Tôi đã đi qua khá nhiều trang web giới hạn độ dài mà chúng cho phép mật khẩu và / hoặc không cho phép một số ký tự nhất định. Điều đó giới hạn với tôi khi tôi muốn mở rộng và kéo dài không gian tìm kiếm mật khẩu của mình. Nó cũng mang lại cho tôi cảm giác khó chịu rằng họ có thể không bị băm.

Có tốt lý do cho một trong hai thiết lập chiều dài trên hoặc không bao gồm ký tự trong mật khẩu?

Không

Không có tốt lý do.

EDIT: Tôi không thể chứng minh rằng không có lý do chính đáng, bởi vì người ta không thể chứng minh điều tiêu cực. Tôi có thể nghĩ rằng không có lý do chính đáng nào cho việc này - như những người khác đã chỉ ra, hàm băm sẽ có cùng kích thước bất kể kích thước của đầu vào và loại bỏ các ký tự hợp lệ (khỏi ngữ cảnh câu hỏi) chỉ làm giảm không gian trạng thái. Câu trả lời dường như rõ ràng trên khuôn mặt của nó: không có lý do chính đáng. Có thể có một số lượng lớn lý do nghe có vẻ tốt hoặc có vẻ tốt, nhưng chúng không phải là. Nếu đúng như vậy, ai đó đã đăng chúng ở đây hoặc nếu không có ở đây thì chắc chắn trên security.stackexchange.com, và câu trả lời này sẽ không được đánh giá quá cao.

Giới hạn độ dài có thể là một biện pháp để giới hạn thời gian thực hiện băm cũng như giới hạn băng thông (và cả hai đều thực sự không đáng kể). Ngoài ra, không có lý do chính đáng, đặc biệt là từ quan điểm bảo mật.

Người ta có thể nói: Người dân sẽ quên mật khẩu dài hơn dễ dàng hơn - nhưng đó thực sự là một tuyên bố ngu ngốc và hoàn toàn không đi đến điểm chính.

Đối với các ký tự, miễn là bạn nhận thức được các vấn đề mã hóa tiềm ẩn với việc truyền và / hoặc di chuyển dữ liệu trong tương lai (ví dụ: bạn sẽ chuyển từ ASCII sang UTF-8 trong 2 năm), cho phép nhiều ký tự chỉ có thể tốt cho cường độ mật khẩu.

Vâng , có một lý do cho các nhân vật đặc biệt.

Không cho phép các ký tự đặc biệt là nhiều thứ có thể sử dụng hơn là liên quan đến bảo mật. Trước hết họ có thể bị sai sót bởi các vấn đề mã hóa. Thứ hai, ngay cả khi bạn đảm bảo luôn sử dụng cùng một mã hóa, vẫn có vấn đề về thiết bị đầu vào. Bạn sẽ tùy thuộc vào việc có bàn phím đầy đủ (loại bỏ hầu hết các thiết bị di động), với cùng bố cục bàn phím. Sau này khác nhau không chỉ giữa các ngôn ngữ, mà còn giữa các hệ điều hành, bố cục cho Windows, Linux và OSX có thể khác nhau một chút. Vì vậy, tôi thấy lý do chính đáng để không cho phép mật khẩu như : √Ω≈ç∫∞§…¬å∑±.

Có một chút tranh cãi trong thế giới bảo mật vài năm trước, khi khách hàng của Chase phát hiện ra rằng mật khẩu của họ không phân biệt chữ hoa chữ thường. Hóa ra trang web của họ chỉ là tiền đề của một hệ thống phụ trợ OS / 400 30 tuổi, có một hạn chế về mặt kỹ thuật mà nó đã bỏ qua trường hợp này. Sửa chữa điều này rõ ràng sẽ tốn hàng triệu đô la.

Vấn đề là, có thể có những lý do di sản đắt tiền cho việc không cho phép mật khẩu trong một độ dài nhất định.
(Lưu ý rằng tôi không bỏ qua lý do này ...)

Hầu hết các ngân hàng, bộ phận CNTT, v.v ... Ai thực thi các hạn chế mật khẩu tối đa không làm như vậy vì lý do kỹ thuật. Họ hoàn toàn nhận thức được cách băm mật khẩu hoạt động và cách lưu trữ mật khẩu phức tạp. Họ áp đặt những hạn chế này vì nó làm giảm số lượng cuộc gọi để hỗ trợ cho những người đã quên mật khẩu. Đây có phải là một lý do tốt để áp đặt loại hạn chế đó? Bằng không có nghĩa. Nhưng, tuy nhiên, nó là lý do chính.

Không phải tất cả các thiết bị đầu vào (thông minh về phần cứng) thường có tất cả các ký tự mà bàn phím đầy đủ có hoặc tương tự. Nếu một người không sử dụng trình quản lý mật khẩu, người ta có thể thấy mình gặp rắc rối khi nhập mật khẩu đó, phải không? Và Unicode vẫn còn là một cách xa (rất xa) là một tiêu chuẩn.

Có lý do chính đáng nào cho việc đặt độ dài trên hoặc loại trừ các ký tự trong mật khẩu không?

Tôi sẽ đoán và nói rằng một số hạn chế này là do lọc ký tự trên trang web của họ ( & < > #) để ngăn chặn tin tặc. Trong khi những người khác là những ý tưởng xương đầu xuất phát từ ủy ban của những ông chủ tóc nhọn.

Tôi đã gặp một số quyết định "bảo mật" thực sự ngu ngốc (theo ý kiến ​​của tôi). Ví dụ, một công ty đầu tư lớn xử lý các tài khoản IRA cũng như lương hưu của tôi. Để thực hiện bất kỳ liên hệ nào với lương hưu yêu cầu tôi nhập mật khẩu của mình trên điện thoại (bạn không thể liên lạc với họ bằng cách khác). Tài khoản môi giới / IRA của tôi sử dụng các chữ cái (chữ hoa và chữ thường) cũng như một số dấu câu - không có ký tự nào trong số này xuất hiện trên một bảng số điện thoại. Nếu bạn không thể đăng nhập bằng mật khẩu qua điện thoại, nó sẽ cho phép bạn đặt lại mật khẩu của tài khoản môi giới của mình thành thứ bạn có thể nhập qua điện thoại.

Hệ thống bảng lương của tôi (đối với công ty tư vấn tôi làm việc) yêu cầu số và chỉ số - điều này cho phép họ sử dụng cùng một cơ sở dữ liệu cho dù người dùng gọi (tôi chưa bao giờ thực hiện việc này) hoặc sử dụng giao diện web (tôi chỉ sử dụng giao diện web này) .

Điều đó đang được nói, đã đến lúc thay đổi mật khẩu của tôi tại văn phòng. Họ có những hạn chế điên rồ đến mức tôi ước tính sẽ mất khoảng nửa ngày để tìm mật khẩu được hệ thống chấp nhận: ít nhất 2 chữ cái viết hoa, ít nhất 2 chữ cái viết thường, ít nhất 2 chữ số (không thể là +/- 1 từ mật khẩu trước đó), ít nhất 2 ký tự không phải là alpha / không phải số, không thể khớp với bất kỳ 24 mật khẩu cuối cùng nào, không thể chứa bất kỳ chuỗi nào (chuyển tiếp hoặc ngược lại) là một từ (dài 3 chữ cái trở lên) bằng tiếng Anh ( còn một vài ngôn ngữ khác tôi không có giải phóng mặt bằng để biết). Tôi nghĩ độ dài tối thiểu là 10-11 ký tự.

Một lý do để giới hạn các ký tự sẽ là do cách nhập mật khẩu.

Ví dụ, một số ngân hàng, với các trang web Internet Banking của họ, hãy yêu cầu các ký tự cụ thể từ mật khẩu và bạn chọn các ký tự phù hợp thông qua hộp thả xuống.

Họ làm điều này, có lẽ, để các keylogger có thể phát hiện ra phím bấm và do đó biết [ký tự từ] mật khẩu của bạn. Trong khi tôi biết rằng có nhiều cách khác mà các biện pháp như vậy có thể bị phá vỡ, ví dụ như screencapture; nó vẫn hiệu quả đối với keylogger.

Nếu họ phải cho phép tất cả các ký tự, thì độ dài của hộp thả xuống sẽ trở nên cồng kềnh và cũng cho phép nhầm lẫn giữa các ký tự trông tương tự.

Không cho phép các ký tự đặc biệt như tab sẽ hợp lệ. Bạn có thể đăng nhập hoặc thay đổi mật khẩu bằng thẻ char ở chế độ văn bản nhưng bạn không thể sử dụng nó trong GUI hoặc môi trường web. Một char dấu gạch chéo ngược cũng sẽ trình bày một số vấn đề đa nền tảng.

btw mật khẩu dài không phải là mật khẩu - chúng là mật khẩu. Người dùng trung bình của bạn không thể nhớ 2Z8d!% G # x nhưng họ có thể nhớ 'tên thú cưng của tôi là fido con chó'. Văn bản dài hơn khó bị bẻ khóa thông qua lực lượng vũ phu và ít có khả năng được viết trên một ghi chú gắn trên màn hình.

Khi mọi người gõ họ mắc lỗi, được gọi là "lỗi chính tả". Thông thường mọi người nhìn thấy sai lầm của họ và sửa chữa chúng. Để nhập mật khẩu thường bạn không thể thấy những gì bạn đã nhập và do đó bạn không thể sửa lỗi chính tả của mình. Bạn mắc lỗi mà không nhận ra, gửi mật khẩu và nó trở lại là "mật khẩu không hợp lệ". Sau đó, bạn thử lại. Sau đó, bạn thử lại.

Bạn có thể nghĩ về nó như là "3 lỗi chính tả nhỏ và sau đó bạn không thể phân biệt được với một cuộc tấn công vũ phu". Làm thế nào để các hệ thống bảo vệ chống lại các cuộc tấn công vũ phu? Một câu trả lời rõ ràng " Quá nhiều lần thử, biến mất, bạn sẽ không thể đăng nhập ngay cả khi bạn hiểu đúng "? Tăng chậm theo cấp số nhân khi nhập mật khẩu dẫn đến hết thời gian chờ của trình duyệt khi độ trễ quá dài, khiến bạn không thể thử đăng nhập lại? Phương pháp tiếp cận khác nhau, nhưng luôn có một hệ quả trong một hệ thống được thiết kế tốt.

Bạn có thể nghĩ về nó như là "3 lỗi chính tả nhỏ và sau đó bạn nhận được một số loại từ chối dịch vụ".

Khi độ dài mật khẩu làm tăng nguy cơ lỗi chính tả (và do đó, nguy cơ từ chối quyền truy cập của người được ủy quyền) sẽ tăng lên. Bất cứ điều gì dài hơn khoảng 20 ký tự sẽ bị nhầm lẫn thường xuyên (trừ khi người dùng thông minh / lười biếng và lưu trữ mật khẩu của họ ở đâu đó để họ có thể "sao chép và dán" mà không phải lo lắng về lỗi chính tả, như một tệp văn bản đơn giản trên máy tính để bàn của họ được gọi là " mật khẩu .txt ").