Jump to content
szakal

Hasło uztkownika - wymagania

Recommended Posts

Cześć, przed chwilą niestety przechodziłem proces rejestracji na forum. Niestety coś jest nie tak z systemem weryfikującym hasło. Nie dość że nie działa on poprawnie (jestem web developerem) to znaczy źle jest oceniana siła hasła, to dodatkowo by się zarejestrować wymagane jest by hasło było oznaczone jako bardzo silne. Efekty jest taki, że 5 minut próbowałem wymyślić hasło które przez forum zostanie uznane za bardzo silne i zaakceptowane.

Niestety daje to zupełnie odwrotny rezultat i mam ustawione chyba najgłupsze i najprostsze hasło jakie kiedykolwiek miałem gdzieś ustawione.

Share this post


Link to post
Share on other sites

Możliwe że to problemy z samym silnikiem, na innym forum na tym samym layoucie miałem tak samo.

  • Upvote 1

Share this post


Link to post
Share on other sites

To jest kwestia ustawień w PA forum. A co do poprawności obliczania siły hasła to faktycznie jest zależne od silnika forum.

Z tego co zauważyłem to siła hasła jest zależna od ilości znaków i dopiero powyżej chyba 10 znaków hasło jest uznawane za bardzo silne. Pomimo, że jest bardzo proste bo np jest to 1234567890.

Share this post


Link to post
Share on other sites

Kwestia silnika. Anglojęzyczne forum oparte na IPB określi taką samą siłę hasła, jak polskojęzyczne, więc nie ma nawet mowy o sprawdzaniu, czy w haśle nie ma frazy słownikowej.

Co ciekawe, dwa różne, losowo wygenerowane hasła, które spełniają wszystkie warunki, określi z różną siłą... Decydującym czynnikiem zdaje się być ilość znaków, przy 12 wskaźnik siły przyjmuje już maksymalną możliwą wartość.

4 minuty temu, szakal napisał:

dopiero powyżej chyba 10 znaków hasło jest uznawane za bardzo silne. Pomimo, że jest bardzo proste bo np jest to 1234567890.

2019-06-01_22-37-38.png2019-06-01_22-40-21.png

Ilość ma wpływ, ale na pewno nie jest jedynym elementem, wpływającym na obliczenie złożoności. ;)

Share this post


Link to post
Share on other sites

Jestem pewny, że w ustawieniach forum jest możliwość ustalenia jak silne hasło jest wymagane do jego akceptacji (podczas zmiany hasła lub rejestracji).

27 minut temu, daviox napisał:

Ilość ma wpływ, ale na pewno nie jest jedynym elementem, wpływającym na obliczenie złożoności. ;)

Wstaw w dowolnym miejscu dodatkowo dowolny znak i przejdzie. Mój przykład nie był najlepszy.

Share this post


Link to post
Share on other sites

Owszem, jest taka opcja. Siła hasła jest określana za pomocą algorytmu, który nagradza dłuższe hasła z użyciem kombinacji liter, cyfr, znaków specjalnych oraz odejmuje punkty za użycie ciągów lub powtarzających się znaków. Aktualnie aby uniknąć sytuacji z podanym przykładem ciągu liczbowego, ustawiona została najwyższa restrykcja haseł, która wymaga użycia dużych i małych liter, cyfr i znaków specjalnych, ale w odróżnieniu od poprzednich ustawień - bez znaków kolejno lub sekwencyjnie użytych. Silnik forum nie pozwala jednak na ustawienie minimalnej długości w sensie stricte - wylicza sobie to automatycznie na podstawie wymienionego algorytmu. Ze względu na fakt, że blog (oraz co za tym idzie forum) w niektórych kręgach nie cieszy się delikatnie mówiąc życzliwością, preferowałbym jak największe bezpieczeństwo jego użytkowników :).

  • Like 1

Share this post


Link to post
Share on other sites

Teoretycznie powinno być tak jak piszesz. W praktyce jest zupełnie odwrotnie. Musiałem ustawić proste hasło bo skomplikowane 8 znakowe zawierające duże i małe litery oraz znaki specjalne i cyfry było uznawane za słabe.

Od kilku lat w security trąbi się o tym, że to nie losowość i długość hasła wpływa na jego bezpieczeństwo. Jest wręcz odwrotnie, silne restrykcje dotyczące hasła tylko obniżają poziom bezpieczeństwa ponieważ użytkownicy wymyślają proste ale długie hasło, a do tego zapisują je bo nie są w stanie zapamiętać. Zapisują w formie tekstu gdzieś na kartce lub pulpicie.

Dlatego jestem zaskoczony, że ktoś odpowiedzialny za rozwój IPB tak położył sprawę.

Dobra przykład hasła moim zdaniem dobrego które nie przechodzi:

[email protected]$82 - ma 10 znaków (minimum to 8), 2 znaki specjalne, 2 cyfr, duże i małe znaki; uznane jest za silne, ale to za mało

Teraz przykład mojego obecnego hasła ustalonego podczas rejestracji które algorytm uznał za bardzo silne i je dopuścił

12345a12345 - hasło ma 11 znaków i jest bardzo proste, nie ma znaków specjalnych, i do tego w sumie składa się z 6 takich samych symboli

Teraz pytanie, które hasło jest silniejsze i które powinno być zablokowane, a które dopuszczone? Myślę, że odpowiedź nasuwa się sama i  ten przykład ewidentnie pokazuje, że coś z algorytmem i/lub ustawieniami forum jest mocno nie tak.

Jeśli ktoś mi będzie próbował udowodnić, że drugie jest silniejsze bo jest dłuższe, to niestety nie ma racji. W przypadku łamania hasła brute force łatwiej złamać będzie drugie hasło pomimo, że jest dłuższe niż pierwsze. Po prostu w drugim przypadku zastosowanie małych liter i cyfr daje nam mniej permutacji, pomimo iż jest dłuższe, niż w przypadku gdy hasło skład się z dużych i małych liter, cyfr i znaków specjalnych.

A teraz idę zmieniać hasło ...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Forum Audiofanatyk.pl

Forum audiofanatyk.pl to forum audio stworzone i prowadzone przez pasjonatów tematyki audiofilskiej. Prowadzone pod skrzydłami bloga, pozwala dzielić się opiniami i wrażeniami z odsłuchów, a także rozmawiać na tematy sprzętowe związane ze słuchawkami, kolumnami, wzmacniaczami i dowolnym innym sprzętem audio. 

×
×
  • Create New...