Parolalara maksimum uzunluk koymalı mıyım?

162

Parolalara minimum uzunluk eklemenin çok mantıklı olduğunu anlayabiliyorum (kullanıcıları kendilerinden kurtarmak için), ancak bankamın parolaların 6 ila 8 karakter uzunluğunda olması gerekiyor ve merak etmeye başladım ...

  • Bu sadece kaba kuvvet saldırılarını kolaylaştırmakla kalmaz mı? (Kötü)
  • Bu, şifremin şifrelenmemiş olarak saklandığını mı ima ediyor? (Kötü)

Kendileri için çalışan iyi bir BT güvenlik uzmanı olan (umarım) birisi maksimum şifre uzunluğu uyguluyorsa, benzer bir şey yapmayı düşünmeli miyim? Bunun artıları / eksileri nelerdir?

security  encryption  passwords 
nickf
kaynak
16
Neredeyse kesinlikle bir kaba kuvvet saldırısı tehdidini ortadan kaldıran "üç grev ve sen yoksun" politikası var.
Stu Thompson
23
Günümüz web siteleri gibi eski olmayan sistemler için bunun için bir mazeret yoktur.
mparaz
7
Cevabın tamamen BT olduğunu düşünmüyorum. Minimum boyut (6) ve maksimum deneme limiti, vahşi tahminleri ortadan kaldırmak için "olasıdır". Benim tahminim, maksimum boyutun (8) "Hata kodumu unuttum" veya "Hızlı kod yazıyorum" veya "Bir karakteri yanlış yazıyorum" desteğinin arama sayısını (ve dolayısıyla maliyetini) sınırlamak vb. hatırlayamıyorsanız şifreyi yazdığınız kağıda ek olarak ..
bana Steve
17
Kayıtlı üniversite delicesine aptal şifre kurallarına sahiptir: sadece 8 karakter, en az 1 sayı, ancak şifrenin başlangıcında veya sonunda değil, klavyenin 2 üst satırından daha fazlasından karakterlere ihtiyaç duyar. Vb. bu kuralları uygulayarak kaba kuvvetlendirmeyi kolaylaştırırlar. Bu aptalca olmadığını fark ettim, ama lütfen böyle aptalca kurallar yapma! (Sadece sistemimden çıkarmak zorunda kaldım :))
cwap
17
@call Eğer bu nedenle bir maksimum uzunluk empoze ederseniz, o zaman benden "Şifremi unuttum" çağrıları alacaksınız , çünkü siteye özel şifrelerim uzun ve beni 12 karakterle sınırlamak, hatırlamıyorum.
Roman Starkov

Yanıtlar:

193

Parolalar, uzunluğu ne olursa olsun, 32, 40, 128 şeklinde özetlenir. Minimum uzunluğun tek nedeni kolay tahmin edilen şifreleri önlemektir. Maksimum uzunluk için bir amaç yoktur.

Maksimum uzunluk empoze ederseniz, kullanıcılarınıza neden bir kötülük yaptığınızı açıklayan zorunlu XKCD :

Zorunlu XKCD

epochwolf
kaynak
6
Belki bir banka parolayı sınırlamayı seçebilir, çünkü ATM'lerde 8 karakterden fazlasını giremezsiniz.
André Chalella
11
en azından ATM'lerde, kaba kuvvet saldırısı denerseniz kartınızı yiyecektir. Bahsettiğim sadece çevrimiçi oturum açma şifresidir.
nickf
39
Ne yazık ki bu şifrelerin her zaman karma olduğunu varsayar. Maksimum uzunluktaki şifreler, düz metinde saklanan şifrelerin bir belirtisidir.
jevon
14
İç çek, PayPal'da bile, "doğru atlı pil zımbası" <sansür> maksimum uzunluğunun 8 karakterden fazla ... headdesk
Roman Starkov
3
@kleinfreund çünkü karma olursa, şifre uzunluğu onlar için önemli olmaz (karma işlevleri herhangi bir uzunluktaki bir dizeyi sabit bir uzunluğa dönüştürür).
Vicky Chijwani
75

Şifre alanında belirtilen maksimum uzunluk, GÜVENLİK UYARISI olarak okunmalıdır . Herhangi bir mantıklı, güvenlik bilincine sahip kullanıcı en kötüsünü kabul etmeli ve bu sitenin şifrenizi kelimenin tam anlamıyla saklamasını beklemelidir (yani epochwolf tarafından açıklandığı gibi karma değildir).

Bu durumda:

  1. Mümkünse bu siteyi veba gibi kullanmaktan kaçının. Güvenlik hakkında hiçbir şey bilmiyorlar.
  2. Siteyi gerçekten kullanmanız gerekiyorsa, başka bir yerde kullandığınız herhangi bir şifrenin aksine şifrenizin benzersiz olduğundan emin olun.

Eğer şifreleri kabul eden bir site geliştiriyorsanız, yok aynı fırça ile lanmış istemedikçe, saçma bir şifre limiti koydu.

[Dahili olarak, elbette kodunuz mamut parolalarının bozulmasını önlemek için yalnızca ilk 256/1024 / 2k / 4k / (ne olursa olsun) baytlarına "önemli" gibi davranabilir.]

tardate
kaynak
17
Ayrıca bu tür web sitelerine standart bir e-posta gönderiyorum, daha kısa ve daha az güvenli bir şifre kullanmaya zorlandığımı belirterek, bu tür saçma sınırlar getiren her web sitesinde de tekrar kullanacağım. Bu, bir sorun olduğunu bilmelerini sağlar ve ayrıca bir Joe Coder'a daha yüksek seviyelere göstermek için biraz kaldıraç verebilir: kullanıcıların bunun sonucunda web sitesini gerçekten kötü düşündüklerine dair kanıtlar.
Roman Starkov
3
Bir parola maksimum düz metin parolaları saklıyor anlamına gelir varsaymak gerekir emin değilim. Bazen, girişi kesiyorlar ve sadece ilk x karakterlerini karma () öğesine geçiriyorlar. (Kontrol etmenin yolu bir limiti aşan bir şifre belirlemektir, daha sonra maksimum şifre uzunluğunun ötesinde bir dizi şifre karakteriyle giriş yapmayı deneyin).
benc
5
@benc emin, bu mümkün, ama mesele şu ki bir kullanıcı olarak ne yaptıklarını bilmenin hiçbir yolu yok. Bir maksimum uzunluk (özellikle kısa olanı) bir uyarı işaretidir ve en kötüsünü varsaymanın en iyisi olduğunu düşünüyorum (veya onaylamak için sağlayıcıyla temasa geçin).
tardate
1
Lütfen detaylandırın. Bu cevap sadece bir ifadedir.
kleinfreund
1
Maksimum şifre mutlaka düz metin olarak saklandığı anlamına gelmez; teknik nedenlerle olabilir, örneğin bcrypt yalnızca 72 karaktere kadar parolalara izin verir.
emorris
58

Güvenilmeyen kaynaklardan şifreyi kabul ederseniz, tamamen sınırsız şifre uzunluğuna izin vermenin büyük bir dezavantajı vardır.

Gönderen size o kadar uzun bir şifre vermeye çalışabilir ki diğer insanlar için bir hizmet reddi ile sonuçlanabilir. Örneğin, parola 1 GB veri ise ve tüm zamanınızı harcarsanız, bellek bitene kadar kabul edin. Şimdi bu kişinin size bu şifreyi kabul etmek istediğiniz sayıda gönderdiğini varsayın. İlgili diğer parametreler konusunda dikkatli değilseniz, bu bir DoS saldırısına yol açabilir.

Üst sınırı 256 karakter gibi bir şeye ayarlamak bugünün standartlarına göre aşırı cömert görünüyor.

Jason Dagit
kaynak
35
Yine de maksimum limite sahip 1 gb veri gönderebilirsiniz. Sınırlamayı yapan yazılım neredeyse her zaman web sunucusunun arkasındadır.
epochwolf
6
Yine de, hesaplama açısından yoğun bir şey yapmadan önce ilk 256 karakter hariç hepsini bırakabilirsiniz. 1 gb veri üzerinde bir karma sağlama, 256 karakterdeki aynı karmadan çok daha uzun sürecektir .
rcreswick
2
@Eyal: Bir web uygulamasının istemci tarafında gerçekleşen her şey doğal olarak güvenilmez; bu nedenle, karma bir şifre eşdeğeri haline gelir ve bunu boşuna bir egzersiz haline getirir. (bir web tarayıcısı muhtemelen 1 GB'lık bir metin girişini kabul etmez ve özel bir istemci "thisisthehashedpassword" form alanında 1 GB'lık bir dize gönderebilir)
Piskvor
4
@Piskvor: Ama yine de 1 GB dizeyi önlemenin bir yolu yok. Bir kullanıcı her zaman example.com/?password=abcabcabcabc ... isteyebilir ve isteğini istediği kadar büyük yapabilir. Standart DoS.
Eyal
4
@Piskvor ve Eyal, neyse ki, Apache ve IIS (ve muhtemelen diğer olgun sunucular) URL'lerden geçen alanların uzunluğunu sınırlar: boutell.com/newfaq/misc/urllength.html
sampablokuper 25:12
21

İlk olarak, bankaların kendileri için çalışan iyi BT güvenlik uzmanlarına sahip olduğunu varsaymayın. Bolca yapma .

Bununla birlikte, maksimum şifre uzunluğu değersizdir. Genellikle kullanıcıların yeni bir şifre (şu anda her sitede farklı şifreler kullanmanın değeri hakkındaki argümanlar) oluşturmalarını gerektirir; Ayrıca kaba kuvvetten sosyal mühendisliğe kadar herhangi bir vektörle saldırıya karşı duyarlılığı büyük ölçüde artırır.

Sparr
kaynak
Kabul! Şu birkaç yıldaki İngiltere bankası çevrimiçi erişim güvenliği başarısızlıkları dizisine bakın ...
Stu Thompson
6
Zaten hepsini hatırlamama izin veren bir şema aracılığıyla her web sitesinde farklı bir şifre kullanıyorum, ancak hepsi oldukça uzun. Şifreleri yapışkan notlar üzerine yazdığım tek web siteleri, moronik maksimum uzunluk sınırlamaları uygulayan ve böylece beni tercih ettiğim ama benzersiz şifremden uzaklaştıranlardır ...
Roman Starkov
@romkyns Bence şemanız sembol kullanmıyor mu? Bir zamanlar kaba-zor-zor parolalar üreten böyle bir şema vardı, ama kullandığım sitelerin% 10-20'si ortak özel karakterleri yasakladığında terk etmek zorunda kaldım.
Sparr
özel karakterler yok, hayır, ancak her zaman sayı ve büyük harf karakterleri ekler, çünkü bazı sitelerin bunu talep ettiğini biliyordum. Keşke onunla geldiğimde maksimum uzunluk sınırlarını öğrenmiş olsaydım ... Ama yakın akrabalar için yaptığım (daha basit) şemalar şimdiye kadar mükemmel çalıştı!
Roman Starkov
1
@romkyns bu tür şemalarla ilgili diğer sorunlar: şifreleri paylaşan siteler. Düzeniniz nameofwebsitefO0 (googlefO0 yahoofO0 vb.) Gibi bir şeyse, flickr.com'da "yahoofO0" veya askubuntu.com'da stackoverflowfO0 kullanmanız gerektiğini nasıl hatırlarsınız? süresi dolan siteler. o zaman şemayı değiştirebilecek bir parça içerecek şekilde genişletmeniz gerekir. ancak son kullanma kuralı alt dizeleri kontrol ederse başarısız olur.
Sparr
13

Maksimum şifre uzunluğunu 128 karakterden daha az ayarlamak artık OWASP Kimlik Doğrulama Hile Sayfası tarafından önerilmiyor

https://www.owasp.org/index.php/Authentication_Cheat_Sheet

Paragrafın tamamını alıntılamak:

Daha uzun parolalar daha büyük bir karakter birleşimi sağlar ve bu nedenle saldırganın tahmin etmesini zorlaştırır.

Minimum şifre uzunluğu uygulama tarafından uygulanmalıdır. 10 karakterden kısa şifreler zayıf kabul edilir ([1]). Minimum uzunluk uygulaması bazı kullanıcılar arasında parolaları ezberlerken sorunlara neden olabilirken, uygulamalar onları tipik parolalardan çok daha uzun ve hatırlaması daha kolay parolalar (cümleler veya kelime kombinasyonları) ayarlamalarına teşvik etmelidir.

Kullanıcıların parola oluşturmasını engelleyeceğinden, maksimum parola uzunluğu çok düşük ayarlanmamalıdır. Tipik maksimum uzunluk 128 karakterdir. 20 karakterden kısa parolalar genellikle yalnızca küçük Latin karakterlerden oluşuyorsa zayıf kabul edilir. Her karakter önemlidir !!

Kullanıcının yazdığı her karakterin gerçekten parolaya dahil edildiğinden emin olun. Şifreyi kullanıcının sağladığından daha kısa bir sürede kısaltan sistemler gördük (ör. 20'ye girdiklerinde 15 karakterde kısaltılmış). Bu genellikle TÜM şifre giriş alanlarının uzunluğunun maksimum uzunluk şifresiyle tam olarak aynı uzunluğa ayarlanmasıyla gerçekleştirilir. Maksimum şifre uzunluğunuz 20-30 karakter gibi kısasa bu özellikle önemlidir.

kravietz
kaynak
11
Bu kaynak, maksimum şifre uzunluğu sınırlamalarından vazgeçmez, düşük (128 karakterden az) maksimum şifre uzunluğu sınırlamalarından vazgeçirir .
Matthew
9

Maksimum şifre uzunluğunu zorunlu kılmak için hayal edebileceğim bir neden, ön ucun, biri maksimum şifre uzunluğunu zorunlu kılan birçok eski sistem arka ucuyla arayüz kurması gerekip gerekmediğidir.

Başka bir düşünme süreci, bir kullanıcı kısa bir parola ile gitmeye zorlanırsa, kolayca tahmin edilebilecek (arkadaşları / aileleri tarafından) bir yakalama ifadesi veya takma addan rastgele anlamsızca icat etme olasılıklarının daha yüksek olması olabilir. Bu yaklaşım elbette yalnızca ön uç, sayıları / harfleri karıştırmayı zorlarsa ve l33t-speak ile yazılmış kelimeler de dahil olmak üzere herhangi bir sözlük kelimesi olan şifreleri reddederse etkilidir.

mbac32768
kaynak
1
Anlaşılır olsa da, eski sistemler bazen tasarımı dikte etmek zorundadır. Mümkün olduğunca etkilememelidirler. Yeni bir sistemde istediğiniz son şey, modern güvenlik saldırıları bile yaygın olmadan önce tasarlanmış bir güvenlik politikası olan bir şeydir. Ya da daha kötüsü, daha yeni bir yazılım ama ilk etapta yanlış tasarlanmış. Mevcut bir şirket sistemi HTTP kullanabilir, ancak yeni bir sistemde veya uzantıda SSL kullanmamanın bir gerekçesi yoktur. Benzer şekilde, şifre politikaları sadece SON adamların yanlış yaptığı için savunmasız kalmaya devam etmemelidir.
Katastic Voyage
6

Bazı maksimum şifre uzunluğunu dayatmanın potansiyel olarak geçerli bir nedeni, onu karıştırma işleminin (bcrypt gibi yavaş bir karma işlevinin kullanılması nedeniyle) çok fazla zaman almasıdır; sunucuya karşı DOS saldırısı gerçekleştirmek için kötüye kullanılabilecek bir şey.

Daha sonra, sunucuların çok uzun süren istek işleyicileri otomatik olarak bırakacak şekilde yapılandırılması gerekir. Bu yüzden bunun büyük bir sorun olacağından şüpheliyim.

AardvarkSoup
kaynak
4

Bence her iki mermi noktasında da haklısın. Parolaları karma değerini gerektiği gibi saklıyorlarsa, parola uzunluğu DB şemalarını hiçbir şekilde etkilemez. Açık uçlu bir parola uzunluğuna sahip olmak, kaba kuvvet saldırganının hesaba katması gereken bir değişkeni daha atar.

Kötü tasarımın yanı sıra şifre uzunluğunu sınırlamak için herhangi bir mazeret görmek zor.

Lucas Umman
kaynak
3

Maksimum şifre uzunluğuna görebildiğim tek fayda, aşırı uzun bir şifrenin neden olduğu bir arabellek taşması saldırısı riskini ortadan kaldırmak olacaktır, ancak bu durumu ele almanın çok daha iyi yolları vardır.

DrStalker
kaynak
1
Maksimum giriş uzunluğu olmalı, evet, ama kesinlikle <64 olmamalıdır. Maksimum 8 veya 12 uzunluğu saçmadır.
Dan Bechard
2

Uzun şifreleri doğrulamamayı söyleyen insanları görmezden gelin. Owasp tam anlamıyla 128 karakterin yeterli olması gerektiğini söylüyor. Sadece yeterli nefes alanı vermek için biraz daha 300, 250, 500 diyebilirsiniz.

https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Password_Length

Parola Uzunluğu Daha uzun parolalar daha büyük karakter birleşimi sağlar ve bu nedenle saldırganın tahmin etmesini zorlaştırır.

...

Kullanıcıların parola oluşturmasını engelleyeceğinden, maksimum parola uzunluğu çok düşük ayarlanmamalıdır. Tipik maksimum uzunluk 128 karakterdir . 20 karakterden kısa parolalar genellikle yalnızca küçük Latin karakterlerden oluşuyorsa zayıf kabul edilir.

CommonSenseCode
kaynak
Tartışma ile ilgili değil. Soru, 128'in yeterli olup olmadığı uzunluğunu sınırlamanın herhangi bir faydası olup olmadığıdır.
vikki
1

Depolama ucuzdur, neden şifre uzunluğunu sınırlandırırsınız. Parolayı sadece karma işleminin aksine şifreliyor olsanız bile, 64 karakterlik bir dize şifrelemek için 6 karakterli bir dizeden daha fazlasını almaz.

Büyük olasılıkla banka sistemi daha eski bir sistemi kaplıyor olabilir, bu yüzden sadece şifre için belirli bir alana izin verebiliyorlardı.

LizB
kaynak
9
Çok geçerli bir neden olmadıkça, parolalar özetlenmelidir. Karmalar sabit uzunluklu dizelerle sonuçlanır. Sistem gerçek şifreyi saklamıyorsa, tartışmasız korkunç bir fikir olmadığı sürece yapılacak alan argümanı yoktur.
Stu Thompson
8
Şifreleri şifrelemek korkunç bir fikirdir. Mütevazi bir çalışan bir milyar dolarlık parolaları sızdırmak için gereken her şeydir. İlk etapta asla saklayarak sorunu koruyun.
Roman Starkov
1

Bankam da bunu yapıyor. Herhangi bir şifreye izin verirdi ve 20 karakterli bir şifrem vardı. Bir gün değiştirdim ve bakalım bana en fazla 8 tane verdi ve eski şifremde olan alfasayısal olmayan karakterleri kesti. Bana bir anlam ifade etmedi.

Bankadaki tüm arka uç sistemleri, alfa-sayısal olmayan 20 karakterli şifremi kullanırken daha önce çalışmıştı, bu nedenle eski destek bunun nedeni olamaz. Ve öyle olsa bile, yine de keyfi parolalara sahip olmanıza ve daha sonra eski sistemlerin gereksinimlerine uyan bir karma yapmanıza izin vermelidirler. Daha da iyisi, eski sistemleri düzeltmeleri gerekir.

Akıllı kart çözümü benimle iyi sonuç vermeyecekti. Zaten olduğu gibi çok fazla kartım var ... Başka bir hile yapmaya ihtiyacım yok.

Vincent McNabb
kaynak
Onlar (ve ne zaman demek istiyorum) hashes veritabanı çalındığında (hatta tuz / karma / streç, hatta onlar emin değilim varsayalım) kaba kuvvet saldırıları için zaman uzatır önemli keyspace kesti. Bankaları değiştirme zamanı.
Chris Gomez
1

İsteğe bağlı boyutlu bir parolayı kabul ederseniz, parola karma işleminden önce performans nedenleriyle bir perde uzunluğuna kısaltıldığını varsayar. Kesilme ile ilgili sorun, sunucu performansınız zaman içinde arttıkça, kesin olarak farklı olacağı için kesmeden önce uzunluğu kolayca arttıramayacağınızdır. Elbette, her iki uzunluğun da karma ve kontrol edildiği bir geçiş döneminiz olabilir, ancak bu daha fazla kaynak kullanır.

kullanıcı
kaynak
1

Gerekmedikçe herhangi bir sınırlama getirmemeye çalışın. Dikkatli olun: birçok farklı durumda gerekli olabilir ve gerekli olacaktır. Eski sistemlerle uğraşmak bu nedenlerden biridir. Çok uzun parolaların durumunu test ettiğinizden emin olun (sisteminiz 10MB uzun parolalarla başa çıkabilir mi?) Kullanacağınız Anahtar Tanımlama İşlevleri (KDF) (genellikle PBKDF2, bcrypt, scrypt) çok zaman ve kaynak gerektireceği için Hizmet Reddi (DoS) sorunlarıyla karşılaşabilirsiniz. Gerçek hayat örneği: http://arstechnica.com/security/2013/09/long-passwords-are-good-but-too-much-length-can-be-bad-for-security/

Marek Puchalski
kaynak
0

Maksimum uzunluk olmalı mı? Bu, BT'de merak edilen bir konudur, çünkü daha uzun parolaların hatırlanması genellikle daha zordur ve bu nedenle yazılma olasılığı daha yüksektir (bariz nedenlerden dolayı BÜYÜK bir hayır-hayır). Daha uzun parolalar da daha fazla unutulma eğilimindedir, bu da bir güvenlik riski olmamasına rağmen, idari zorluklara, üretkenliğin düşmesine vb. Yol açabilir. Bu sorunların baskı altında olduğuna inanan yöneticilerin parolalara maksimum uzunluk getirmesi muhtemeldir.

Ben şahsen bu özel konuya, her kullanıcıya kendi inanıyorum. 40 karakterlik bir şifreyi hatırlayabileceğinizi düşünüyorsanız, o zaman size daha fazla güç!

Bununla birlikte, parolaların hızlı bir şekilde eski bir güvenlik modu haline geldiğini söyledikten sonra, Akıllı Kartlar ve sertifika kimlik doğrulaması, belirttiğiniz bir güç olduğu için kaba kuvveti imkansız hale getirmenin çok zor olduğunu ve özel ile sunucu ucunda yalnızca ortak bir anahtarın saklanması gerektiğini kanıtladı tuşuna basın.

tekiegreg
kaynak
İnsanlar en sevdikleri şarkı sözlerini, İncil ayetlerini veya diğer sözleri kolayca hatırlayabilirler. Bunlar tipik bir parola ile karşılaştırıldığında çok uzundur. Sadece birini test ettim ve 79 karakterle geldim! (Bir şifre olasılığı ne kadar uzun olursa hata olasılığı artar. STUPID web sitesi size şifre kutusuna girdiğiniz son karakteri göstermediğinde daha da kötüsü.)
Katastic Voyage
0

Daha uzun parolalar veya parola cümleleri, yalnızca uzunluğa göre kırılması daha zordur ve karmaşık bir parola gerektirmekten daha kolay hatırlanır.

Muhtemelen oldukça uzun (10+) minimum uzunluk için gitmek en iyisidir, uzunluğu işe yaramaz.

benPearce
kaynak
0

Eski sistemler (daha önce belirtilmiş) veya dış satıcı sistemlerinin arabirimleri için 8 karakterli başlık gerekebilir. Ayrıca kullanıcıları kendilerinden kurtarmak için yanlış yönlendirilmiş bir girişim olabilir. Bu şekilde sınırlandırılması, sistemde çok fazla pssw0rd1, pssw0rd2 vb. Parolalara neden olur.

atmak
kaynak
0

Parolaların karıştırılmamasının bir nedeni, kullanılan kimlik doğrulama algoritmasıdır. Örneğin, bazı özet algoritmaları , kimlik doğrulama mekanizması hem istemci hem de sunucunun girilen parola üzerinde aynı matematiği gerçekleştirmesini gerektirdiğinden (genellikle parola ile her seferinde aynı çıktıyı üretmeyecek şekilde sunucuda parolanın düz metin sürümünü gerektirir) iki makine arasında paylaşılan rasgele oluşturulmuş bir 'nonce' ile birleştirilir).

Genellikle bu, sindirim bazı durumlarda kısmen hesaplanabildiği için güçlendirilebilir, ancak her zaman değil. Parolanın ters çevrilebilir şifrelemeyle depolanması için daha iyi bir yol vardır - bu, uygulama kaynaklarının şifreleme anahtarını içereceklerinden korunması gerektiği anlamına gelir.

Digst yetkilendirmesi, aksi takdirde şifrelenmemiş kanallar üzerinden kimlik doğrulamaya izin vermek için vardır. SSL veya başka bir tam kanal şifrelemesi kullanılıyorsa, özet doğrulama mekanizmalarını kullanmaya gerek yoktur, bunun yerine parolalar karma olarak saklanabilir (parolalar tel üzerinden güvenli bir şekilde düz metin gönderilebileceğinden (belirli bir güvenli değer için).

Chris J
kaynak
-4

Sadece 8 karakter uzunluğunda şifreler kulağa yanlış geliyor. Bir sınır olması gerekiyorsa, en az 20 karakter daha iyi bir fikirdir.

user17000
kaynak
3
Ama mesele bu - bir sınır olmamalı.
Luke Stevenson
-4

Uygulanması gereken tek sınır 2000 harf sınırı veya insainly yüksek başka bir şey gibi olduğunu düşünüyorum, ama sadece bir sorun ise veritabanı boyutunu sınırlamak için

Josh Hunt
kaynak
9
Parolalar karma olmalıdır ... Ve veritabanı boyutu sorun olmazsa parola karma olur.
epochwolf
4
@epochwolf - Şifrelerin her zaman karma olmaması için bir neden düşünebilirim (çünkü bugün kendim keşfettim): kullanıcı adına üçüncü bir tarafa gönderilmesi gereken bir şifre karma olarak saklanamaz değer. [Örneğin, harici bir alan aracılığıyla e-posta göndermek için kimlik bilgilerini depolaması gereken bir uygulama.]
Kenny Evitt
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.