Нужно ли вводить максимальную длину для паролей?
14 ответов
Пароли хешируются к 32, 40, 128, безотносительно длины. Единственная причина минимальной длины состоит в том, чтобы предотвратить легкий предположить пароли. Нет никакой цели для максимальной длины.
обязательное XKCD, объясняющий, почему Вы вредите своему пользователю при наложении макс. длины:
Я думаю единственный предел, который должен быть применен, похож на предел буквы 2000 года или что-то еще insainly высоко, но только ограничить размер базы данных, если это - выпуск
Унаследованные системы (упомянутый уже) или соединяющий интерфейсом с системами внешнего поставщика могли бы требовать 8 символьных ограничений. Это могла также быть дезинформированная попытка сохранить пользователей от себя. Ограничение его тем способом приведет к слишком многим pssw0rd1, pssw0rd2, и т.д. пароли в системе.
Одна причина, которую я могу вообразить для осуществления максимальной длины пароля, состоит в том, если frontend должен взаимодействовать через интерфейс со многими бэкендами унаследованной системы, один из которых сам осуществляет максимальную длину пароля.
Другой процесс мышления мог бы состоять в том, что, если пользователь вынужден пойти с коротким паролем, они, более вероятно, изобретут случайный мусор, чем легко предполагаемый (их друзьями/семьей) крылатая фраза или псевдоним. Этот подход является, конечно, только эффективным, если frontend осуществляет смешивание чисел/букв и отклоняет пароли, которые имеют любые слова словаря, включая слова, записанные в, l33t-говорят.
Мой банк делает это также. Это раньше позволяло любой пароль, и у меня было 20, изображают тот. Однажды я изменил его, и lo, и созерцайте его, дал мне максимум 8 и отключил неалфавитно-цифровые символы, которые были в моем старом пароле. Не имел никакого смысла мне.
Все системы бэкенда в банке работали, прежде, когда я использовал свои 20 символьных паролей с не буквенно-цифровой индикатор, столь поддержка прежней версии не могла быть причиной. И даже если бы это было, они должны все еще позволить Вам иметь произвольные пароли, и затем делать хеш, который соответствует требованиям унаследованных систем. Лучше все еще они должны зафиксировать унаследованные системы.
решение для смарт-карты А не подходило бы ко мне. У меня уже есть слишком много карт, как это... Мне не нужен другой трюк.
Максимальная длина, определенная на поле пароля, должна быть считана как ПРЕДУПРЕЖДЕНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ : Любой разумный, безопасность сознательный пользователь должен принять худшее и ожидать, что этот сайт хранит Ваш пароль буквально (т.е. не хешированный, как объяснено epochwolf).
В том, который имеет место: (a) избегают использования этого сайта как эпидемия, если возможный [они, очевидно, знают гайки о безопасности] (b), если необходимо использовать сайт, удостоверьтесь, что пароль уникален - в отличие от любого пароля, который Вы используете в другом месте.
при разработке сайта, который принимает пароли, не помещайте глупый предел пароля, если Вы не хотите стать одним миром мазаными.
[Внутренне, конечно, Ваш код может рассматривать только первый 256/1028/2k/4k (безотносительно) байтов как "значительный", чтобы не уплотнять на гигантских паролях.]
Более длительные пароли или пароли, более трудно взломать просто на основе длины, и легче помнить, чем требование сложного пароля.
, Вероятно, лучше всего для движения для довольно длинного (10 +) минимальной длины, ограничивая бесполезную длину.
Всего 8 символьных длинных паролей звучат просто неправильно. Если должен быть предел, то по крайней мере 20 символов являются лучшей идеей.
Я думаю, что Вы совершенно правы на обоих пунктах маркированного списка. Если они хранят хешированные пароли, как они должны, то длина пароля не влияет на их схему DB вообще. Наличие открытой длины пароля добавляет еще одну переменную, которую должен объяснить взломщик "в лоб".
трудно видеть любое оправдание за ограничение длины пароля помимо плохого дизайна.
Должна быть максимальная длина? Это - любопытная тема в IT в этом, более длительные пароли обычно более трудно помнить, и поэтому более вероятно быть записанными (БОЛЬШОЕ нет - нет по очевидным причинам). Более длительные пароли также имеют тенденцию быть забытыми больше, который, в то время как не обязательно угроза безопасности, может привести к административным стычкам, потерянной производительности, и т.д. Администраторы, которые полагают, что эти проблемы нажимают, вероятно, наложат максимальные длины на пароли.
я лично верю по этому конкретному вопросу каждому пользователю их собственное. Если Вы думаете, что можно помнить 40 символьных паролей, то весь больше питания Вам!
сказавший, что, хотя, пароли быстро становятся устаревшим режимом безопасности, Смарт-карты и аутентификация сертификата оказываются очень трудными невозможному к грубой силе, поскольку Вы заявили, проблема и только потребность с открытым ключом быть сохраненным на конце сервера с закрытым ключом на Вашей карте/компьютере в любом случае.
Во-первых, не предполагайте, что банки имеют хороших профессионалов безопасности IT-систем, работающих на них. Много не делают .
Однако максимальная длина пароля бесполезна. Это часто требует, чтобы пользователи создали новый пароль (аргументы о значении использования различных паролей на каждом сайте в стороне в настоящий момент), который увеличивает вероятность, они просто запишут их. Это также значительно увеличивает чувствительность для нападения любым вектором от грубой силы до социальной инженерии.
Единственное преимущество I видит к максимальной длине пароля, должен был бы устранить риск атаки переполнения буфера, вызванной чрезмерно длинным паролем, но существуют намного лучшие способы обработать ту ситуацию.
Устройство хранения данных является дешевым, почему предел длина пароля. Даже при шифровании пароля в противоположность просто хешированию его, 64 символьных строки не собираются брать намного больше, чем 6 символьных строк для шифрования.
Возможности являются системой банка, накладывает более старую систему, таким образом, они только смогли позволить определенное количество пространства для пароля.
Обеспечение абсолютно неограниченной длины пароля имеет один главный недостаток при принятии пароля из недоверяемых источников.
отправитель мог попытаться дать Вам такой длинный пароль, что это приводит к отказу в обслуживании для других людей. Например, если пароль составляет 1 ГБ данных, и Вы проводите все свое время, принимают его, пока у Вас не заканчивается память. Теперь предположите, что этот человек отправляет Вам этот пароль так же много раз, как Вы готовы принять. Если Вы не осторожны относительно других параметров, включенных, это могло бы привести к DoS-атаке.
Установка верхней границы к чему-то как 256 символов кажется чрезмерно щедрой по сегодняшним стандартам.