За чем лучшие правила состоят в том, чтобы следовать для какой символы позволить в пароле?
Спасибо всем, просто добавлю, что какой-то процесс не будет закрыт, если переключатель силы / F также не будет отправлен с TaskKill. Также с переключателем / T все вторичные потоки процесса будут закрыты.
C:\>FOR /F "tokens=5 delims= " %P IN ('netstat -a -n -o ^| findstr :2002') DO TaskKill.exe /PID %P /T /FДля служб необходимо будет получить имя службы и выполнить:
sc stop Имя службы
9 ответов
Любому печатаемому, непробельный символ ASCII (между 33 и 126 содержащих) обычно разрешают в паролях. Многие специалисты по безопасности (и ТАК комментаторы) советуют использованию пароль вместо пароля, таким образом, необходимо было бы позволить пробелы. Аргумент - то, что из-за их длины, и так как фразы не находятся в словаре, пароли более трудно взломать, чем пароли. (Пароль может также быть легче помнить, таким образом, законный пользователь не должен сохранять записанным на липком примечании прямо по их монитору.)
приблизительно генераторы сильного пароля используют хеш, таким образом, я поместил очень высокий предел на длину (512 или 1024) только, чтобы быть содержащим. Генераторы пароля сегодня часто приводят к строкам 32-128 символов, но кто знает, какие хеши будут использоваться за следующие несколько лет.
Символы неASCII, конечно, делают вещи тяжелее когда дело доходит до ввода пароля на ограниченных устройствах (мобильные телефоны, консоли и т.д.) - но обычно не невозможные. Возможно, если пользователь хочет сделать это, необходимо позволить им. Достаточно легко сделать, разумная и последовательная вещь - кодирует в UTF-8 перед хешированием, например. Вы только вошли бы в трудности, если бы некоторое устройство ввода данных отправило символы как состав (например, e + акут вместо "e острый") - но я подозреваю, что wouldn' t происходят в реальной жизни. (Вы могли анализировать все сами, но это будет большой проблемой для движения в для пограничного случая.)
я ограничил бы его печатаемый символы, как бы то ни было. Помещая вкладки, переводы формата и т.д. в пароле действительно поиск неприятностей.
Не эксперт, но я ненавижу, когда символы, которые я выбираю и не настолько причудливый, отклоняются. Так, я думаю, что соглашаюсь с Вашим пищеварительным трактом.
Короткий ответ: позвольте столько же, сколько система, поддерживающая его, может поддерживать. В наше время нет действительно никакого оправдания не использовать полную поддержку unicode ввода текста, и это включает пароли. Я не думаю, что необходимо волноваться о проблемах с символами, пока они обрабатываются буквально (но я не про в этом поле - остерегаются внедрения SQL).
у меня есть главный объект неприязни против сайтов, которые вводят ограничения для паролей... любой вид ограничения. Мне нравятся сайты, которые скажут Вам, насколько сильный Ваш пароль, и рекомендуйте сделать его более сильным, но то, чтобы вынуждать пользователя ввести по крайней мере 8 символов или потребовать и букв и чисел, и т.д. просто печально.
, Если у Вас должен быть максимальный размер поля (например, для хранения в базе данных) пытаются сделать это достаточно большим для чего-либо, что люди вывели бы вручную. Нет действительно никакой такой вещи как также большое поле пароля, так как всегда существует потенциал для использования автоматизированного, сгенерированного сильного пароля, но 64 - 128 символов были бы, конечно, достаточны.
Существенно, большая часть unicode класса символов должна быть позволена. Действительно пропустите однако управляющие символы (например, 0-31 помимо пространства), метка порядка байтов (0xfffe и oxfeff). Далее, Вы хотите сначала канонизировать представление для избавлений от проблем, вызванных отличающимися представлениями. Вы могли бы выдать предупреждения, хотя для символов, которые, кажется, слишком трудны для ввода, но пользователи примут меры против этого сами.
Помните: при хранении паролей все пароли должны быть зашифрованы с односторонним алгоритмом как md5 sha1. Так как эти алгоритмы всегда приводят к шестнадцатеричным числам, Вы не должны волноваться о Внедрениях SQL или чем-либо как этот.
Так, пока Вы можете md5 или sha1 символ, он должен быть принят.
Если Вы говорите о предотвращении типа Внедрения SQL нападений, это - вероятно, лучшая идея удостовериться, что Ваш код делает то, что это, как предполагается, делает, вместо того, чтобы полагается на ограничение входа, таким образом, проблема становится легче.
Для символов неASCII, я не вижу, что как более трудная проблема, если Ваш вход может быть правильно представлен как двоичная строка (и не как текст ), который затем передается Вашей хеш-функции или ключевому генератору, и т.д.
Добавьте, что другое голосование за "позволенный пользователь включает любого и все символы, которые их интерфейс позволяет им вводить". Я даже не запретил бы символы табуляции или управляющие символы. Ваше программное обеспечение имеет возможность принять произвольные строки байтов и хешировать их, поэтому примите произвольные строки байтов как пароли. Сделать иначе уменьшает пространство, которое взломщик должен искать в или атаке с подбором по словарю "в лоб".
(Конечно, даже если Вы действительно позволяете все, 99% пользователей будут все еще использовать имя их домашнего животного в качестве их пароля...)
В конечном счете Вам, вероятно, придется распечатать ясный пароль в confirmlation электронном письме, посланном Вашим пользователям.
пз: Мог бы рассмотреть также кодирующие проблемы в электронном письме, если это не стандартный ASCII (например, японские символы), возможно, что пользователь не получит электронное письмо в соответствующем формате или просто не может считать его в другой системе из-за шрифтов, не устанавливаемых.
Все это весит в "печатаемом" диапазоне символов ASCII.