bofh Skrevet 25. april 2012 Rapporter Del Skrevet 25. april 2012 Kravet til passordkompleksitet er avhengig av hvor raskt en evt. angriper er i stand til å sjekke hvorvidt et passord er korrekt eller ei. Har man tilgang til passordhashen kan man enkelt gjøre tusenvis/millioner forsøk i sekundet, kun begrenset av hvor mye regnekraft man har tilgjengelig. I en nettbank har man typisk ikke tilgang til passordhashen, og må istedet lage et program som går mot systemets login funksjon. Medmindre utviklerene har sovet i timen, vil en slik login side ha begrensninger på hvor ofte man får lov til å teste passord, og typisk stenge en konto for kortere/lengre tidsrom ved N feilede forsøk. Kravet til passordkompleksitet blir dermed vesentlig lavere. Lenke til kommentar
Überadri Skrevet 25. april 2012 Rapporter Del Skrevet 25. april 2012 Det stemmer. Men det er faktisk skummelt mange utviklere som har «sovet i timen» og ikke begrenser frekvens for innloggingsforsøk. Det hender også at sider blir hacket og hashene spres for vinden. Dette skjedde med en side jeg var medlem på, hvor alle som hadde dårlig passord fikk det offentliggjort sammen med sin mail. Jeg hadde heldigvis et bra passord og bare mailen ble offentliggjort (de hadde ikke hashet mailen :S). Lenke til kommentar
Anbefalte innlegg