Global olarak benzersiz şifrenin görünmezliğine yönelik alıntılar

Bir kullanıcının (istemci) bir sistem için kullanıcı tanımlama / kimlik doğrulama işlemi hakkında bir anlaşmazlık yaşıyorum. Önemli olan, her kullanıcının küresel olarak benzersiz bir parolaya sahip olmasını istemeleridir (yani hiçbir iki kullanıcının aynı parolaya sahip olmaması). Buna karşı tüm açık argümanları attım (bu bir güvenlik açığı, kimlik doğrulamayı kimlik doğrulaması ile karıştırıyor, anlamsız, vb.) Ama bu yaklaşımda yanlış bir şey olmadığı konusunda ısrar ediyorlar.

Bu konuda otoriter (veya yarı yetkili, hatta bağımsız) görüş arayan çeşitli google aramaları yaptım, ancak herhangi bir (bu özellikle karşı uyarı gibi görünmüyor gibi bariz bir sahte pas gibi) söyleyebildiğim kadarıyla). Birisi beni böyle bağımsız bir görüşe yönlendirebilir mi, lütfen?

[EDIT]
Tüm cevaplarınız için teşekkürler, ancak bu önerilen yaklaşım / gereksinimle ilgili sorunları zaten anlıyorum ve hatta bunları müşteriye açıklayabiliyorum, ancak müşteri onları kabul etmeyecek, dolayısıyla bağımsız ve / veya yetkili kaynaklar için isteğim .

Daily WTF makalesini de buldum, ancak Jon Hopkins'in işaret ettiği sorundan muzdarip - bunun açık bir WTF olduğunu ve nedenini açıklamaya değmeyecek gibi görünüyor .

Ve evet, şifreler tuzlanacak ve karıştırılacak. Bu durumda küresel benzersizliğin sağlanması zor olabilir, ancak bu sorunumu çözmez - sadece müşterinin üzerinde durmayacağı bir gereksinimim olduğu anlamına gelir, bu sadece kötü tavsiye edilmez, aynı zamanda zor uygulamak. Ve eğer "Tuzlama ve hash etme konusunda uzlaşmıyorum" diyebilecek bir konumda olsaydım, "Küresel olarak benzersiz şifreler uygulamıyorum" diyecek bir konumda olurdum.

Bunun neden hala kötü bir fikir olduğunu bağımsız ve / veya yetkili kaynaklara gösterenler ...
[/ EDIT]

Bir istemci zaten var olan bir parolayı oluşturmaya çalıştığında, bazı kullanıcıların bu parolayı zaten kullandıkları ve genellikle gizlilik sözleşmesinin ihlali hakkında geri bildirim alır .

Bunun yanı sıra, kullanıcı adlarını tahmin etmek çok daha kolaydır (ve bir forum varsa, orada çok sayıda kullanıcı adı bulabilirsiniz) ve kullanıcının web sitesini hacklemenin yollarını ima ediyorsunuz.

İnternette, sadece sağduyunun dışında gizlilik sözleşmesi ihlali bölümünü açıklayan bir sayfa olmalı: temelde birisine bir anahtar ve ev adresleri listesi veriyorlardı.

EDIT: Otoriter yakın değil, ama belki WTF ne anlama geldiğini açıkladıktan sonra yararlı: http://thedailywtf.com/Articles/Really_Unique_Passwords.aspx

En iyi uygulama, gereksinimi karşılama yoluna girer:

Bunu yapamazsınız çünkü şifrelerin ne olduğunu bilmiyorsunuz, böylece bunları karşılaştıramazsınız çünkü sakladığınız tek şey şifrenin karması ve bir tuz (karma şifrenin yanında saklayabileceğiniz). Bu en iyi uygulamadır, yani yaptığınız şey budur. Bitti.

Başka bir düzenleme: Doh! Gezi kolay - yine de benzersizliği kontrol edebilirsiniz çünkü (elbette) tuzunuz var ... sadece beni vurun ... elbette bu detayı müşteriye bahsetmek zorunda değilsiniz.

FWIW, onun oldukça Sence kadar aptal olarak - Amaç kabul ve insanlar aynı şifreyi paylaşmak kullanıcı gruplarına önlemektir yapacak onların hayatlarını kolaylaştırmak inancı.

Parolayı düzenli olarak değiştirme gereksinimi ve kişilerin geçerli veya daha önce kullanılmış bir parolayı (hiç, hiç) yeniden kullanmalarını ve mantıklı "güç" gereksinimlerini (veya en azından önceden " "şifreler), oranların hacker'ın lehine olmadığı bir noktaya, oldukça hızlı bir şekilde ulaşacaksınız.

Tamam, cevabım başlangıçta şunlarla başladı:

Birkaç şart verildiğinde bununla ilgili çok az yanlış var - bunların çoğu kalın olduğum ...

Görünüşe göre uygunsuz mizah - nokta, küresel olarak eşsiz bir kısıtlamaya sahip değilseniz, belki de daha az tehlikeli olan farklı fırsatlar yarattığınızı bilmiyordum.

Tekrarlanamayan parolaların uygulanması bilgileri sızdırıyor

Nasıl? Çünkü bir kraker basit bir şifreyle yeni bir kullanıcı oluşturmaya çalıştığında, sisteminiz "Hayır, bu şifreye sahip olamaz" diye cevap verdiğinden, kraker "Goody, bu liste için bir tane" diyor.

Güvenliğiniz hakkında bilgi sızdırmak genellikle kötü bir şeydir. Tamam, algoritmayı bilen üçüncü taraflar gayet iyi (akran denetimine ihtiyaç duyuyor) ama özel bir krakerin anahtarları çıkarmasına izin veriyor - kötü, gerçekten, gerçekten kötü.

İyi ve kötü şifre yönetimi politikalarını açıklayan kaynaklar

Parola gücünün derinlemesine tartışılması için güvenlik uzmanı Bruce Schneier'in bu makalesini okuyun .

Güvenlik araştırmacıları Philip Inglesant ve M. Angela Sasse tarafından "Kullanılamaz Şifre Politikalarının Gerçek Maliyeti" hakkında ayrıntılı bir tartışma için bu PDF'yi okuyun . Sonuçtan alıntı yapmak için:

“Sadece [kullanıcılar] tehlikeleri anlasaydı, farklı davranacaklardı” [12] dünya görüşüne karşı, “yalnızca güvenlik yöneticileri kullanıcılar ve kuruluş için gerçek maliyetleri anlasaydı, politikaları farklı ayarlayacaklarını” savunuyoruz.

Yanlış güvenlik duygusu

Böylece müşteri "Kimse aynı şifreye sahip değilse, o zaman bir kişi kırılırsa, sadece bir kişi etkilenir." Hayır. Herkes etkilenir, çünkü kraker şifre sisteminizin temelde kusurlu olduğunu göstermiştir: çevrimiçi bir sistemdeki sözlük saldırısına karşı savunmasızdır. Bir krakerin ilk etapta bir şifre karşısında birden fazla tahminde bulunabilmesi mümkün olmamalıdır.

Çevrimiçi erişim için 6 karakter yeterlidir

Konu dışı gitmek, ama ilgilenen okuyucular için bahsetmeye değer olacağını düşündüm. Güvenlik açısından, çevrimiçi bir sistem, verilere erişimi izleyen ve kontrol eden aktif bir güvenlik yönetimi sürecine sahip sistemdir. Çevrimdışı bir sistem, (çalınan bir sabit diskte şifrelenmiş veri olması gibi) olmayan bir sistemdir.

Çevrimiçi bir parola sisteminiz varsa, yüksek güvenlik parolalarına ihtiyacınız yoktur. Parolaların sadece 20 denemede tahminleri önlemek için yeterince karmaşık olması gerekir (bu nedenle basit bir "eş / çocuk / evcil hayvan adı" saldırısı başarısız olur). Aşağıdaki algoritmayı düşünün:

1. Cracker, tahminleri en aza indirmek için "root plus soneki" yaklaşımını kullanarak şifreyi tahmin eder
2. Kimlik bilgileri reddedildi ve diğer giriş denemeleri N * 10 saniye süreyle engellendi
3. N> 20 hesabı kilitlerseniz ve yöneticiyi bilgilendirirseniz
4. N = N +1
5. Kullanıcıya T zamanında bir sonraki girişin olabileceğini bildir (yukarıda hesaplanan)
6. 1. adıma geçin

Basit bir 6 karakterlik parola için, yukarıdaki algoritma sözlük saldırılarını önlerken, mobil tuş takımındaki en beceriksiz kullanıcının bile sonunda geçmesine izin verir. Hiçbir şey parola tutucuyu size söyleyene kadar kauçuk bir hortumla dövdüğünüz "lastik hortum saldırısını" engelleyemez.

Çevrimdışı bir sistem için, şifreli veriler bir flash sürücüde yatıyor ve kraker buna karşı bir şey denemek için özgürken, bulabileceğiniz en esnek anahtarı istiyorsunuz. Ancak bu sorun zaten çözüldü .

Onlara bu hareket tarzına karşı tavsiyede bulunduysanız ve onlara nedenler sunsaydınız, onları sözlerine alırdım ve sadece önerdikleri gibi sistemi uygulardım. Tatmin edici olmayabilir, ancak işinizi yaptınız ve faturaya dayanıyorlar, bu yüzden istediklerini almaları gerekiyor.

Bir istisna var. Bir sistem ihlalinin olumsuz sonuçları ciddi ise (örneğin, çok özel bilgilerin bir güvenlik ihlali nedeniyle tehlikeye girmesi muhtemelse), aslında istedikleri sistemi uygulamamak için profesyonel bir göreviniz olabilir. Reddederseniz sizi popüler yapmasını beklemeyin, ancak rehberiniz olmasına izin vermeyin.

Ben sadece Murph'un cevabını güçlendirmek istiyorum. Evet, bu bir güvenlik sorunudur ve uygulanmasında bilgi ifşa güvenlik açıkları vardır. Ancak müşterinin bakış açısından, bu konuda çok endişeli görünmüyor.

Dikkat etmeniz gereken şey, aslında "benzersiz bir şifre" kontrolü uygulamak fiziksel olarak mümkün değildir . Şifreyi tuzluyorsanız ve ayırıyorsanız ve bunları açık metin olarak saklamıyorsanız, benzersizlik kontrolünü gerçekten yapmak O (n) (pahalı) işlemlerdir.

10.000 kullanıcınız olduğunu hayal edebiliyor musunuz ve her yeni kullanıcı giriş yaptığında veya şifresini değiştirdiğinde benzersiz olup olmadığını kontrol etmek için her kullanıcının şifresinden geçmek 30 saniye sürüyor mu?

Bu, müşterinize vermeniz gereken yanıt olduğunu düşünüyorum.

Sadece soruyu sormak için uygun bir yer düşünerek, Stack Exchange'in BT güvenlik bölümü sizin için yararlı bir nokta olmalıdır. Https://security.stackexchange.com/questions/tagged/passwords adresini deneyin ; BT Güvenliğine odaklanan bir dizi kişi belirli yanıtlar verebilmelidir.

Muhtemelen RSA iki faktörlü şifreleme istiyor. Active Directory veya ASP.NET üyeliği kullanıyorsanız, bu çok basittir.

Donanım veya yazılım belirteci, zamana bağlı benzersiz bir parola ve bunu izleyen bir PIN kodu oluşturur. Bu birlikte her kullanıcı için benzersiz bir şifre sağlar.