Optimale temporäre Passwortlänge für SHA-Hash
https://stackoverflow.com/questions/704798
-
22-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Wenn Sie einen „Passwort vergessen“ Mechanismus zu schaffen, könnten wir ein tempory Passwort für den Benutzer erstellt werden sollen, die SHA1 gespeichert wird mit (fühlt sich frei, andere C # Cryptography Mechanismus vorschlagen).
Wie lange sollen wir das tempory Passwort machen? Zu kurz, es Brute gezwungen werden könnte. Zu lange und die unnötige Länge ist überflüssig, da die Zeichenfolge ohnehin gehasht werden? (Da ein Zeichen 20 und 50 Zeichenkette führt zu einem Hash-Wert von der gleichen Länge sowieso)
Aktualisieren
Sorry, wenn dies war irreführend. Sicher haben wir eine Reihe aus der Luft holen können, aber ich habe mich gefragt, ob es ein guter mathematischer Grund war eher 13 zu holen als 12.
Lösung
Ich denke, dies ist ein guter Rat in Bezug auf temporäre Passwörter:
Der definitive Leitfaden für formularbasierte Website-Authentifizierung
Er spricht über die Vermeidung ihnen für immer in die reale Aktion Erzeugung der Nutzer will.
Andere Tipps
ich in der Regel mit 10 Zeichen gehen. Kein besonderer Grund dafür, nur etwas, das ich für ein Passwort ist überdurchschnittlich Länge erraten würde von einem Benutzer gewählt.
Nur durch die Tatsache, dass es zufällig generiert wird, wird es wahrscheinlich als alles, was von den Benutzern ausgewählt, um Brute-Force sicherer und schwieriger. Die Leute holen dumm Passwörter wie myspace1, stackoverflow1, 12341234 etc.
Wenn das Passwort in alphanumerischen Zeichen ist, dass Sie nur etwa 6 Bit Nutzdaten pro Charakter haben und deshalb sind Sie falsch, dass es keinen Sinn, ein Passwort zu machen mehr als 20 Zeichen.
Es scheint, wie Sie sich Sorgen um das temporäre Passwort macht stärker als das Kennwort des Benutzers ... wenn sie in Wirklichkeit, so etwas wie ein 10-stellige Basis-64 (oder ähnlich - Interpunktion usw.) sehr schwer wird zu knacken sein und viel stärker als das Passwort der Benutzer generieren ....
Machen Sie es eine variable Größe als auch (etwa 8-12 Zeichen), die es schwerer zu brutalen Gewalt machen ... wenn die Angreifer wissen, dass Sie ein X-Zeichen-Passwort Rückkehr alles, was sie tun müssen, ist zu versuchen, alle Passwörter mit N. .. unter der Annahme, N groß ist wird es unpraktisch sein, aber die Größe von N unterschiedlich zumindest, dass es viel schwieriger für sie machen.
Steve Gibson hat einen " Ultra-High Security Password Generator " erstellt.
Auf dieser Seite, die er erzeugt drei verschiedene Passwörter auf jeder Seite angezeigt:
- 64 zufällig hexadezimale Zeichen (0-9 und A-F)
- 63 zufällig druckbaren ASCII-Zeichen
- 63 zufällige alphanumerische Zeichen (a-z, A-Z, 0-9)
Er erklärt auch die Gründe dafür. Es ist eine schöne Lektüre. Hoffe, das hilft.
Gehen Sie für was auch immer Länge Ihrer Website gibt an, wie für die Benutzer empfohlen. Wenn eine zufällige Folge von base64 Zeichen zu erzeugen, würde ich mit 8-Zeichen-Passwort sicher in der Nacht schlafen. Aber natürlich würde ich Anmeldeversuche beschränken, einmal alle X Sekunden und vorübergehend Konto deaktivieren, nachdem Y versucht fehlgeschlagen.
Und denken Sie daran ein pro-Benutzer eindeutig Salz hinzufügen, bevor Hashing, Datenbank-basierten Angriffe zu vereiteln.
