Pourquoi une exigence de mot de passe interdirait-elle un nombre dans le dernier caractère?
Aujourd'hui, en configurant un nouveau système (Juniper Space, plateforme de gestion de réseau basée sur Linux), je suis tombé sur une exigence de mot de passe bizarre qui m'intéresse. Lors de la connexion à l'interface utilisateur Web avec les informations d'identification par défaut, j'ai été invité à modifier le mot de passe, ce qui est bien, et je suis allé le faire, mais mon mot de passe généré de manière aléatoire a été rejeté car le dernier caractère était un nombre. Cela m'a paru encore plus étrange, étant donné que le mot de passe que j'ai fourni pour l'interface de ligne de commande se terminait par un nombre, et il a été accepté.
D'après mon expérience, les exigences de mot de passe comme celle-ci ont généralement un raisonnement sous-jacent derrière elles, comme Q et Z ne sont pas présents sur les anciens claviers téléphoniques , ou compatibilité des systèmes hérités ou j-- systèmes/politiques tout simplement médiocres/quoi que ce soit . J'ai cependant beaucoup plus de mal à expliquer cette politique particulière avec l'une de ces explications.
Quelqu'un a-t-il une idée du raisonnement derrière une politique de mot de passe qui interdirait un dernier caractère numérique?
C'est probablement un effort pour décourager les mots de passe qui correspondent aux formats courants ou aux masques de caractères. Si une politique de mot de passe nécessite l'utilisation d'un numéro, de nombreuses personnes choisiront de mettre leur numéro à la fin d'un mot ou de mots. Voici quelques exemples d'environnements d'entreprise:
- Top Masques de mot de passe NetSPI pour 2015
- 2015 Trustwave Global Security Report - masques de mot de passe
Les attaquants aiment cette habitude d'utilisateur car cela facilite le craquage de leur mot de passe hybride ou les attaques par devinettes plus faciles. Ils peuvent se concentrer sur la combinaison de listes de mots avec des nombres ajoutés à la fin plutôt que sur une approche de force brute plus longue.
Ainsi, certaines organisations mettent en œuvre une politique comme celle-ci dans le but d'améliorer la sécurité en amenant les utilisateurs à mettre leurs numéros est un endroit moins prévisible. Il semble que dans votre situation, ils ne combinent pas cela avec toute autre vérification de complexité et rejettent à la place tous les mots de passe qui se terminent par un nombre, quelle que soit leur nature aléatoire. Ce n'est pas un très bon moyen de mettre en œuvre ce type de vérification, mais ils ne sont pas seuls à adopter cette approche.
Par expérience, le Must not reuse previous 6 passwords la règle peut amener les utilisateurs à utiliser un schéma de rotation des mots de passe dans lequel le mot de passe actuel passe par something-that-fits-the-other-rules1 par something-that-fits-the-other-rules7, pour se faciliter la tâche en obéissant au Must change password every 90 days règle courante dans les entreprises.
Les outils de piratage de mot de passe pourraient utiliser la connaissance de cette habitude pour concevoir des mots de passe à deviner.
Le Must not contain number as the last character La règle pourrait être une tentative de contourner de tels schémas pour forcer les utilisateurs à choisir de nouveaux mots de passe qui sont sensiblement différents de leurs anciens.