"The most important – and perhaps only – restriction you should put on your users when creating
passwords is to ban the use of common passwords to reduce your organization’s susceptibility to brute
force password attacks.
Microsoft account was among the first large identity providers to ban a list of known bad passwords
(abdcefg, password, monkey, etc.). We have found that banning common passwords is highly effective
at removing weak passwords from the system. Microsoft account currently bans patterns which are
commonly used in attacks, or even close to those patterns."
Ami egyébként logikus, és ugyan valóban szar pofozgatás, viszont itt viszonylag kevés iterációval elérhető lesz, hogy fregmentálódjon a hülyeségek használata. Illetve lásd a kiemelést tőlem, olyan tényekkel, amit ekkora userbázison vett mintára alapoznak, elég nehéz vitatkozni.
És igen, fundamentális változtatások kellenek, az ms paperja is azt mondja, hogy
6. Enforce registration for multi-factor authentication.
7. Enable risk based multi-factor authentication challenges
csak nem működik a two factor mindenhol, és igazából azért érdekes az itteni cikk kapcsán, mert a kolléga pont azt az egyet emelte ki, hogy minek, amiről az ms azt mondta, hogy az jó pattern, ellentétben a legyen kurvahosszú, legyen tele megjegyezhetetlen karakterekkel, és kelljen megváltoztatni minden istenverte reggel ruleokkal, amik a gyakorlatban trágyafos password minőséghez vezetnek.
És azért jó az ms papírja, mert végre valaki olyan írta le azt, ami bárkinek nagyjából nyilvánvaló, aki valaha is elgondolkodott már 2 percnél hosszabban ezen az egészen, amit oda lehet dugni vezető orra alá, hogy nézd, mert sajnos hiába a józan ész, a begyepesedett szokásjogon alapuló hiedelmekkel nehéz vitatkozni egyszeri jómunkásemberként. (vagy akár vezetőként, amikor egy hülye külső auditor előadja, hogy ez így szar)
szerk: egyébként az oauth pontosan hogy is jön ide?