Karakterlere izin vermemek ve şifrelerin uzunluğunu sınırlamak için geçerli bir sebep var mı?


39

Parolaların olmasına izin verdikleri uzunluğu sınırlayan ve / veya belirli karakterlere izin vermeyen birkaç site ile karşılaştım. Şifremdeki arama alanını genişletmek ve genişletmek istediğim için bu beni sınırlıyor. Ayrıca bana rahatsızlık yaşamadıklarını da rahatsız ediyor.

Parolalarda üst uzunluk ayarı yapmak veya karakterleri dışlamak için iyi nedenler var mı?


26
Elbette! İnsanların şifrelerini kaba kuvvetle tahmin etmeyi kolaylaştırır! : P
Hayal kırıklığına

4
Geçerli "Teknik" nedenlerden mi, geçerli "İş" nedenlerinden mi bahsediyoruz?
Martin York

1
@ Martin: Teknik düşünüyordum ama sanırım.
chris

11
@JYelton Neden orijinal şifre uzunluğunun ne olduğunu önemsiyorsunuz? Karma her zaman aynı boyutta olacaktır. İnşallah onları düz metinde
saklamamışsındır

Yanıtlar:


27

Hayır

İyi bir sebep yok .

EDIT: İyi bir sebep olmadığını ispat edemem, çünkü birisi olumsuz ispat edemez. Bunun için iyi bir sebep olmadığını düşünebilirim - diğerleri de belirtildiği gibi, karma girişin boyutuna bakılmaksızın aynı boyutta olacak ve geçerli karakterleri ortadan kaldırmak (soru bağlamından) durum alanını azaltır. Cevap, yüzünde açık görünüyor: iyi sebepler yok . Kulağa hoş gelen veya kulağa hoş gelen çok sayıda neden olabilir, ama öyle değil. Olsaydı, birileri onları buraya çoktan gönderirdi ya da burada olmasaydı kesinlikle security.stackexchange.com'da olurdu ve bu cevap çok fazla karşılanamazdı.


3
Katılıyorum, ancak Kissaki'nin kodlama ile ilgili yaptığı yorum geçerli. Bazı yığınlar / programcılar kodlamayı doğru yapamayacak gibi görünüyorlar, çünkü ASCII'yi sınırlandırmak, çalışmasını sağlamak için ucuz bir hack.
edA-qa mort-ora-y 27:11

10
En azından detaylandırmayı deneyebilir misin? Bunu bir gerçek için bilmiyorsunuz ya da ortak / mevcut nedenlerin geçerli olmadığına inanmak için nedenleriniz var. Şüphe duyduğunuzda ve ikincisini varsaydığınızda, bu nedenlerin neden geçerli olmadığını açıklamalısınız .
Aarona,

8
-1 - Belirli bir karakter kümesinde şifreleri sınırlandırmanın birkaç iyi nedenini düşünebilirim. Benzer şekilde, tuşlu telefon şifrelerini ve klavyeyle yazdıklarınızı da desteklemek zorunda kalmak aklınızda bulundurmanız gereken bir durumdur.
rjzii

9
-1. Gerekçe yok, sadece görüş. Eğer bir battaniye ifadesi yapacaksanız, bunu yedekleyin.
Michael K,

4
Bu şimdi meta tartışma sitemizde tartışılıyor : tek kelimeli bir cevabın neden bu kadar popüler olduğunu ve bu gibi cevapların kalitesini arttırmak için neler yapabileceğimizi anlamak faydalı olacaktır.

25

Uzunluğun sınırlandırılması, karma işlemin yürütme zamanını ve aynı zamanda bant genişliğini sınırlamak için bir önlem olabilir (ve her ikisi de yine de gerçekten marjinaldir). Bunun dışında, özellikle güvenlik açısından iyi bir sebep yoktur.

Birisi şöyle diyebilir: “İnsanlar daha uzun şifreleri daha kolay unutacak” - ama bu gerçekten aptalca bir ifade ve hiç de anlamadı.

Karakterlere gelince, gelecekte veri aktarımı ve / veya geçişle ilgili olası kodlama sorunlarının farkında olduğunuz sürece (örneğin, 2 yılda ASCII'den UTF-8'e geçeceksiniz) daha fazla karaktere izin vermek yalnızca parolaların güçlü olması için iyi olabilir.


4
Herhangi bir modern protokol uzunluğunun ek yükü göz önüne alındığında, kesinlikle kesin bir sebep olamaz - sadece belirli saldırıları / saçmalığı önlemek için 1K gibi yüksek bir sınır dışında.
edA-qa mort-ora-y 27:11

3
Karma yürütme süresinin sınırlandırılması genellikle kötüdür. Bir karmanın hesaplanması ne kadar uzun sürerse, kaba kuvvetle o kadar uzun sürer.
tdammers

Bu doğru olmasına rağmen her zaman bir takas. Her zaman en uzun süren en iyi karmayı hesaplamak istemezsiniz. Bu
yüzden

17

Evet , özel karakterlerin bir nedeni var.

Özel karakterlere izin verilmemesi, güvenlikle ilgili olmaktan çok, kullanılabilirlikten daha önemlidir. Her şeyden önce, kodlama problemleriyle uğraşabilirler. İkincisi, her zaman aynı kodlamayı kullanacağınızı garanti etseniz bile, giriş cihazında hala bir sorun var. Aynı klavye düzenine sahip tam klavyeye (çoğu mobil cihazı ortadan kaldıran) sahip olmanıza bağlı olursunuz. Daha sonra sadece diller arasında değil, aynı zamanda işletim sistemleri arasında da farklılık gösterir, Windows, Linux ve OSX için düzenler biraz farklı olabilir. Bu yüzden: gibi bir şifre izin vermemek için iyi bir neden görüyorum √Ω≈ç∫∞§…¬å∑±.


3
kullanıcılarınıza bir şifre sağlamadığınız sürece , yani, kendileri şifreyi girenlerse o zaman bazı garip matematik sembollerini kullanmayı seçtiyseniz, gerçekten onların işidir. Şimdi burada kodlama konusuna katılıyorum, ancak bazı karakterleri keyfi bir şekilde önlemek için gerçek bir iyi nedenden ziyade, radarın yetersizliğini geçmenin daha fazla bir bahane buluyorum.
Newtopian

2
@new: bu onların işi değil. Eğer kendilerini ayaklarından vururlarsa, başvurunuzla ilgili problem olarak algılayacaklar ve desteğinizi arayacaklar.
vartec

7
@ Newtopian: Bir kullanıcı olarak cehalet nedeniyle sınırlandırıldığımdan nefret ediyorum (örneğin, e-posta adresimde "+" belirtememek gibi ). Ancak, bazen, kullanıcılara kendilerini asacakları çok ip kullanmamak iyi bir fikirdir. Bence bu böyle bir durum. Bu, bazı karakterleri engellemek için "keyfi bir şekilde" ilgili değil.
Zano

1
Demek Yunanlıları, Arapları, Çinlileri ve diğerlerini savunan ABD-ASCII mi?
l0b0

@ l0: hayır, bazı mizanpajlarda bulunmayan bazı özel karakterler yerine, dillerinde normal, yaygın olarak kullanılan karakterleri kullandıklarını savunuyorum.
vartec

13

Chase müşterileri şifrelerinin büyük / küçük harf duyarlı olduğunu keşfettiğinde, birkaç yıl önce güvenlik dünyasında bir tartışma yaşandı. Web sayfalarının, 30 yıllık eski OS / 400 arka uç sisteminin ön yüzü olduğunu ve bunun da görmezden geldiğine dair teknik bir sınırlaması olduğunu ortaya koydu. Bunu düzeltmek görünüşte milyonlarca dolara mal olacak.

Mesele şu ki, belirli bir süre boyunca şifrelere izin vermemek için pahalı eski sebepler olabilir.
(Bu bahaneyi kandırmayacağımı unutmayın ...)


1
bu sadece sürece iyi yatan sistem ilk etapta böyle bir kısıtlama yapacak yalnızca hiçbir şekilde sınır şifre sebebi ....
Newtopian

8

Çoğu banka, BT departmanı, vb. Maksimum şifre kısıtlaması uygulayanlar bunu teknik nedenlerden dolayı yapmazlar. Parolanın nasıl çalıştığının ve karmaşık parolaların nasıl depolanacağının mükemmel bir şekilde farkındalar. Bu sınırlamaları koyarlar çünkü şifrelerini unutturan insanlara destek çağrılarını azaltır. Bu tür bir sınırlama uygulamak için iyi bir neden mi? Hiçbir şekilde. Fakat yine de, asıl sebep budur.


1
Destek çağrılarını azalttığını görüyorum valid Business reason(Şahsen bir korelasyon olduğuna inanmıyorum)
Martin York

2
Peki, şifreleri sıfırlamaya devam etmenin veya kullanıcıları hatırlaması kolay olan yeterince karmaşık şifrelerin nasıl seçileceği konusunda eğitmenin başka yolları da vardır. İş yerindeki son birkaç şifrem> 25 karakterden oluşuyordu ve onları hatırlamakta hiç zorlanmamıştım. Ayrıca, muhtemelen, uzun şifrelerini hatırlamakta güçlük çeken insanlar daha kısa şifreler seçeceklerdir, ancak bunun ne kadar sıklıkla doğru olduğu hakkında hiçbir fikrim yok. Destek çağrılarını azaltmak, yüzeyde geçerli bir ticari neden gibi gözüküyor, ancak şifre uzunluğunu sınırlamak için hala kötü bir neden.
Greg Jackson,

1
Sanırım (ve pek çok insanın) çıktıyı neredeyse imkansız görmeden 25 karakter yazmayı (sadece hatırlamıyorum) doğru bulacağını düşünüyorum. Bunu yazarken şimdiye kadar 5 yazım hatası düzelttim!
Gerry

Unutma, yazmakla aynı değil. Bunları nasıl seçeceğinizi biliyorsanız, uzun şifreleri hatırlamak çok kolaydır; hikayelerden, oyunlardan veya şiirlerin veya şarkı sözlerinin bölümlerinden satırları seçmeniz yeterli. Orada bir veya iki şeyi değiştirdiğiniz sürece (kasıtlı yazım hataları, bir kelimeyi onun gibi ses çıkaran veya aynı şey anlamına gelen bir şeyle değiştirirseniz), oldukça kolay ve son derece güvenlidir. Doğru, yazmak zor olabilir, ancak bankaların sizi 8/10/12 karakterden daha az yazmaya zorlamaları için mazeret yok.
Greg Jackson

bir mobil cihazda bu 25 harfli şifreyi yazmaya çalışın
Lie Ryan

7

Giriş aygıtlarının tümü (donanım bakımından) çoğu zaman tam bir klavyenin sahip olduğu karakterlere veya benzerlerine sahip değildir. Eğer biri şifre yöneticisi kullanmıyorsa, kişi böyle bir şifreyi girerken sorun yaşayabilir, değil mi? Ve Unicode hala standart olmaktan çok uzaktır (çok uzak).


1
Genellikle şifreler giren kişiler aynı donanımı (veya donanım sınıfını), bunları oluşturmak ve doğrulamak için kullanırlar. Bunun karakter kümelerini veya uzunlukları sınırlamada nasıl bir argüman olduğunu anlamıyorum. Unicode'a gelince, sunucu tarafı oluştururken (onaylayan bölüm) neden boyut veya karakter kümelerini sınırlandırıyorsunuz? Şifre girmesi gereken herhangi bir sistem, sistemde bu şifrenin nasıl girildiğini kontrol edebilmelidir, bu nedenle, eğer müşteriniz için unicode gerektiriyorsa, o zaman olsun, öyle olsun!
Newtopian

@ Newtopian Eski sistemlerle veya kontrolünüz dışındaki sistemler ile arabirim yapmanız gerekmediğini varsayıyorsunuz.
grahamp,

1
onlar istedi iyi bu bir değil, bir nedenle iyi bir neden

2
@ Jarrod - Parola girememek iyi bir neden değil mi ?! Her durumda, daha iyi bir tane (veya herhangi bir şekilde) geldiğini görmedim.
Rook

3
Eğer bunu bir yapmaz bir cihaz, onları Açamadığım bilsen bu karakterleri kullanmamalıydım @Rook iyi herkes için onları sınırlamak için bir neden, bunun bir hale getirir iyi bir neden sizi için bizzat bunları kullanmak için değil.

7

Parolalarda üst uzunluk belirlemek veya karakterleri dışlamak için iyi nedenler var mı?

Bir tahmin yapacağım ve bu kısıtlamaların bazılarının & < > #korsanları uzak tutmak için web sitelerinde ( ) karakter filtrelemesinden kaynaklandığını söyleyeceğim . Diğerleri sivri saçlı patronların komitelerinden çıkan kemik kafalı fikirlerdir.

Ben gerçekten aptalca bir takım (bence) "güvenlik" kararları ile karşılaştım. Örnek olarak, büyük bir yatırım şirketi IRA hesaplarımı ve emekli maaşımı ele alıyor. Yapabilmek için herhangi telefonda benim şifresini yazmanız beni gerektirir emeklilik temas (aksi takdirde onları ulaşamaz). Aracılık / İRA hesabım harfleri (büyük ve küçük harf) ve bazı noktalama işaretlerini kullanır - bu karakterlerden hiçbiri bir telefon numara defterinde görünmez. Telefonla şifre ile giriş yapamazsanız, aracı kurum hesabınızın şifresini telefona yazabileceğiniz bir şeyi sıfırlamanıza olanak tanır.

Bordro sistemim (çalıştığım danışmanlık şirketi için) rakamlar gerektirir ve yalnızca rakamlar - bu, kullanıcının arama yapıp yapmadığı (bunu hiç yapmadım) veya web arayüzünü kullanıp kullanmadığı (aynı zamanda bunu kullanıyorum) aynı veritabanını kullanmalarını sağlar. .

Olduğu söyleniyor, ofiste şifremi değiştirme zamanı geldi. Sistem için kabul edilebilir bir parola bulmanın yaklaşık yarım gün alacağını tahmin edeceğim çılgınca kısıtlamaları var: en az 2 büyük harf, en az 2 küçük harf, en az 2 hane (+/- 1 olamaz) önceki parolalardan), en az 2 alfa / sayısal olmayan karakter, son 24 parolanın hiçbiriyle eşleşemez, İngilizce (3 veya daha fazla uzun) bir sözcük olan herhangi bir dize (ileri veya geri) içeremez. ayrıca birkaç dilde bilme yetkim yok). Ben düşünüyorum minimum uzunluğu 10-11 karakterden gibidir.


Evet, listede olmayan karakterleri gördüm.
chris

5
Basit saldırı: Klavyelerin altında yapışkan notlar bulun çünkü kimse şifresini hatırlayamıyor.
JeffO,

@Jeff, bu doğru. Defterimi evde bırakırsam, şifreler hatırlamak için çok karmaşık, bu yüzden giriş yapamıyorum. Bordro sistemine kullanıcı adı ve şifreyi yer iminin bir parçası olarak koydum.
Tangurena,

"İngilizce'de bir kelime (3 veya daha fazla harf uzunluğunda) olan herhangi bir dize (ileri veya geri) içeremez" Bu beni yakaladı. Parola tam kelimeler içeriyorsa sözlük saldırıları etkili değildir , ancak parolanın tamamı tam kelimelerden başka bir şey içermiyorsa ... Gerçekten bir tam kelime veya çok genel ifadeler. Yazmadan kullanmak en pratik şifreler, kitaplardan, şiirlerden, şarkı sözlerinden, vb. Gelen şifrelerdir - birkaç harften sayıları değiştirir, bir şeyi yanlış heceler ve tahmin edilemez şekilde büyük harfle yazılır ve hiç kimse bu şifreyi kıramaz.
Greg Jackson,

1
Karakter filtreleme, arka planda denenmemiş çöp kodunun kesin bir işaretidir. Geliştiricilerin iplerden kaçmayı öğrenmeleri gerekir.
l0b0

5

Karakterleri sınırlamanın bir nedeni, parolanın nasıl girileceğinden kaynaklanıyor olabilir.

Bazı bankalar, örneğin İnternet Bankacılığı web sitelerinde, bir paroladan özel karakterler isteyin ve açılır pencereden uygun karakterleri seçersiniz.

Muhtemelen bunu yaparlar, böylece keylogger'lar tuşa basmayı tespit edemez ve bu yüzden şifrenizi [karakterlerinden] bilir. Biliyorum, bu gibi önlemlerin atlatılabileceği başka yollar da var; keyloggerlara karşı hala etkilidir.

Tüm karakterlere izin vermek zorunda kalırlarsa, açılır kutunun uzunluğu hantal olur ve benzer görünen karakterler arasında karışıklığa da izin verirdi.


1
Elbette (teknik) insanlar yine de mektubu yazabilir mi?
Gerry

@Gerry - bu mutlak bir standarttan ziyade tarayıcıya özgü bir davranış ve aynı zamanda uygulanabilir hale getirmek için kullanıcı bilgisine de bağlı.
Jon Hopkins

Bankam da benzer bir nedenden dolayı bir klavyenin açılır uygulamasını kullandı. Ancak, erişilmesi zordu ve erişilemez olduğu için çok fazla eleştirildi (ekran okuyucular, alternatif girdiler için işe yaramadı)
jqa

1
@Jon - Teknik insanlar dedim ve standart Windows davranışı olduğu için en azından ilk karakter eşleşmesini uygulamayan herhangi bir Windows tarayıcısı bilmiyorum - Mac ve * nix için konuşamıyorum
Gerry

1
@Gerry Android telefonumdaki tarayıcı buna izin vermiyor. Bir çok mobil cihaz için aynı olacağını umuyorum.
RoundTower

2

Sekme gibi özel karakterlere izin vermemek geçerli olur. Şifreni metin modunda bir sekme karakteri ile açabilir veya değiştirebilirsin ama şifreyi GUI'de veya web ortamında kullanamazsın. Bir ters eğik çizgi karakteri de bazı platformlar arası sorunlar sunacak.

btw uzun parolalar parola değildir - parola cümleleridir. Ortalama kullanıcınız 2Z8d!% G # x'i hatırlayamıyor, ancak 'evcil hayvanımın adı köpeğin adıdır' hatırlayabiliyorlar. Daha uzun metinlerin kaba kuvvetle kırılması daha zordur ve ekrana eklenmiş bir not üzerine yazılması çok daha düşüktür.


Ayrıca bakınız: xkcd.com/936
sergut

0

İnsanlar yazdıklarında "typos" denilen hatalar yaparlar. Normalde insanlar hatalarını görür ve düzeltir. Şifre girişi için genellikle ne yazdığınızı göremezsiniz ve bu nedenle yazıcınızı düzeltemezsiniz. Farkında olmadan hata yaparsınız, şifrenizi gönderin ve "şifre geçersiz" olarak geri döner. O zaman tekrar dene. O zaman tekrar dene.

Bunu "3 küçük küçük yazım hatası ve sonra kaba kuvvet saldırısından ayırt edilemezsin" olarak düşünebilirsiniz. Sistemler kaba kuvvet saldırılarına karşı nasıl savunur? Açık bir şekilde " Çok fazla deneme yapılır, gider, doğru yapsanız bile giriş yapamazsınız " yanıtını alırsınız. Parola girişindeki üssel olarak artan gecikme, gecikme çok uzun olduğunda tarayıcının zaman aşımına uğrayarak tekrar giriş yapmayı imkansız kılıyor mu? Yaklaşımlar değişkendir, ancak iyi tasarlanmış bir sistemde her zaman bir sonuç vardır.

Bunu "3 küçük küçük yazım hatası ve ardından bir tür hizmet reddi alırsınız" olarak düşünebilirsiniz.

Parola uzunluğu arttıkça yazım hatası riski (ve bu nedenle yetkili bir kişinin erişimini reddetme riski) artar. Yaklaşık 20 karakterden uzun olan herhangi bir şey sık sık yanlış yazılır (kullanıcı akıllı / tembel olmadıkça ve şifrelerini bir yere koyarsa, yazım hatalarını dert etmeden "kopyalayıp yapıştırabilirler", örneğin masaüstünde güzel bir düz metin dosyası gibi " şifreler " .txt ").

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.