Domanda:
Che senso ha creare una complicata password PUBLIC?
Vidar S. Ramdal
2015-08-21 13:03:36 UTC
view on stackexchange narkive permalink

Ho scaricato un paio di immagini di macchine virtuali da http://modern.ie, al fine di testare diverse versioni di Internet Explorer.

Quando si eseguono queste immagini, viene avviato un ambiente Windows completo, con un account utente predefinito. I dettagli per l'account utente sono visualizzati in chiaro sullo sfondo del desktop di Windows:

Screenshot of the Windows desktop

Qual è il motivo per complicare la password ( ad es. Passw0rd! anziché solo password ), quando la password è chiaramente visibile a chiunque e si suppone sia pubblica?

Dubito che ci sia una vera ragione ponderata per questo. Per me sa di cargo-cult: una password deve contenere alcuni caratteri e numeri divertenti. http://www.stevemcconnell.com/ieeesoftware/eic10.htm
Quindi, in questo caso particolare, è probabilmente perché quella è la password demo ben nota.
Impedisce anche ai normali exploit di manipolare il sistema indovinando l'onnipresente password "password".
Sei risposte:
#1
+57
mak93129
2015-08-21 20:21:22 UTC
view on stackexchange narkive permalink

Il motivo potrebbe essere:

Questo Windows ha implementato una policy per le password complesse, quindi l'utente DEVE AVERE una password "complessa".

"forte" haha
Beh no. Non ho avuto problemi a cambiare la password in "password", quindi le politiche non possono essere il motivo.
@VidarS.Ramdal, forse altri sistemi hanno politiche di password più rigide che non ti consentirebbero di apportare tale modifica, ma vogliono utilizzare la stessa password su tutti i sistemi per semplicità.
Sembra che tutte quelle immagini VM utilizzino la stessa password e le stesse politiche.
#2
+31
Peter
2015-08-22 20:25:19 UTC
view on stackexchange narkive permalink

Oltre alla politica della password (lettere maiuscole + minuscole, numero, carattere non alfanumerico,> 8 cifre), porta anche alla chiarezza. Alcuni utenti potrebbero essere confusi dal fatto che la password sia password , a seconda di come viene visualizzata, specialmente se è mescolata con altre informazioni. Tuttavia, per tutti tranne che per gli utenti con problemi mentali è immediatamente chiaro che Passw0rd! è una password , che riduce la quantità di richieste di assistenza.

«Alcuni utenti potrebbero essere confusi dal fatto che la password sia password» - ottimo punto.
Imposta la password "allonewordlowercasenospaces".
O ancora meglio "All One W0rd Lower Case No Spaces With Quotes".
Sto contrassegnando _questa_ risposta come accettata, poiché mi è piaciuto _è immediatamente chiaro che Passw0rd! è un punto_password. Come affermato in altri commenti, i criteri per le password _non_ erano il problema.
Questo mi ricorda la mia vecchia scuola: l'account root per il server della classe aveva la password "dasgleiche" ("lo stesso" in tedesco). Potresti * letteralmente * dire ad alta voce a un altro amministratore "la password è la stessa" con 30 studenti in ascolto e nessuno di loro l'avrebbe mai capito.
Mi ricorda un ragazzo a scuola che usava la password "Hell no!". Il suo IT era solito chiedergli la sua password, che ha dato loro in modo completamente onesto;)
#3
+28
StackzOfZtuff
2015-08-21 20:35:32 UTC
view on stackexchange narkive permalink

Criterio password.

Devi superare alcuni ostacoli per far sì che Windows accetti la "password" (senza maiuscole, senza cifre, senza caratteri non alfanumerici).

Ma accetterà "Passw0rd!" appena fuori dalla scatola.

Sono stato in grado di cambiare la password in "password" senza problemi.
@VidarS.Ramdal: Grazie! Immagino stavo pensando alle macchine aggiunte a un dominio e pensavo che questo si applicasse anche a tutte le macchine Windows autonome.
#4
+15
Iszi
2015-08-21 21:15:30 UTC
view on stackexchange narkive permalink

A seconda di come è configurata la macchina virtuale, la complessità della password potrebbe essere un requisito imposto dalle impostazioni di sicurezza del sistema.

  1. Sulla macchina virtuale, esegui secpol.msc .
  2. Naviga a: Impostazioni di sicurezza \ Criteri account \ Criterio password
  3. Osserva il valore per "La password deve soddisfare i requisiti di complessità"

Per impostazione predefinita, i sistemi autonomi lo hanno disabilitato. I controller di dominio e altri sistemi che sono membri di un dominio lo hanno abilitato per impostazione predefinita. Se il sistema non è un controller di dominio o un membro di dominio, è possibile che gli sviluppatori abbiano applicato manualmente un modello di sicurezza alla VM.

Se fai doppio clic su tale impostazione e vai alla scheda "Spiega", vedrai esattamente cosa impone questa politica. Ho anche elencato i requisiti di seguito.


La password deve ...:

  • Non contenere il nome dell'account dell'utente.
  • Non contenere più di due caratteri consecutivi del nome completo dell'utente.
  • Essere di almeno sei caratteri (a meno che non sia specificata un'altra lunghezza minima).
  • Contiene caratteri da 3 dei 4 tipi di caratteri:
    • Lettere maiuscole
    • Lettere minuscole
    • Numeri
    • Caratteri non alfanumerici

Se l'impostazione è disabilitata, un'altra possibilità è che Passw0rd sia solo una password generica universale a cui gli sviluppatori sono abituati in modo che venga accettato su qualsiasi sistema che stanno testando. (Tuttavia, va notato che questo non sarebbe accettato su nessun sistema che utilizza modelli di sicurezza CIS / NIST - quelli richiedono un minimo di 12 caratteri.)

L'impostazione è disabilitata, quindi i criteri per le password non sono il motivo.
Quindi gli sviluppatori che hanno costruito il sistema sono davvero le uniche persone che possono rispondere di questo.
#5
+2
bayo
2015-08-21 13:32:04 UTC
view on stackexchange narkive permalink

L'unico motivo che mi viene in mente è il caso in cui la password deve essere modificata e si desidera indicare agli utenti che dovrebbero utilizzare una password complessa.

Non sono d'accordo, non c'è motivo di cambiare la password in una macchina virtuale dedicata all'utilizzo del browser Edge.
Mi riferivo alla domanda generica nell'argomento, ma sono d'accordo con te, che in questa situazione non è questo il motivo e il modo in cui sono state pubblicate risposte più accurate qui.
#6
+2
Steve Sether
2015-08-21 22:35:43 UTC
view on stackexchange narkive permalink

Il sito a cui indichi è un sito per strumenti di sviluppo e in particolare VM create al solo scopo di testare versioni diverse di IE.

Strumenti per sviluppatori rilasciati casualmente come questo normalmente vengono sottoposti a un controllo molto minore, e sono meno raffinate di una versione completa di un prodotto principale. Non c'è davvero una buona ragione per cui Passw0rd! è più sicuro della password, soprattutto quando è pubblica. È probabile che lo sviluppatore che ha creato la VM non ci abbia pensato più di 2 minuti e non sia mai stato esaminato oltre.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...