Ich bin auf eine Reihe von Websites gestoßen, die entweder die Länge der zulässigen Kennwörter einschränken und / oder bestimmte Zeichen nicht zulassen. Dies ist eine Einschränkung für mich, da ich den Suchbereich meines Passworts erweitern und verlängern möchte. Es gibt mir auch ein unangenehmes Gefühl, dass sie kein Haschisch sind.

Gibt es gute Gründe, entweder eine höhere Länge festzulegen oder Zeichen in Passwörtern auszuschließen?

Nein

Es gibt keine guten Gründe.

EDIT: Ich kann nicht beweisen, dass es keine guten Gründe gibt, weil man kein Negativ beweisen kann. Ich kann mir keine guten Gründe dafür vorstellen - wie andere betonten, wird der Hash unabhängig von der Größe der Eingabe dieselbe Größe haben, und das Eliminieren gültiger Zeichen (aus dem Fragekontext) reduziert nur den Zustandsraum. Die Antwort liegt auf der Hand: Es gibt keine guten Gründe. Es mag eine Vielzahl von Gründen geben, die gut klingen oder gut erscheinen, aber sie sind es nicht. Wenn dies der Fall wäre, hätte jemand sie bereits hier gepostet, oder wenn dies nicht der Fall wäre, sicherlich auf security.stackexchange.com, und diese Antwort wäre nicht so heftig gewürdigt worden.

Das Begrenzen der Länge kann eine Maßnahme sein, um die Ausführungszeit des Hashings sowie die Bandbreite zu begrenzen (und beide sind sowieso sehr gering). Davon abgesehen gibt es keinen guten Grund, insbesondere aus sicherheitstechnischer Sicht.

Man könnte sagen: "Die Leute werden längere Passwörter leichter vergessen" - aber das ist wirklich eine dumme Aussage und kommt überhaupt nicht auf den Punkt.

Was die Zeichen betrifft, solange Sie potenzielle Codierungsprobleme bei der Datenübertragung und / oder -migration in der Zukunft kennen (z. B. werden Sie in 2 Jahren von ASCII auf UTF-8 umsteigen), können mehr Zeichen nur für die Stärke der Kennwörter nützlich sein.

Ja , es gibt einen Grund für Sonderzeichen.

Das Ablehnen von Sonderzeichen ist eher eine Sache der Benutzerfreundlichkeit als der Sicherheit. Zuallererst könnten sie durch Codierungsprobleme verstümmelt werden. Zweitens gibt es immer noch das Problem des Eingabegeräts, auch wenn Sie garantieren würden, immer dieselbe Codierung zu verwenden. Sie sind abhängig von einer vollständigen Tastatur (die die meisten Mobilgeräte überflüssig macht) mit demselben Tastaturlayout. Später unterscheiden sich nicht nur die Sprachen, sondern auch die Betriebssysteme. Die Layouts für Windows, Linux und OSX sind möglicherweise etwas unterschiedlich. Also ich guten Grund sehe nicht durch ein Passwort zu erlauben , wie: √Ω≈ç∫∞§…¬å∑±.

Vor einigen Jahren gab es in der Sicherheitswelt einige Kontroversen, als Chase-Kunden feststellten, dass bei ihren Passwörtern die Groß- und Kleinschreibung nicht beachtet wurde. Es stellte sich heraus, dass ihre Webseite nur ein Frontend für ein 30 Jahre altes OS / 400-Backend-System war, das eine technische Einschränkung aufwies, die Groß- und Kleinschreibung ignorierte. Dies zu beheben würde anscheinend Millionen von Dollar kosten.

Der Punkt ist, es kann teure Gründe dafür geben, Kennwörter über eine bestimmte Länge nicht zuzulassen.
(Beachte, dass ich diese Ausrede nicht gutheiße ...)

Die meisten Banken, IT-Abteilungen usw., die maximale Kennworteinschränkungen durchsetzen, tun dies aus technischen Gründen nicht. Sie wissen genau, wie das Hashing von Passwörtern funktioniert und wie komplexe Passwörter gespeichert werden. Diese Einschränkungen werden auferlegt, da die Anzahl der Anrufe zur Unterstützung von Personen, die ihre Kennwörter vergessen haben, verringert wird. Ist dies ein guter Grund, eine solche Einschränkung zu verhängen? Auf keinen Fall. Trotzdem ist es der Hauptgrund.

Nicht alle Eingabegeräte (hardwaremäßig) haben oft alle Zeichen einer vollständigen Tastatur oder Ähnliches. Wenn man keinen Passwort-Manager benutzt, könnte man Probleme haben, ein solches Passwort einzugeben, oder? Und Unicode ist noch weit davon entfernt, ein Standard zu sein.

Gibt es gute Gründe, entweder eine höhere Länge festzulegen oder Zeichen in Passwörtern auszuschließen?

Ich werde eine Vermutung anstellen und sagen, dass einige dieser Einschränkungen auf die Zeichenfilterung auf ihrer Website ( & < > #) zurückzuführen sind, um Hacker fernzuhalten. Während andere die knochenköpfigen Ideen sind, die aus Komitees von Chefs mit spitzen Haaren stammen.

Ich bin auf eine Reihe wirklich dummer (meiner Meinung nach) "Sicherheits" -Entscheidungen gestoßen. Beispielsweise verwaltet eine große Investmentgesellschaft meine IRA-Konten sowie meine Rente. Um das zu tun jeden Kontakt mit der Rente verlangt , dass ich in meinem Passwort am Telefon eingeben (Sie können sie sonst nicht erreichen). Mein Brokerage- / IRA-Konto verwendet Buchstaben (Groß- und Kleinbuchstaben) sowie Satzzeichen - keines dieser Zeichen wird auf einem Telefonnummernblock angezeigt. Wenn Sie sich nicht über das Telefon mit dem Kennwort anmelden können, können Sie das Kennwort Ihres Brokerage-Kontos auf einen Wert zurücksetzen, den Sie über das Telefon eingeben können.

Mein Lohn- und Gehaltsabrechnungssystem (für das Beratungsunternehmen, für das ich arbeite) erfordert Nummern und nur Nummern. Dadurch können sie dieselbe Datenbank verwenden, unabhängig davon, ob der Benutzer anruft (das habe ich noch nie getan) oder die Weboberfläche verwendet (ich benutze nur diese). .

Abgesehen davon ist es Zeit, mein Passwort im Büro zu ändern. Sie haben so verrückte Einschränkungen, dass ich schätze, dass es ungefähr einen halben Tag dauern wird, bis ein für das System akzeptables Passwort gefunden ist: mindestens 2 Großbuchstaben, mindestens 2 Kleinbuchstaben, mindestens 2 Ziffern (die nicht +/- 1 sein dürfen) aus den vorherigen Passwörtern), mindestens 2 nicht-alphanumerische Zeichen, darf keinem der letzten 24 Passwörter entsprechen, darf keine Zeichenfolge (vorwärts oder rückwärts) enthalten, die ein Wort (3 oder mehr Buchstaben lang) in Englisch ist ( auch ein paar andere Sprachen, die ich nicht kenne). Ich denke, die Mindestlänge beträgt 10-11 Zeichen.

Ein Grund für die Beschränkung der Zeichen liegt darin, wie das Kennwort dann eingegeben wird.

Beispielsweise fragen mehrere Banken mit ihren Internet-Banking-Websites nach bestimmten Zeichen aus einem Kennwort, und Sie wählen die entsprechenden Zeichen über ein Dropdown-Feld aus.

Vermutlich tun sie dies, damit Keylogger den Tastendruck nicht erkennen können und daher [Zeichen aus] Ihrem Passwort kennen. Ich weiß zwar, dass es viele andere Möglichkeiten gibt, wie solche Maßnahmen umgangen werden können, z. B. Screencapture. Es ist immer noch wirksam gegen Keylogger.

Wenn sie alle Zeichen zulassen müssten, würde die Länge des Dropdown-Felds umständlich werden und auch die Verwechslung von ähnlich aussehenden Zeichen zulassen.

Das Ablehnen von Sonderzeichen wie tab wäre zulässig. Sie können sich mit einem Tabulatorzeichen im Textmodus anmelden oder Ihr Kennwort ändern, aber Sie können es nicht in einer GUI oder einer Webumgebung verwenden. Ein Backslash-Char wird auch einige plattformübergreifende Probleme aufzeigen.

Übrigens sind lange Passwörter keine Passwörter - sie sind Passphrasen. Ein durchschnittlicher Benutzer kann sich nicht an 2Z8d!% G # x erinnern, aber er kann sich daran erinnern, dass der Name meines Haustieres Fido der Hund ist. Längerer Text ist mit brachialer Gewalt schwerer zu knacken, und es ist weitaus unwahrscheinlicher, dass er auf eine Notiz am Bildschirm geschrieben wird.

Wenn Menschen tippen, machen sie Fehler, die als "Tippfehler" bezeichnet werden. Normalerweise sehen die Leute ihre Fehler und korrigieren sie. Bei der Passworteingabe können Sie normalerweise nicht sehen, was Sie eingegeben haben, und daher können Sie Ihre Tippfehler nicht korrigieren. Sie machen Fehler, ohne es zu bemerken, übermitteln Ihr Passwort und es wird als "Passwort ungültig" zurückgegeben. Dann versuchst du es nochmal. Dann versuchst du es nochmal.

Sie können sich das als "3 kleine Tippfehler vorstellen und dann sind Sie von einem Brute-Force-Angriff nicht zu unterscheiden". Wie schützen Systeme vor Brute-Force-Angriffen? Eine explizite Antwort " Zu viele Versuche, gehen Sie weg, Sie können sich nicht anmelden, auch wenn Sie es richtig verstanden haben "? Die Verzögerungen bei der Passworteingabe nehmen exponentiell zu, was zu einer Zeitüberschreitung des Browsers führt, wenn die Verzögerung zu lang ist, sodass es unmöglich ist, sich erneut anzumelden. Ansätze variieren, aber ein gut konzipiertes System hat immer Konsequenzen.

Sie können sich das als "3 kleine Tippfehler vorstellen und dann bekommen Sie eine Art Denial-of-Service".

Mit zunehmender Kennwortlänge steigt das Risiko von Tippfehlern (und damit das Risiko, dass einer autorisierten Person der Zugriff verweigert wird). Alles, was länger als etwa 20 Zeichen ist, wird häufig falsch geschrieben (es sei denn, der Benutzer ist schlau / faul und speichert sein Passwort irgendwo, damit er "kopieren und einfügen" kann, ohne sich Gedanken über Tippfehler zu machen, wie eine nette einfache Textdatei auf seinem Desktop mit dem Namen " Passwörter " .txt ").