浅い辞書攻撃を緩和するために1000の最も一般的なパスワードが使用されるのを防ぐパスワードブラックリストを追加したいと思います。このブラックリストをデータベースに格納することの否定的な影響はありますか?
この程度の大きさ(パスワードは1000)で、セキュリティの観点からは何の欠点もありません。どちらかといえば、それは良い考えだと思います。確かに、可能なパスワードのプールを縮小することになり、理論的にはセキュリティが低下します。ただし、実際には、最も一般的に使用されるパスワードは、攻撃者が最初に試す単語リストの1つになります。
実際、登録フォームでこれを開示しているいくつかのWebサービスを見てきました。一般的なパスワードに加えて、辞書全体をブロックするものさえあります。
セキュリティの観点からは、悪影響はありません。私が考えることができる唯一のことは、攻撃者がそのリストを取得できたとしても、1000個のパスワードを試さないことを知っている攻撃者ですが、それは実際にはしないカウントです。
私はこの状況で1つの問題を見ることができます、それは攻撃者にとってブルートフォースを容易にします。アカウントに侵入するために試行するパスワードが少なくなります。パスワードの選択をユーザーに限定するべきではないと思います。
ブラックリストを公開し、上司のお気に入りのパスワードCarlosDanger77が含まれている場合。彼のTwitterアカウントがハッキングされたときに、缶詰にされている可能性があります。