Parolaların olmasına izin verdikleri uzunluğu sınırlayan ve / veya belirli karakterlere izin vermeyen birkaç site ile karşılaştım. Şifremdeki arama alanını genişletmek ve genişletmek istediğim için bu beni sınırlıyor. Ayrıca bana rahatsızlık yaşamadıklarını da rahatsız ediyor.

Parolalarda üst uzunluk ayarı yapmak veya karakterleri dışlamak için iyi nedenler var mı?

Hayır

İyi bir sebep yok .

EDIT: İyi bir sebep olmadığını ispat edemem, çünkü birisi olumsuz ispat edemez. Bunun için iyi bir sebep olmadığını düşünebilirim - diğerleri de belirtildiği gibi, karma girişin boyutuna bakılmaksızın aynı boyutta olacak ve geçerli karakterleri ortadan kaldırmak (soru bağlamından) durum alanını azaltır. Cevap, yüzünde açık görünüyor: iyi sebepler yok . Kulağa hoş gelen veya kulağa hoş gelen çok sayıda neden olabilir, ama öyle değil. Olsaydı, birileri onları buraya çoktan gönderirdi ya da burada olmasaydı kesinlikle security.stackexchange.com'da olurdu ve bu cevap çok fazla karşılanamazdı.

Uzunluğun sınırlandırılması, karma işlemin yürütme zamanını ve aynı zamanda bant genişliğini sınırlamak için bir önlem olabilir (ve her ikisi de yine de gerçekten marjinaldir). Bunun dışında, özellikle güvenlik açısından iyi bir sebep yoktur.

Birisi şöyle diyebilir: “İnsanlar daha uzun şifreleri daha kolay unutacak” - ama bu gerçekten aptalca bir ifade ve hiç de anlamadı.

Karakterlere gelince, gelecekte veri aktarımı ve / veya geçişle ilgili olası kodlama sorunlarının farkında olduğunuz sürece (örneğin, 2 yılda ASCII'den UTF-8'e geçeceksiniz) daha fazla karaktere izin vermek yalnızca parolaların güçlü olması için iyi olabilir.

Evet , özel karakterlerin bir nedeni var.

Özel karakterlere izin verilmemesi, güvenlikle ilgili olmaktan çok, kullanılabilirlikten daha önemlidir. Her şeyden önce, kodlama problemleriyle uğraşabilirler. İkincisi, her zaman aynı kodlamayı kullanacağınızı garanti etseniz bile, giriş cihazında hala bir sorun var. Aynı klavye düzenine sahip tam klavyeye (çoğu mobil cihazı ortadan kaldıran) sahip olmanıza bağlı olursunuz. Daha sonra sadece diller arasında değil, aynı zamanda işletim sistemleri arasında da farklılık gösterir, Windows, Linux ve OSX için düzenler biraz farklı olabilir. Bu yüzden: gibi bir şifre izin vermemek için iyi bir neden görüyorum √Ω≈ç∫∞§…¬å∑±.

Chase müşterileri şifrelerinin büyük / küçük harf duyarlı olduğunu keşfettiğinde, birkaç yıl önce güvenlik dünyasında bir tartışma yaşandı. Web sayfalarının, 30 yıllık eski OS / 400 arka uç sisteminin ön yüzü olduğunu ve bunun da görmezden geldiğine dair teknik bir sınırlaması olduğunu ortaya koydu. Bunu düzeltmek görünüşte milyonlarca dolara mal olacak.

Mesele şu ki, belirli bir süre boyunca şifrelere izin vermemek için pahalı eski sebepler olabilir.
(Bu bahaneyi kandırmayacağımı unutmayın ...)

Çoğu banka, BT departmanı, vb. Maksimum şifre kısıtlaması uygulayanlar bunu teknik nedenlerden dolayı yapmazlar. Parolanın nasıl çalıştığının ve karmaşık parolaların nasıl depolanacağının mükemmel bir şekilde farkındalar. Bu sınırlamaları koyarlar çünkü şifrelerini unutturan insanlara destek çağrılarını azaltır. Bu tür bir sınırlama uygulamak için iyi bir neden mi? Hiçbir şekilde. Fakat yine de, asıl sebep budur.

Giriş aygıtlarının tümü (donanım bakımından) çoğu zaman tam bir klavyenin sahip olduğu karakterlere veya benzerlerine sahip değildir. Eğer biri şifre yöneticisi kullanmıyorsa, kişi böyle bir şifreyi girerken sorun yaşayabilir, değil mi? Ve Unicode hala standart olmaktan çok uzaktır (çok uzak).

Parolalarda üst uzunluk belirlemek veya karakterleri dışlamak için iyi nedenler var mı?

Bir tahmin yapacağım ve bu kısıtlamaların bazılarının & < > #korsanları uzak tutmak için web sitelerinde ( ) karakter filtrelemesinden kaynaklandığını söyleyeceğim . Diğerleri sivri saçlı patronların komitelerinden çıkan kemik kafalı fikirlerdir.

Ben gerçekten aptalca bir takım (bence) "güvenlik" kararları ile karşılaştım. Örnek olarak, büyük bir yatırım şirketi IRA hesaplarımı ve emekli maaşımı ele alıyor. Yapabilmek için herhangi telefonda benim şifresini yazmanız beni gerektirir emeklilik temas (aksi takdirde onları ulaşamaz). Aracılık / İRA hesabım harfleri (büyük ve küçük harf) ve bazı noktalama işaretlerini kullanır - bu karakterlerden hiçbiri bir telefon numara defterinde görünmez. Telefonla şifre ile giriş yapamazsanız, aracı kurum hesabınızın şifresini telefona yazabileceğiniz bir şeyi sıfırlamanıza olanak tanır.

Bordro sistemim (çalıştığım danışmanlık şirketi için) rakamlar gerektirir ve yalnızca rakamlar - bu, kullanıcının arama yapıp yapmadığı (bunu hiç yapmadım) veya web arayüzünü kullanıp kullanmadığı (aynı zamanda bunu kullanıyorum) aynı veritabanını kullanmalarını sağlar. .

Olduğu söyleniyor, ofiste şifremi değiştirme zamanı geldi. Sistem için kabul edilebilir bir parola bulmanın yaklaşık yarım gün alacağını tahmin edeceğim çılgınca kısıtlamaları var: en az 2 büyük harf, en az 2 küçük harf, en az 2 hane (+/- 1 olamaz) önceki parolalardan), en az 2 alfa / sayısal olmayan karakter, son 24 parolanın hiçbiriyle eşleşemez, İngilizce (3 veya daha fazla uzun) bir sözcük olan herhangi bir dize (ileri veya geri) içeremez. ayrıca birkaç dilde bilme yetkim yok). Ben düşünüyorum minimum uzunluğu 10-11 karakterden gibidir.

Karakterleri sınırlamanın bir nedeni, parolanın nasıl girileceğinden kaynaklanıyor olabilir.

Bazı bankalar, örneğin İnternet Bankacılığı web sitelerinde, bir paroladan özel karakterler isteyin ve açılır pencereden uygun karakterleri seçersiniz.

Muhtemelen bunu yaparlar, böylece keylogger'lar tuşa basmayı tespit edemez ve bu yüzden şifrenizi [karakterlerinden] bilir. Biliyorum, bu gibi önlemlerin atlatılabileceği başka yollar da var; keyloggerlara karşı hala etkilidir.

Tüm karakterlere izin vermek zorunda kalırlarsa, açılır kutunun uzunluğu hantal olur ve benzer görünen karakterler arasında karışıklığa da izin verirdi.

Sekme gibi özel karakterlere izin vermemek geçerli olur. Şifreni metin modunda bir sekme karakteri ile açabilir veya değiştirebilirsin ama şifreyi GUI'de veya web ortamında kullanamazsın. Bir ters eğik çizgi karakteri de bazı platformlar arası sorunlar sunacak.

btw uzun parolalar parola değildir - parola cümleleridir. Ortalama kullanıcınız 2Z8d!% G # x'i hatırlayamıyor, ancak 'evcil hayvanımın adı köpeğin adıdır' hatırlayabiliyorlar. Daha uzun metinlerin kaba kuvvetle kırılması daha zordur ve ekrana eklenmiş bir not üzerine yazılması çok daha düşüktür.

İnsanlar yazdıklarında "typos" denilen hatalar yaparlar. Normalde insanlar hatalarını görür ve düzeltir. Şifre girişi için genellikle ne yazdığınızı göremezsiniz ve bu nedenle yazıcınızı düzeltemezsiniz. Farkında olmadan hata yaparsınız, şifrenizi gönderin ve "şifre geçersiz" olarak geri döner. O zaman tekrar dene. O zaman tekrar dene.

Bunu "3 küçük küçük yazım hatası ve sonra kaba kuvvet saldırısından ayırt edilemezsin" olarak düşünebilirsiniz. Sistemler kaba kuvvet saldırılarına karşı nasıl savunur? Açık bir şekilde " Çok fazla deneme yapılır, gider, doğru yapsanız bile giriş yapamazsınız " yanıtını alırsınız. Parola girişindeki üssel olarak artan gecikme, gecikme çok uzun olduğunda tarayıcının zaman aşımına uğrayarak tekrar giriş yapmayı imkansız kılıyor mu? Yaklaşımlar değişkendir, ancak iyi tasarlanmış bir sistemde her zaman bir sonuç vardır.

Bunu "3 küçük küçük yazım hatası ve ardından bir tür hizmet reddi alırsınız" olarak düşünebilirsiniz.

Parola uzunluğu arttıkça yazım hatası riski (ve bu nedenle yetkili bir kişinin erişimini reddetme riski) artar. Yaklaşık 20 karakterden uzun olan herhangi bir şey sık sık yanlış yazılır (kullanıcı akıllı / tembel olmadıkça ve şifrelerini bir yere koyarsa, yazım hatalarını dert etmeden "kopyalayıp yapıştırabilirler", örneğin masaüstünde güzel bir düz metin dosyası gibi " şifreler " .txt ").