophos, fabricante de ferramentas de segurança da informação para servidores e PCs. O padrão NIST já possui muitos sites. Por exemplo, o recurso login.gov, que fornece serviços de autenticação para portais do governo dos EUA.
Existem outras estruturas (por exemplo,
HITRUST ), mas elas ainda têm práticas desatualizadas, como a rotação regular de senha. Mas eles, como o NIST, estão gradualmente sendo aprimorados.
Leitura adicional no 1cloud Blog:
O que há de novo no kernel Linux 5.3 “Como construímos IaaS”: materiais 1cloud Triagem de dispositivos eletrônicos na fronteira - uma necessidade ou violação dos direitos humanos? Por que os principais desenvolvedores de navegadores se recusaram novamente a exibir o subdomínio