Cracking password policies
Password policies do not work
When users are asked to create a password that includes uppercase letters, lowercase letters, numbers, and special characters, the result is:
- One uppercase letter
- Then small letters
- Then a number, a couple of numbers, or a year
- Finally, special character
The password "kissa" becomes "Kissa123!" or "Kissa1998@", or similar. In addition, this policy prevents the use of passwords that would actually be secure and easy to remember (such as "did you find the fish in the lamp").
Älä vaadi salasanalta mitään muuta kuin ettei se ole liian lyhyt. NIST suosittelee että salasanat ovat vähintään 8 merkkiä pitkiä. Käyttäjiä on hyvä salasanan asettamisen yhteydessä muistuttaa, että on suositeltavaa käyttää salasananhallintaohjelmaa, tai sen puuttuessa keksiä salasanan sijasta satunnaisista sanoista (tai vielä parempi, epäsanoista kuten omena -> amena) koostuva salasanalause ("passphrase").
Turvallisuuden kannalta kriittisissä palveluissa voi olla perusteltua jopa pakottaa käyttämään salasananhallintaohjelmaa tai salasanalausetta, asettamalla vaikkapa salasanan minimipituus 16 merkkiseksi.
Voit myös tarkastaa, että onko käyttäjän syöttämä salasana mukana jossain niistä 12 miljardista vuotaneesta salasanasta jotka löytyvät HaveI Been Pwned -palvelusta. Rajapinnalle ei tarvitse lähettää kuin salasanan tiivisteen (SHA1) ensimmäiset viisi merkkiä, ja saat takaisin loppuosat jotka sopivat alkuosaan.
Learn to hack — start here
Hundreds of interactive courses, virtual labs and CTF challenges in your browser. Start a free trial — no card required.