Tuttavia, ecco una ripartizione di raccomandazioni e considerazioni comuni:
Linee guida generali:
* 80 bit di entropia sono una base ampiamente consigliata per una forte sicurezza della password. Questo è un buon punto di partenza per la maggior parte delle applicazioni e dei servizi. Perché? Perché rende la performance della password proibitivamente costosa per la maggior parte degli aggressori.
* Almeno 11 caratteri con forte casualità: Questo spesso si traduce in circa 50 bit di entropia utilizzando un forte generatore di password con un set di caratteri di grandi dimensioni (maiuscolo, minuscolo, cifre, simboli). Sebbene migliore di niente, è considerato borderline adeguato da molti esperti di sicurezza e potrebbe essere vulnerabile ad attacchi più sofisticati, specialmente se il processo di creazione della password è imperfetto o gli utenti fanno scelte prevedibili.
Fattori che influenzano i requisiti di entropia:
* Il valore dei dati protetti: Se stai proteggendo informazioni altamente sensibili (ad es. Conti bancari, segreti governativi), vorrai entropia significativamente più elevata. Pensa nell'intervallo di 100 bit o più.
* Le risorse dell'attaccante: Gli attori dello stato-nazione o le grandi organizzazioni criminali hanno le risorse per rompere password che sarebbero considerate "forti" per gli utenti medi.
* L'algoritmo di hashing usato: Un algoritmo di hashing moderno e forte (come Argon2, BCrypt o Scrypt) è cruciale. Se stai utilizzando un algoritmo più vecchio e più debole (come MD5 o SHA1), anche le password ad alta entropia possono essere vulnerabili. L'algoritmo di hashing aumenta il costo di un attacco, rendendolo uno strato vitale di difesa.
* Salt: Un sale unico e generato casualmente dovrebbe * essere sempre * utilizzato quando le password di hashing. I sali impediscono agli aggressori di utilizzare le tabelle pre-computate di hash password (tabelle arcobaleno).
* Requisiti di complessità della password: Mentre i requisiti di complessità (ad esempio, "devono contenere una lettera maiuscola, un numero e un simbolo") sono spesso implementati, possono ritorcersi contro. Gli utenti tendono a creare password prevedibili che soddisfino i requisiti, che in realtà * riducono * l'entropia. È meglio incoraggiare *lunghezza *e *casualità *.
* Riutilizzo della password: Il riutilizzo della password su più siti è un rischio * maggiore * di sicurezza. Se un servizio è compromesso, tutti gli account che utilizzano la stessa password diventano vulnerabili.
* Manager di password: È altamente consigliato l'utilizzo di un gestore di password rispettabile per generare e archiviare password univoci forti e uniche per ciascun sito. I gestori di password possono facilmente creare e gestire password con 128 bit di entropia o superiore.
* Autenticazione a più fattori (MFA): Abilitare l'MFA aggiunge un secondo livello di sicurezza, anche se la password è debole o compromessa. Ciò aumenta significativamente la difficoltà per un aggressore.
Stima dell'entropia:
L'entropia viene solitamente misurata in *bit *. Ogni bit rappresenta una riduzione del 50% dell'incertezza. Più alta è l'entropia, più è difficile indovinare o decifrare la password.
* Dimensione del set di caratteri: Il numero di possibili caratteri che puoi utilizzare nella password (maiuscolo, minuscolo, cifre, simboli).
* Lunghezza della password: Il numero di caratteri nella tua password.
La formula per l'entropia approssimativa è:
`Entropia (bit) ≈ lunghezza * log2 (dimensione del set di caratteri)`
`log2 (x)` è il logaritmo base-2 di `x`. È possibile approssimarlo con `log10 (x) / log10 (2) ≈ log10 (x) / 0.301`.
Esempio:
Supponiamo che tu abbia una password lunga 12 caratteri e utilizza lettere maiuscole, lettere minuscole, cifre e simboli comuni (circa 95 caratteri in totale).
* Lunghezza =12
* Dimensione del set di caratteri =95
Entropia ≈ 12 * log2 (95) ≈ 12 * (log10 (95) / 0,301) ≈ 12 * (1.978 / 0,301) ≈ 12 * 6,57 ≈ 78,84 bit
Consigli:
* mira ad almeno 80 bit di entropia. Questo è un buon equilibrio tra sicurezza e usabilità per molte applicazioni.
* Dai la priorità alla lunghezza della password rispetto ai requisiti di complessità. Una password lunga e casuale è molto più difficile da rompere di una breve e complessa.
* Usa un forte algoritmo di hashing password con un sale unico.
* Abilita l'autenticazione a più fattori quando possibile.
* Incoraggiare (o addirittura applicare) l'uso dei gestori di password.
* Rivedere e aggiornare regolarmente le politiche della password.
* Educare gli utenti sulle migliori pratiche di sicurezza delle password.
In sintesi, 80 bit sono un buon punto di partenza, ma l'entropia minima ideale dipende dal contesto specifico. Considera sempre il valore dei dati protetti, i potenziali aggressori e le misure di sicurezza disponibili.
Domanda © www.354353.com