این مقاله به انتقاد از نشانگرهای قدرت رمز عبور و محدودیتهای اختیاری طول رمز عبور میپردازد و استدلال میکند که این موارد اغلب منجر به امنیت ضعیفتر میشوند.
مشکل نشانگرهای قدرت رمز عبور
- حس امنیت کاذب: نشانگرهای مبتنی بر محاسبات ساده (تعداد و نوع کاراکتر) حس امنیت کاذب میدهند. آنها حملات dictionary یا الگوهای رایج رمز عبور را در نظر نمیگیرند.
- نادیده گرفتن رفتار انسانی: آنها نحوهی واقعی ایجاد و بهخاطر سپردن رمزهای عبور توسط افراد را در نظر نمیگیرند و اغلب رمزهای عبور پیچیده اما به راحتی قابل حدس را به عبارات عبور سادهتر و طولانیتر ترجیح میدهند.
- در نظر نگرفتن الگوریتمهای هش: تفاوت بسیار زیاد در زمان شکستن بین الگوریتمهای هش مانند MD5 و bcrypt نادیده گرفته میشود. یک رمز عبور "قوی" تحت یک الگوریتم ممکن است به راحتی تحت الگوریتم دیگر شکسته شود.
مشکل محدودیتهای اختیاری طول رمز عبور
- جلوگیری از رمزهای عبور/عبارات عبور طولانی: محدودیتها (به عنوان مثال، ۲۰ کاراکتر) کاربران را از استفاده از عبارات عبور طولانی و ایمن باز میدارند، حتی اگر این عبارات میتوانند بسیار قوی باشند.
- اجازه ورود رمزهای عبور ضعیف: سایتها ممکن است عبارات عبور قوی را به دلیل طول رد کنند، اما رمزهای عبور کوتاه و به راحتی قابل شکستن را که حداقل الزامات پیچیدگی را برآورده میکنند، بپذیرند.
مثال آرگوس
این مقاله از وبسایت آرگوس به عنوان مثال استفاده میکند:
- پیام خطای گمراهکننده: آرگوس یک پیام خطای گمراهکننده را در مورد قدرت رمز عبور نمایش داد، در حالیکه مشکل واقعی محدودیت ۲۰ کاراکتری بود.
- رد رمزهای عبور قوی: سایت، رمز عبور قوی "correct horse battery staple" را به دلیل طول و عدم وجود عدد رد میکند.
- پذیرش رمزهای عبور ضعیف: سایت رمز عبور ضعیف "passw0rd" را میپذیرد که ناکارآمدی سیستم آنها را برجسته میکند.
راه حل
- آموزش: تمرکز بر آموزش کاربران در مورد خطرات استفادهی مجدد از رمز عبور و آنچه که یک رمز عبور واقعاً قوی را تشکیل میدهد.
- رهنمودهای NIST: پیروی از توصیههای NIST، از جمله اجازه حداقل ۶۴ کاراکتر برای رمزهای عبور.
- بازنگری نشانگرهای رمز عبور: فراتر از ماشینحسابهای ساده که رفتار انسان و پیچیدگیهای امنیت رمز عبور را نادیده میگیرند، حرکت کنید.
مشاهده مطلب اصلی