Le champ de mot de passe doit-il être unique?

Question

À la lumière de la récente Gawker Media password leak, j'ai réalisé que de nombreux utilisateurs partagent les mêmes mots de passe. Pour aider à encourager des mots de passe plus forts, serait-il utile si les mots de passe sont forcés d'être uniques parmi tous les utilisateurs? Un inconvénient immédiat que je pourrais penser (en plus de la performance de création de compte?) Est de savoir que quelqu'un utilise une chaîne donnée comme mot de passe. Cette connaissance, combinée à une liste d'utilisateurs, pourrait être très dangereuse.

Existe-t-il un moyen d'atténuer cet inconvénient tout en conservant les avantages allégués de ne pas autoriser la répétition de mots de passe?

C'est un peu comme le XKCD kick bot où vous n'êtes pas autorisé à répéter des phrases courtes et non originales comme "yah" ou "lol". Éditer^2: Je pensais que vous pouviez vous opposer à un hachage, mais comme quelqu'un l'a souligné, avec des sels variés, cela n'aurait pas l'effet escompté. Bon oeil!

Answer 1

absolument pas.

Il est essentiel qu'aucune information sur les mots de passe ne soit disponible pour les utilisateurs en dehors du système. S'ils peuvent facilement deviner quels mots de passe sont utilisés, en découvrant qu'un mot de passe n'est pas disponible, ils peuvent utiliser ces mots de passe sur des noms d'utilisateur connus et obtenir un bon accès.

Une alternative est de trouver une sorte de mots de passe communs base de données, et d'empêcher tout utilisateur de les utiliser.

Answer 2

je suggère la follwing que vous avez déjà mentionné l'inconvénient d'utiliser « des mots de passe uniques @ pour tous

1. Éduquer de changer le mot de passe régulièrement de l'utilisateur de mot de passe fort.
2. Demander à l'utilisateur.
3. Gardez un mètre « force Mot de passe », alors qu'ils tapent le mot de passe.

Answer 3

eeeuh

Je pourrais mal lire votre question, mais j'espère que vous ne stockez pas le mot de passe réel?

Vous devez hacher le mot de passe avec un sel aléatoire. De cette façon, il n'y a aucun moyen de savoir si un ou plusieurs utilisateurs ont le même mot de passe. Si vos systèmes, de quelque façon que ce soit, vous permettent de déterminer si deux ou plusieurs utilisateurs ont le même mot de passe, vous stockez les mots de passe dans le mauvais sens.

Answer 4

vraiment pas

Tant que vous avez des sels, le mot de passe ne sera pas stocké de la même manière de toute façon.

Si vous voulez vous assurer la sécurité du mot de passe:

1. choisir un bon hachage (SHA256, Blowfish, etc.)
2. Utiliser des sels
3. Snap-in d'un mètre de mot de passe avec un seuil minimum
4. Beaucoup d'entre eux peuvent être empaqueté avec lexiques

Découvrez un poste que j'ai fait à ce sujet sur reddit: http://www.reddit.com/r/netsec/comments/ektb8/in_the_light_of_recent_gawker_breakout_lets_talk/

Answer 5

Si la gestion de mot de passe est fait correctement, la seule personne qui doit connaître son mot de passe est l'utilisateur qui l'a créé en premier lieu. Dans mes sites Web, je ne stocke jamais le mot de passe sous quelque forme que ce soit. Je stocke un hachage cryptographique (SHA-1 ou une variante) de ce mot de passe qui est manipulé avec une sorte de remplissage "salt" unique. Essentiellement, si deux personnes avaient des mots de passe uniques, il n'y aurait aucun moyen de le dire.

La plupart des mots de passe sur ce lien que vous avez donné sont tous des mots de passe faciles à deviner. Force très faible et facile à brute. Ils seraient tous non autorisés par n'importe quel système avec vérification de mot de passe rudimentaire.