V2.1.9 Password Security

Requirement:#

Verify that there are no password composition rules limiting the type of characters permitted. There should be no requirement for upper or lower case or numbers or special characters. (C6)

Explanation:#

Данное требование не рекомендует применять специальные ограничения, например, обязательное использование прописных или строчных букв, цифр или специальных символов.

User-Friendly Approach: Основная цель данного требования - способствовать более гибкому подходу к созданию паролей. Благодаря отсутствию жестких требований к символам пользователи могут выбирать пароли, которые им легче запомнить и набрать, что повышает удобство работы с ними.

Password Complexity vs. Length: Вместо того чтобы акцентировать внимание на сложности пароля за счет использования определенных типов символов, данное требование поощряет акцентирование внимания на длине пароля как основном факторе безопасности пароля. Длинные пароли, даже если они состоят только из строчных букв, могут быть более надежными, чем короткие пароли со специальными символами.

Avoiding Predictability: Правила составления паролей, требующие использования определенных типов символов, могут привести к появлению предсказуемых шаблонов, например, добавление в конец пароля одной цифры или специального символа. Такая предсказуемость может сделать пароли более уязвимыми для атак.

Inhibiting Creativity: Строгие требования к количеству символов могут помешать пользователям придумывать креативные и запоминающиеся пароли. Пользователи могут прибегать к простым шаблонам или постепенным вариациям, что делает их пароли более уязвимыми для подбора.

Vulnerability to Brute-Force Attacks: Правила составления паролей, ограничивающие количество символов, могут уменьшить возможности атаки перебора, что облегчает злоумышленникам взлом паролей.

Better User Adoption: ByЕсли не вводить ограничительные правила составления паролей, то пользователи с большей вероятностью будут применять передовые методы управления паролями, например, использовать уникальные и надежные пароли для каждой создаваемой учетной записи.

Несмотря на то, что отказ от жестких правил составления паролей может повысить удобство работы с ними, необходимо поддерживать и другие меры безопасности паролей, такие как:

Encouraging Longer Passwords: Уведомлять пользователей о важности длинных паролей. Длинные пароли, как правило, более надежны, чем короткие, даже если в них отсутствуют специальные символы и цифры.
Password Managers: Рекомендуется использовать менеджеры паролей для создания и хранения сложных уникальных паролей для каждой учетной записи. Менеджеры паролей упрощают управление паролями, обеспечивая при этом надежную защиту.
Multi-Factor Authentication (MFA): Для усиления защиты учетных записей пользователей следует использовать многофакторную аутентификацию.

Remediation:#

Для соответствия требованию выполните следующее:

1. Remove Specific Character Requirements:

Пересмотрите политику паролей и удалите все правила, предписывающие использование определенных типов символов, таких как заглавные и строчные буквы, цифры или специальные символы. Разрешите пользователям выбирать пароли без этих ограничений.

2.Emphasize Password Length:

Вместо того чтобы вводить требования по количеству символов, подчеркните важность длины пароля. Рекомендуйте пользователям создавать более длинные пароли, так как длинные пароли обычно обеспечивают более высокий уровень безопасности.

3. Update User Guidance:

Обновите руководство пользователя и инструкции по созданию паролей, чтобы отразить изменения в политике паролей. Сообщите пользователям, что они могут создавать пароли, используя любую комбинацию символов, без каких-либо специальных требований.

4. Secure Password Storage:

Независимо от состава пароля обеспечьте надежное хэширование и хранение паролей с использованием надежного криптографического алгоритма хэширования, например bcrypt. Никогда не храните пароли в открытом виде.

5. Educate Users about Strong Passwords:

Информируйте пользователей о преимуществах использования надежных паролей, даже если они не содержат особых требований к символам. Предоставьте рекомендации по созданию запоминающихся и уникальных паролей, поощряйте использование парольных фраз или аббревиатур.

6. Password Strength Meter (Optional):

Несмотря на то, что требование OWASP V2.1.9 не является обязательным, вы можете предоставить измеритель надежности пароля (как обсуждалось в предыдущих требованиях), чтобы пользователи могли в реальном времени получать информацию о надежности их паролей с учетом их длины и сложности.

7. Testing:

Проведите подробное тестирование процессов создания паролей и входа в систему, чтобы убедиться, что пользователи могут создавать пароли без каких-либо ограничений по количеству символов и что приложение корректно принимает и проверяет эти пароли.

8. Review Password Reset Functionality:

Если в приложении предусмотрена функция сброса пароля, убедитесь, что в процессе сброса пароля она не предъявляет особых требований к символам нового пароля.

9. Regular Security Review:

Регулярно пересматривайте методы защиты паролей в приложении, обновляйте политики по мере необходимости и будьте в курсе лучших практик защиты паролей.

Python код, демонстрирующий создание пароля в вашем приложении без соблюдения ограничений на количество символов:

import hashlib

# Simulated user database (replace with your actual user database)
users = {}

# Function to hash the password (you should use a stronger hashing algorithm like bcrypt in a real application)
def hash_password(password):
    return hashlib.md5(password.encode()).hexdigest()

# Function to create a new user account
def create_user(username, password):
    if username in users:
        print("Username already exists. Please choose a different username.")
        return False
    else:
        users[username] = {
            "password": hash_password(password),
            "email": f"{username}@example.com"
        }
        print("Account created successfully.")
        return True

# Example usage in your application
def main():
    while True:
        username = input("Enter your username: ")
        password = input("Enter your password: ")

        if create_user(username, password):
            break
        else:
            print("Please try again.")

if __name__ == "__main__":
    main()

В данном примере:

Функция create_user позволяет пользователям создавать новые учетные записи без каких-либо требований к символам пароля. Она просто принимает на вход имя пользователя и пароль и сохраняет хэшированный пароль в моделируемой базе данных пользователей.
Функция hash_password представляет собой упрощенную функцию хеширования для демонстрационных целей. В реальных приложениях для надежного хэширования паролей следует использовать более мощный криптографический алгоритм хэширования, например bcrypt.
Основная функция позволяет пользователям создавать новые учетные записи путем ввода желаемого имени пользователя и пароля. Если имя пользователя еще не занято, то учетная запись успешно создается и сохраняется в базе данных пользователей.

Обратите внимание, что это базовый пример, демонстрирующий создание пароля без специальных требований к символам. В реальных приложениях для обеспечения более надежной защиты паролей и соответствия другим требованиям OWASP необходимо использовать дополнительные меры безопасности, такие как измерители надежности паролей, проверка сложности паролей и безопасное хранение паролей.

Requirement:#

Explanation:#

Remediation:#

Additional:#