web-dev-qa-db-ja.com

パスワードのブラックリストを保存することのセキュリティ上の意味は何ですか?

浅い辞書攻撃を緩和するために1000の最も一般的なパスワードが使用されるのを防ぐパスワードブラックリストを追加したいと思います。このブラックリストをデータベースに格納することの否定的な影響はありますか?

30
Gajus

この程度の大きさ(パスワードは1000)で、セキュリティの観点からは何の欠点もありません。どちらかといえば、それは良い考えだと思います。確かに、可能なパスワードのプールを縮小することになり、理論的にはセキュリティが低下します。ただし、実際には、最も一般的に使用されるパスワードは、攻撃者が最初に試す単語リストの1つになります。

実際、登録フォームでこれを開示しているいくつかのWebサービスを見てきました。一般的なパスワードに加えて、辞書全体をブロックするものさえあります。

32
Adi

これはではない悪いという考えだけでなく、実際にはかなりお勧めです。実際、ほとんどのLinux/Unixシステムには cracklib と呼ばれるライブラリ全体がすでに含まれていますで、ユーザーが恐ろしいものを選択するのを防ぐのに役立ちますパスワード。

このライブラリにはバインディングがあります inmostlanguages これにより、不正なパスワードのチェックが非常に簡単になります。あなたは単に「cracklib、このパスワードは悪いのですか」と言うだけで、「このパスワードは逆引きされた辞書の単語に基づいています」のようなものになります。

17
tylerl

セキュリティの観点からは、悪影響はありません。私が考えることができる唯一のことは、攻撃者がそのリストを取得できたとしても、1000個のパスワードを試さないことを知っている攻撃者ですが、それは実際にはしないカウントです。

13
user10211

私はこの状況で1つの問題を見ることができます、それは攻撃者にとってブルートフォースを容易にします。アカウントに侵入するために試行するパスワードが少なくなります。パスワードの選択をユーザーに限定するべきではないと思います。

0
John The Ripper

ブラックリストを公開し、上司のお気に入りのパスワードCarlosDanger77が含まれている場合。彼のTwitterアカウントがハッキングされたときに、缶詰にされている可能性があります。

0
Chad Brewbaker