Sollte ich Passwörtern eine maximale Länge auferlegen?

162

Ich kann verstehen, dass es sehr sinnvoll ist, Passwörtern eine Mindestlänge aufzuerlegen (um Benutzer vor sich selbst zu schützen), aber meine Bank verlangt, dass Passwörter zwischen 6 und 8 Zeichen lang sind, und ich habe mich gefragt ...

  • Wäre dies nicht einfacher für Brute-Force-Angriffe? (Schlecht)
  • Bedeutet dies, dass mein Passwort unverschlüsselt gespeichert wird? (Schlecht)

Wenn jemand mit (hoffentlich) guten IT-Sicherheitsexperten, die für sie arbeiten, eine maximale Kennwortlänge vorschreibt, sollte ich darüber nachdenken, dies ähnlich zu tun? Was sind die Vor- und Nachteile davon?

security encryption passwords nickf
quelle
16
Es gibt mit ziemlicher Sicherheit eine "Drei Streiks und du bist raus" -Richtlinie, die die Gefahr eines Brute-Force-Angriffs ausschließt.
Stu Thompson
23
Es gibt keine Entschuldigung dafür für Nicht-Legacy-Systeme wie moderne Websites.
Mparaz
7
Ich denke nicht, dass die Antwort rein IT ist. Die minimale Größe (6) und die maximale Versuchsgrenze "eliminieren" wahrscheinlich wilde Vermutungen. Ich vermute, dass die maximale Größe (8) die Anzahl der Anrufe (und folglich die Kosten) der Unterstützung für "Hoppla, ich vergesse meinen Code" oder "Ich tippe den Code zu schnell" oder "Ich tippe ein Zeichen falsch" begrenzt. usw. Zusätzlich zu dem Papier, auf das Sie das Passwort schreiben, wenn Sie sich nicht daran erinnern können.
Rufen Sie mich
17
Die Universität, an der ich eingeschrieben bin, hat wahnsinnig dumme Passwortregeln: Nur 8 Zeichen, mindestens 1 Nummer, aber nicht am Anfang oder Ende des Passworts, benötigt Zeichen aus mehr als den 2 oberen Reihen der Tastatur usw. usw. Am Ende Sie erleichtern das Bruteforcing, indem sie diese Regeln haben. Mir ist klar, dass du nicht so dumm bist, aber bitte mache keine dummen Regeln wie diese! (
Musste
17
@call Wenn Sie aus diesem Grund eine maximale Länge festlegen, erhalten Sie von mir "Ich habe mein Passwort vergessen" -Anrufe , da meine für die Website eindeutigen Passwörter alle lang sind und die Beschränkung auf 12 Zeichen ein sicherer Weg ist, dies zu garantieren erinnere mich nicht daran.
Roman Starkov

Antworten:

193

Passwörter werden auf 32, 40, 128 gehasht, unabhängig von der Länge. Der einzige Grund für eine Mindestlänge besteht darin, leicht zu erratende Passwörter zu vermeiden. Es gibt keinen Zweck für eine maximale Länge.

Die obligatorische XKCD, die erklärt, warum Sie Ihrem Benutzer einen schlechten Dienst erweisen , wenn Sie eine maximale Länge festlegen :

Die obligatorische XKCD

Epochwolf
quelle
6
Vielleicht kann eine Bank das Passwort einschränken, weil Sie an Geldautomaten nicht mehr als beispielsweise 8 Zeichen eingeben können.
André Chalella
11
Nun, zumindest an Geldautomaten, wenn Sie einen Brute-Force-Angriff versuchen, frisst er Ihre Karte. Ich beziehe mich jedoch auf das Passwort für die Online-Anmeldung.
Nickf
39
Leider wird davon ausgegangen, dass die Passwörter immer gehasht werden. Passwörter mit maximaler Länge sind ein Symptom für im Klartext gespeicherte Passwörter.
Jevon
14
Seufz, selbst bei PayPal, "richtige Pferdebatterie-Heftklammer" liegt 8 Zeichen über ihrer <zensierten> maximalen Länge ... headdesk
Roman
3
@kleinfreund, denn wenn es gehasht wurde, würde die Passwortlänge für sie keine Rolle spielen (Hash-Funktionen konvertieren eine Zeichenfolge beliebiger Länge in eine feste Länge).
Vicky Chijwani
75

Eine in einem Kennwortfeld angegebene maximale Länge sollte als SICHERHEITSWARNUNG gelesen werden . Jeder vernünftige, sicherheitsbewusste Benutzer muss das Schlimmste annehmen und erwarten, dass diese Site Ihr Passwort buchstäblich speichert (dh nicht gehasht, wie von epochwolf erklärt).

In diesem Fall ist das der Fall:

  1. Vermeiden Sie es, diese Seite wie die Pest zu benutzen, wenn möglich. Sie wissen offensichtlich nichts über Sicherheit.
  2. Wenn Sie die Site wirklich nutzen müssen, stellen Sie sicher, dass Ihr Passwort eindeutig ist - im Gegensatz zu jedem anderen Passwort, das Sie verwenden.

Wenn Sie eine Website entwickeln , die Passwörter akzeptiert, nicht ein dummes Passwort Limit setzen, es sei denn , Sie mit der gleichen Bürste erhalten geteerten wollen.

[Intern behandelt Ihr Code natürlich möglicherweise nur die ersten 256/1024 / 2k / 4k / (was auch immer) Bytes als "signifikant", um ein Knirschen mit Mammutkennwörtern zu vermeiden.]

verspätet
quelle
17
Ich sende solchen Websites auch eine Standard-E-Mail und erwähne, dass sie mich gezwungen haben, ein kürzeres, weniger sicheres Passwort zu verwenden, das ich zufällig auch auf jeder Website wiederverwendete, die solche dummen Grenzen auferlegt. Dies lässt sie wissen, dass es sich um ein Problem handelt, und gibt einem Joe Coder möglicherweise eine Hebelwirkung, die er den Vorgesetzten zeigen kann: Beweise dafür, dass Benutzer infolgedessen tatsächlich schlecht über die Website denken.
Roman Starkov
3
Ich bin nicht sicher, ob Sie davon ausgehen sollten, dass ein Kennwortmaximum bedeutet, dass Klartextkennwörter gespeichert werden. Manchmal kürzen sie die Eingabe und übergeben einfach die ersten x Zeichen an das Hashing (). (Zur Überprüfung wird ein Kennwort festgelegt, das über dem Grenzwert liegt. Versuchen Sie dann, sich mit einer Variation der Kennwortzeichen über die maximale Länge hinaus anzumelden.)
Benc
5
@benc sicher, das ist möglich, aber der Punkt ist, dass Sie als Benutzer keine Möglichkeit haben zu wissen, ob dies das ist, was sie tun. Eine maximale Länge (insbesondere eine kurze) ist ein Warnzeichen, und ich denke, es ist am besten, das Schlimmste anzunehmen (oder sich mit dem Anbieter in Verbindung zu setzen, um eine Bestätigung zu erhalten).
Verspätung
1
Bitte erläutern Sie. Diese Antwort ist nur eine Aussage.
Kleinfreund
1
Ein maximales Passwort bedeutet nicht unbedingt, dass es als einfacher Text gespeichert wird. Dies kann aus technischen Gründen geschehen. Beispielsweise erlaubt bcrypt nur Passwörter mit bis zu 72 Zeichen.
Emorris
58

Das Zulassen einer vollständig unbegrenzten Kennwortlänge hat einen großen Nachteil, wenn Sie das Kennwort aus nicht vertrauenswürdigen Quellen akzeptieren.

Der Absender könnte versuchen, Ihnen ein so langes Passwort zu geben, dass dies zu einem Denial-of-Service für andere Personen führt. Wenn das Kennwort beispielsweise 1 GB Daten enthält und Sie Ihre ganze Zeit damit verbringen, es zu akzeptieren, bis Ihnen der Speicher ausgeht. Angenommen, diese Person sendet Ihnen dieses Passwort so oft, wie Sie akzeptieren möchten. Wenn Sie mit den anderen Parametern nicht vorsichtig sind, kann dies zu einem DoS-Angriff führen.

Das Setzen der Obergrenze auf etwa 256 Zeichen erscheint nach heutigen Maßstäben zu großzügig.

Jason Dagit
quelle
35
Sie können weiterhin 1 GB Daten mit einer Höchstgrenze senden. Die Software, die die Begrenzung vornimmt, befindet sich fast immer hinter dem Webserver.
Epochwolf
6
Sie können jedoch alle bis auf die ersten 256 Zeichen löschen, bevor Sie etwas rechenintensives ausführen. Das Ausführen eines sha-Hashs mit 1 GB Daten dauert viel länger als der gleiche Hash mit 256 Zeichen.
Rcreswick
2
@Eyal: Alles, was auf der Clientseite einer Web-App passiert, ist von Natur aus nicht vertrauenswürdig. Auf diese Weise wird der Hash zu einem Passwortäquivalent, was dies zu einer sinnlosen Übung macht. (Ein Webbrowser akzeptiert wahrscheinlich keine 1-GB-Texteingabe, und ein benutzerdefinierter Client sendet möglicherweise eine 1-GB-Zeichenfolge im Formularfeld "thisisthehashedpassword".)
Piskvor verließ das Gebäude
4
@Piskvor: Aber es gibt sowieso keine Möglichkeit, die 1-GB-Zeichenfolge zu verhindern. Ein Benutzer kann jederzeit example.com/?password=abcabcabcabc anfordern ... und seine Anfrage so groß wie er möchte. Standard DoS.
Eyal
4
@Piskvor und Eyal, glücklicherweise begrenzen Apache und IIS (und vermutlich andere ausgereifte Server) die Länge der Felder, die über URLs übergeben werden: boutell.com/newfaq/misc/urllength.html
sampablokuper
21

Gehen Sie zunächst nicht davon aus, dass Banken über gute IT-Sicherheitsexperten verfügen. Viele nicht .

Die maximale Passwortlänge ist jedoch wertlos. Oft müssen Benutzer ein neues Kennwort erstellen (Argumente für den Wert der Verwendung unterschiedlicher Kennwörter auf jeder Site für den Moment), was die Wahrscheinlichkeit erhöht, dass sie diese nur aufschreiben. Es erhöht auch die Anfälligkeit für Angriffe durch jeden Vektor von Brute Force bis Social Engineering erheblich.

Sparr
quelle
Einverstanden! Schauen Sie sich an, dass die Reihe der Sicherheitsmängel bei Online-Zugriffen der britischen Bank in den letzten Jahren ...
Stu Thompson,
6
Ich verwende bereits auf jeder Website ein anderes Passwort durch ein Schema, mit dem ich mich an alle erinnern kann, aber sie sind alle ziemlich lang. Die einzigen Websies, deren Passwörter ich auf Haftnotizen schreibe, sind solche, die schwachsinnige Maximallängenbeschränkungen auferlegen und mich so von meinem bevorzugten, aber eindeutigen Passwort abbringen ...
Roman Starkov
@romkyns Ich nehme an, Ihr Schema verwendet keine Symbole? Ich hatte einmal ein solches Schema, das kurze, schwer zu erzwingende Passwörter hervorbrachte, aber ich musste es aufgeben, wenn 10-20% der von mir verwendeten Websites gemeinsame Sonderzeichen verbieten.
Sparr
Keine Sonderzeichen, nein, aber es werden immer Zahlen und Großbuchstaben hinzugefügt, da ich wusste, dass einige Websites dies verlangen. Ich wünschte, ich hätte von den maximalen Längenbeschränkungen gewusst, als ich darauf gekommen bin ... Aber die (einfacheren) Schemata, die ich für nahe Verwandte erfunden habe, haben bisher perfekt funktioniert!
Roman Starkov
1
@romkyns andere Probleme mit solchen Schemata: Websites, die Passwörter teilen. Wenn Ihr Schema so etwas wie nameofwebsitefO0 (googlefO0 yahoofO0 usw.) ist, wie können Sie sich dann daran erinnern, dass Sie "yahoofO0" auf flickr.com oder stackoverflowfO0 auf askubuntu.com verwenden sollen? Websites, deren Kennwörter ablaufen. Dann müssen Sie das Schema um einen Teil erweitern, der sich ändern kann. Dies schlägt jedoch fehl, wenn die Ablaufregel nach Teilzeichenfolgen sucht.
Sparr
13

Das Festlegen einer maximalen Kennwortlänge von weniger als 128 Zeichen wird jetzt vom OWASP Authentication Cheat Sheet nicht empfohlen

https://www.owasp.org/index.php/Authentication_Cheat_Sheet

Unter Berufung auf den gesamten Absatz:

Längere Passwörter bieten eine größere Kombination von Zeichen und erschweren folglich das Erraten eines Angreifers.

Die Mindestlänge der Kennwörter sollte von der Anwendung erzwungen werden. Passwörter mit weniger als 10 Zeichen gelten als schwach ([1]). Während die Durchsetzung der Mindestlänge bei einigen Benutzern zu Problemen beim Speichern von Kennwörtern führen kann, sollten Anwendungen sie dazu ermutigen, Passphrasen (Sätze oder Wortkombinationen) festzulegen, die viel länger als typische Kennwörter sein können und dennoch viel einfacher zu merken sind.

Die maximale Kennwortlänge sollte nicht zu niedrig eingestellt werden, da Benutzer dadurch keine Passphrasen erstellen können. Die typische maximale Länge beträgt 128 Zeichen. Passphrasen mit weniger als 20 Zeichen gelten normalerweise als schwach, wenn sie nur aus lateinischen Kleinbuchstaben bestehen. Jeder Charakter zählt !!

Stellen Sie sicher, dass jedes Zeichen, das der Benutzer eingibt, tatsächlich im Kennwort enthalten ist. Wir haben Systeme gesehen, die das Kennwort auf eine Länge kürzen, die kürzer ist als vom Benutzer angegeben (z. B. bei der Eingabe von 20 auf 15 Zeichen gekürzt). Dies wird normalerweise dadurch erreicht, dass die Länge ALLER Passworteingabefelder genau auf die Länge des Passworts mit maximaler Länge eingestellt wird. Dies ist besonders wichtig, wenn Ihre maximale Kennwortlänge kurz ist (z. B. 20 bis 30 Zeichen).

Kravietz
quelle
11
Diese Quelle rät nicht von maximalen Beschränkungen der Kennwortlänge ab, sondern von niedrigen Beschränkungen der maximalen Kennwortlänge (weniger als 128 Zeichen).
Matthew
9

Ein Grund, den ich mir vorstellen kann, um eine maximale Kennwortlänge zu erzwingen, ist, dass das Frontend mit vielen älteren System-Backends verbunden sein muss, von denen eines selbst eine maximale Kennwortlänge erzwingt.

Ein anderer Denkprozess könnte sein, dass ein Benutzer, wenn er gezwungen ist, ein kurzes Passwort zu verwenden, eher zufälligen Kauderwelsch erfindet als einen (von seinen Freunden / seiner Familie) leicht zu erratenden Slogan oder Spitznamen. Dieser Ansatz ist natürlich nur dann effektiv, wenn das Frontend das Mischen von Zahlen / Buchstaben erzwingt und Passwörter ablehnt, die Wörterbuchwörter enthalten, einschließlich Wörter, die in l33t-speak geschrieben sind.

mbac32768
quelle
1
Legacy-Systeme sind zwar verständlich, müssen jedoch manchmal das Design bestimmen. Wann immer möglich, sollten sie es NICHT beeinflussen. Das Letzte, was Sie von einem neuen System erwarten, ist eines mit einer Sicherheitsrichtlinie, die entwickelt wurde, bevor moderne Sicherheitsangriffe überhaupt üblich waren. Oder schlimmer noch, neuere Software, die aber in erster Linie falsch entworfen wurde. Ein vorhandenes Unternehmenssystem verwendet möglicherweise HTTP. Dies ist jedoch keine Rechtfertigung dafür, SSL in einem neuen System oder einer neuen Erweiterung nicht zu verwenden. Ebenso sollten Passwortrichtlinien nicht weiterhin anfällig sein, nur weil die LETZTEN Leute es falsch gemacht haben. Und wenn sie beibehalten werden, sollte es besser eine RIESIGE Kosten-Nutzen-Studie geben.
Katastic Voyage
6

Ein potenziell gültiger Grund für die Festlegung einer maximalen Kennwortlänge besteht darin, dass das Hashing (aufgrund der Verwendung einer langsamen Hashing-Funktion wie bcrypt) zu viel Zeit in Anspruch nimmt. etwas, das missbraucht werden könnte, um einen DOS-Angriff gegen den Server auszuführen.

Andererseits sollten Server so konfiguriert werden, dass zu lange dauernde Anforderungshandler automatisch gelöscht werden. Ich bezweifle, dass dies ein großes Problem wäre.

Erdferkel-Suppe
quelle
4

Ich denke, Sie haben in beiden Punkten sehr recht. Wenn sie die gehashten Kennwörter speichern, wie sie sollten, hat die Kennwortlänge keinerlei Auswirkungen auf ihr DB-Schema. Eine offene Passwortlänge führt zu einer weiteren Variablen, die ein Brute-Force-Angreifer berücksichtigen muss.

Abgesehen von schlechtem Design ist keine Entschuldigung für die Begrenzung der Passwortlänge zu finden.

Lucas Oman
quelle
3

Der einzige Vorteil, den ich bei einer maximalen Kennwortlänge sehen kann, besteht darin, das Risiko eines Pufferüberlaufangriffs durch ein zu langes Kennwort auszuschließen. Es gibt jedoch viel bessere Möglichkeiten, mit dieser Situation umzugehen.

DrStalker
quelle
1
Es sollte eine maximale Eingabelänge geben, ja, aber sie sollte definitiv nicht <64 sein. Eine maximale Länge von 8 oder 12 ist einfach lächerlich.
Dan Bechard
2

Ignorieren Sie die Leute, die sagen, dass sie lange Passwörter nicht validieren sollen. Owasp sagt buchstäblich, dass 128 Zeichen ausreichen sollten. Um genügend Atempause zu haben, können Sie etwas mehr sagen, 300, 250, 500, wenn Sie Lust dazu haben.

https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Password_Length

Passwortlänge Längere Passwörter bieten eine größere Kombination von Zeichen und erschweren folglich das Erraten eines Angreifers.

...

Die maximale Kennwortlänge sollte nicht zu niedrig eingestellt werden, da Benutzer dadurch keine Passphrasen erstellen können. Die typische maximale Länge beträgt 128 Zeichen . Passphrasen mit weniger als 20 Zeichen gelten normalerweise als schwach, wenn sie nur aus lateinischen Kleinbuchstaben bestehen.

CommonSenseCode
quelle
Nicht relevant für die Diskussion. Die Frage ist, ob die Begrenzung der Länge einen Vorteil hat und nicht, ob 128 ausreicht.
Vikki
1

Speicher ist billig, warum die Länge des Passworts begrenzen. Selbst wenn Sie das Kennwort verschlüsseln, anstatt es nur zu hashen, benötigt eine 64-stellige Zeichenfolge nicht viel mehr als eine 6-stellige Zeichenfolge zum Verschlüsseln.

Möglicherweise überlagert das Bankensystem ein älteres System, sodass nur ein bestimmter Speicherplatz für das Kennwort zugelassen werden konnte.

LizB
quelle
9
Sofern es keinen sehr gültigen Grund gibt, sollten Passwörter gehasht werden. Hashes führen zu Strings fester Länge. Es gibt kein Leerzeichenargument, es sei denn, das System speichert das tatsächliche Kennwort, was wohl eine schreckliche Idee ist.
Stu Thompson
8
Das Verschlüsseln von Passwörtern ist eine schreckliche Idee. Ein skrupelloser Mitarbeiter ist alles, was Sie brauchen, um eine Unmenge von Passwörtern zu verlieren. Sparen Sie sich den Ärger, indem Sie sie niemals speichern.
Roman Starkov
1

Meine Bank macht das auch. Früher erlaubte es jedes Passwort, und ich hatte ein 20-stelliges. Eines Tages änderte ich es, und siehe da, es gab mir maximal 8 und hatte nicht-alphanumerische Zeichen ausgeschnitten, die in meinem alten Passwort waren. Hat für mich keinen Sinn ergeben.

Alle Back-End-Systeme in der Bank funktionierten zuvor, als ich mein 20-Zeichen-Passwort mit nicht alphanumerischen Zeichen verwendete. Daher kann die Unterstützung durch Legacy nicht der Grund gewesen sein. Und selbst wenn dies der Fall sein sollte, sollten Sie dennoch beliebige Kennwörter verwenden und dann einen Hash erstellen können, der den Anforderungen der Legacy-Systeme entspricht. Besser noch, sie sollten die Legacy-Systeme reparieren.

Eine Smartcard-Lösung würde mir nicht gut passen. Ich habe bereits zu viele Karten ... Ich brauche kein weiteres Gimmick.

Vincent McNabb
quelle
Sie schneiden wichtige Schlüsselbereiche aus, die sich für Brute-Force-Angriffe verlängern, wenn (und ich meine WANN) ihre Datenbank mit Hashes gestohlen wird (vorausgesetzt, sie salzen / hashen / dehnen sich, was sie sicher nicht tun). Zeit, die Bank zu wechseln.
Chris Gomez
1

Wenn Sie ein Kennwort beliebiger Größe akzeptieren, wird davon ausgegangen, dass es aus Leistungsgründen auf eine Vorhanglänge gekürzt wird, bevor es gehasht wird. Das Problem beim Abschneiden besteht darin, dass Sie mit zunehmender Serverleistung die Länge vor dem Abschneiden nicht einfach erhöhen können, da der Hash eindeutig anders wäre. Natürlich könnten Sie eine Übergangszeit haben, in der beide Längen gehasht und überprüft werden, aber dies verbraucht mehr Ressourcen.

Benutzer
quelle
1

Versuchen Sie, keine Einschränkungen aufzuerlegen, es sei denn, dies ist erforderlich. Seien Sie gewarnt: Es kann und wird in vielen verschiedenen Fällen notwendig sein. Der Umgang mit Legacy-Systemen ist einer dieser Gründe. Stellen Sie sicher, dass Sie den Fall von sehr langen Passwörtern gut testen (kann Ihr System mit 10 MB langen Passwörtern umgehen?). DoS-Probleme (Denial of Service) können auftreten, da die von Ihnen verwendeten Key Defivation Functions (KDF) (normalerweise PBKDF2, bcrypt, scrypt) zu viel Zeit und Ressourcen in Anspruch nehmen. Beispiel aus dem wirklichen Leben: http://arstechnica.com/security/2013/09/long-passwords-are-good-but-too-much-length-can-be-bad-for-security/

Marek Puchalski
quelle
0

Sollte es eine maximale Länge geben? Dies ist ein merkwürdiges Thema in der IT, da längere Passwörter in der Regel schwerer zu merken sind und daher eher aufgeschrieben werden (ein GROSSES Nein-Nein aus offensichtlichen Gründen). Längere Passwörter werden auch häufiger vergessen, was zwar nicht unbedingt ein Sicherheitsrisiko darstellt, aber zu Verwaltungsproblemen, Produktivitätsverlusten usw. führen kann. Administratoren, die glauben, dass diese Probleme dringend sind, legen Passwörtern wahrscheinlich maximale Längen auf.

Ich persönlich glaube an dieses spezielle Thema, dass jeder Benutzer sein eigenes hat. Wenn Sie glauben, dass Sie sich an ein 40-stelliges Passwort erinnern können, haben Sie umso mehr Macht!

Trotzdem werden Passwörter schnell zu einem veralteten Sicherheitsmodus. Smartcards und die Zertifikatauthentifizierung sind sehr schwierig bis unmöglich, wie Sie angegeben haben, ein Problem, und nur ein öffentlicher Schlüssel muss auf der Serverseite mit dem privaten gespeichert werden Schlüssel jederzeit auf Ihrer Karte / Ihrem Computer.

Tekiegreg
quelle
Die Leute können sich leicht an einen Lieblingsliedtext, einen Bibelvers oder ein anderes Sprichwort erinnern. Diese sind im Vergleich zu einem typischen Passwort sehr lang. Ich habe gerade einen getestet und bin mit 79 Zeichen reingekommen! (Zugegeben, die Möglichkeit eines Fehlers steigt, je länger eine Passphrase ist. Noch schlimmer, wenn auf einer DUMMEN Website nicht das letzte Zeichen angezeigt wird, das Sie in das Passwortfeld eingegeben haben.)
Katastic Voyage
0

Längere Passwörter oder Passphrasen sind aufgrund ihrer Länge schwerer zu knacken und leichter zu merken als ein komplexes Passwort.

Wahrscheinlich am besten für eine ziemlich lange (10+) Mindestlänge, um die nutzlose Länge einzuschränken.

benPearce
quelle
0

Ältere Systeme (bereits erwähnt) oder Schnittstellen zu Systemen anderer Anbieter erfordern möglicherweise die Beschränkung auf 8 Zeichen. Es könnte auch ein fehlgeleiteter Versuch sein, die Benutzer vor sich selbst zu retten. Wenn Sie dies auf diese Weise einschränken, werden zu viele Kennwörter für pssw0rd1, pssw0rd2 usw. im System angezeigt.

Futter
quelle
0

Ein Grund, warum Passwörter möglicherweise nicht gehasht werden, ist der verwendete Authentifizierungsalgorithmus. Beispielsweise erfordern einige Digest-Algorithmen eine Klartextversion des Kennworts auf dem Server, da beim Authentifizierungsmechanismus sowohl der Client als auch der Server die gleichen Berechnungen für das eingegebene Kennwort durchführen (die im Allgemeinen nicht jedes Mal dieselbe Ausgabe wie das Kennwort erzeugen wird mit einer zufällig generierten 'Nonce' kombiniert, die von den beiden Maschinen gemeinsam genutzt wird.

Oft kann dies verstärkt werden, da die Verdauung in einigen Fällen teilweise berechnet werden kann, aber nicht immer. Eine bessere Möglichkeit besteht darin, das Kennwort mit reversibler Verschlüsselung zu speichern. Dies bedeutet, dass die Anwendungsquellen geschützt werden müssen, da sie den Verschlüsselungsschlüssel enthalten.

Digst auth dient dazu, die Authentifizierung über ansonsten unverschlüsselte Kanäle zu ermöglichen. Wenn Sie SSL oder eine andere Vollkanalverschlüsselung verwenden, müssen keine Digest-Authentifizierungsmechanismen verwendet werden. Dies bedeutet, dass Kennwörter stattdessen gehasht gespeichert werden können (da Kennwörter sicher über das Kabel gesendet werden können (für einen bestimmten Wert von safe).

Chris J.
quelle
-4

Nur 8 Zeichen lange Passwörter klingen einfach falsch. Wenn es ein Limit geben sollte, sind mindestens 20 Zeichen die bessere Idee.

user17000
quelle
3
Aber das ist die Sache - es sollte überhaupt keine Grenze geben.
Luke Stevenson
-4

Ich denke, das einzige Limit, das angewendet werden sollte, ist wie ein Limit von 2000 Buchstaben oder etwas anderes, das unglaublich hoch ist, aber nur, um die Datenbankgröße zu begrenzen, wenn dies ein Problem ist

Josh Hunt
quelle
9
Passwörter sollten gehasht werden ... Und die Datenbankgröße wäre kein Problem, wenn das Passwort gehasht wird.
Epochwolf
4
@epochwolf - Ich kann mir einen Grund vorstellen, warum Passwörter nicht immer gehasht werden sollten (weil ich sie heute selbst entdeckt habe): Ein Passwort, das im Namen des Benutzers an Dritte weitergegeben werden muss, kann nicht als Hash gespeichert werden Wert. [ZB eine Anwendung, die Anmeldeinformationen zum Senden von E-Mails über eine externe Domain speichern muss.]
Kenny Evitt