O que é um bom equilíbrio entre a senha strong do sudo e um longo atraso

1

Eu sou muito ruim em lembrar senhas longas (mas lembro-me muito bem de aleatórias) e é por isso que eu preferiria usar senhas relativamente curtas, mas temo que elas diminuam o tamanho do meu sistema. segurança.

Para aumentar a segurança em relação a uma senha curta para sudo , eu queria aumentar o atraso entre as tentativas com falha.

O que você consideraria uma boa orientação para configurar o atraso do sudo em pam em relação ao tamanho das senhas?

Você considera este método problemático / inseguro ou onde você acha que ele pode falhar?

Se for problemático, qual seria a melhor alternativa para lutar arduamente para lembrar senhas longas.

(o computador na mão não é um servidor e não permite nenhum tipo de acesso remoto com o ssh / rdx ou tal, eu uso-o como meu desktop pessoal)

    
por jNull 18.03.2017 / 11:09

1 resposta

2

Eu não verifiquei novamente a implementação (*) , mas se o atraso definido por pam_faildelay for implementado como uma suspensão simples, isso fará com que uma única tentativa de login demore mais tempo (assim irritando o usuário), mas não limitará o número de tentativas simultâneas de login.

Isso desfaz um pouco a intenção do atraso, já que alguém tentando forçar sua senha poderia simplesmente abrir centenas ou milhares de tentativas de login simultaneamente. Na maioria das vezes, eles gastariam seu tempo dormindo, então a carga no sistema pode nem ser perceptível.

O que você precisa fazer é limitar a taxa de tentativas de login, não a duração de uma única tentativa. Para um serviço de rede, eu sugeriria limitá-lo no lado da rede (digamos, com iptables no Linux), mas não tenho uma solução para o PAM.

(O aspecto político disso, os tamanhos e limites de senha, pode ser mais adequado para security.SE .)

(* Porque não tive tempo. O atraso parece ser definido através do PAM, e pode ir para o aplicativo a ser implementado. Mas é improvável que seja implementado como um loop ocupado, e qualquer programa que implementa limitação de taxa)

    
por 18.03.2017 / 13:17