Soll ich Passwörter maximal verlängern?
Kann ich verstehen, dass die Verhängung einer Mindestlänge für Kennwörter viel Sinn macht (zum speichern von Anwender selbst aus), aber meine bank ist eine Anforderung, die Passwörter sind zwischen 6 und 8 Zeichen lang sein, und ich begann mich zu Fragen,...
- Würde das nicht nur machen es einfacher für brute-force-Attacken? (Schlecht)
- Bedeutet das, dass mein Passwort wird unverschlüsselt gespeichert? (Schlecht)
Wenn jemand mit (hoffentlich) einige gute IT-security-Experten, die für Sie tätig sind, die Einführung einer max Passwort Länge, sollte ich denken Sie dabei ähnlich? Was sind die vor - /Nachteile von diesem?
InformationsquelleAutor der Frage nickf | 2008-09-19
Du musst angemeldet sein, um einen Kommentar abzugeben.
Passwörter sind gehasht, 32, 40, 128, beliebige Länge. Der einzige Grund für eine Mindestlänge, um zu verhindern, dass leicht zu erratende Passwörter. Es gibt keinen Zweck, für eine maximale Länge.
Den obligatorischen XKCD zu erklären, warum Sie tun, Ihre Nutzer einen schlechten Dienst, wenn Sie verhängen eine max Länge:
InformationsquelleAutor der Antwort epochwolf
Einer maximalen Länge angegeben, die auf einer Passwort-Feld sollte gelesen werden als SICHERHEIT WARNUNG:
Jeder vernünftige, Sicherheit bewusst Benutzer müssen das Schlimmste annehmen und erwarten, dass diese Webseite Ihr Kennwort zu speichern wörtlich (also nicht der Hash, wie erläutert durch epochwolf).
Dass das der Fall ist:
(a) vermeiden Sie die Verwendung dieser Website, wie die Pest, wenn möglich [Sie wissen offensichtlich Muttern zur Sicherheit]
(b) wenn Sie die Website nutzen, stellen Sie sicher, dass Ihr Passwort ist einzigartig - anders als alle Passwörter, die Sie an anderer Stelle verwenden.
Wenn Sie die Entwicklung einer Website, die akzeptiert Passwörter, NICHT so ein dummes Kennwort beschränken, es sei denn, Sie möchten Holen Sie geteert mit der gleichen Bürste.
[Intern natürlich der code kann nur behandeln die ersten 256/1028/2k/4k(was auch immer) bytes als "erheblich" zu vermeiden Knirschen auf Mammut-Passwörter.]
InformationsquelleAutor der Antwort tardate
So dass für völlig unbegrenzte Kennwort-Länge hat einen großen Nachteil, wenn Sie akzeptieren, dass das Passwort aus nicht vertrauenswürdigen Quellen.
Den Absender versuchen könnten, um Ihnen so ein möglichst langes Passwort, dass das Ergebnis ein denial-of-service für andere Menschen. Zum Beispiel, wenn Sie das Passwort 1 GB Daten, und Sie verbringen all Ihre Zeit akzeptieren Sie es, bis Sie genügend Arbeitsspeicher zur Verfügung. Nehmen wir nun an diese person sendet Sie dieses Kennwort so oft wie Sie bereit sind zu akzeptieren. Wenn Sie nicht vorsichtig über die anderen beteiligten Parameter dies könnte zu einem DoS-Angriff.
Einstellung der oberen Grenze für so etwas wie 256 chars scheint, allzu großzügig mit den heutigen standards.
InformationsquelleAutor der Antwort Jason Dagit
Ersten, nicht davon ausgehen, dass die Banken über gute IT-security-Experten arbeiten für Sie. Viel nicht.
Gesagt, maximale Länge des Passworts ist wertlos. Es erfordert oft den Benutzer ein neues Kennwort zu erstellen (Argumente über den Wert der Verwendung verschiedener Passwörter auf jeder Website, die beiseite für den moment), das erhöht die Wahrscheinlichkeit, dass Sie nur schreiben Sie Sie auf. Es auch erhöht die Anfälligkeit für Angriff, indem man jeden Vektor aus brute force, social engineering.
InformationsquelleAutor der Antwort Sparr
Maximale Länge des Passworts Grenze ist nun entmutigt durch die OWASP Authentication Cheat Sheet
https://www.owasp.org/index.php/Authentication_Cheat_Sheet
Zitieren des ganzen Absatzes:
InformationsquelleAutor der Antwort kravietz
Einem Grund den ich mir vorstellen kann, die für die Durchsetzung einer maximalen Passwort-Länge ist, wenn die frontend-Schnittstelle muss mit vielen legacy-system-backends, von denen selbst erzwingt eine maximale Passwort-Länge.
Anderen Denkprozess könnte sein, dass wenn ein Benutzer gezwungen wird zu gehen, mit einem kurzen Passwort sind Sie wahrscheinlicher, Sie zu erfinden zufällige Kauderwelsch als eine leicht zu erraten ist (von Ihren Freunden/Familie) catch-phrase-oder Spitznamen. Dieser Ansatz ist natürlich nur wirksam, wenn die frontend erzwingt mischen zahlen/Buchstaben und lehnt Passwörter, die haben alle Wörterbuch Wörter einschließlich Wörter, geschrieben in l33t-speak.
InformationsquelleAutor der Antwort mbac32768
Einer potenziell triftigen Grund für die Verhängung einer maximalen Passwort-Länge ist, dass der Prozess der Vermischung (durch die Verwendung von eine langsame Hash-Funktion, wie z.B. bcrypt) nimmt zu viel Zeit; etwas, das missbraucht werden könnte, um zum ausführen eines DOS-Angriff gegen den server.
Dann wieder, der Server sollte so konfiguriert sein, automatisch drop-request-Handler, die zu lange dauern. Also ich bezweifle, das wäre wirklich ein problem.
InformationsquelleAutor der Antwort AardvarkSoup
Ich denke, du hast sehr Recht auf beide Punkte. Wenn Sie speichern die Passwörter gehasht werden, wie Sie sollten, dann Passwort-Länge wirkt sich nicht auf deren DB-schema zu löschen. Mit einem open-ended-Passwort-Länge wirft eine weitere variable, die eine brute-force-Angreifer hat zu entfallen.
Es ist schwer zu sehen, keine Entschuldigung für die Beschränkung der Passwort-Länge, neben schlechtem design.
InformationsquelleAutor der Antwort Lucas Oman
Der einzige Vorteil, den ich sehen kann, um eine maximale Länge des Passworts sein würde, um zu beseitigen die Gefahr eines buffer-overflow-Angriff durch ein übermäßig langes Passwort, aber es gibt viel bessere Möglichkeiten, um diese situation meistern.
InformationsquelleAutor der Antwort DrStalker
Speicher Billig ist, warum beschränken Sie die Länge des Passworts. Selbst wenn Sie verschlüsseln des Kennworts im Gegensatz zu hashing es eine 64-Zeichen-string ist nicht zu viel mehr nehmen als ein 6-Zeichen-string zu verschlüsseln.
Chancen sind das bank-system ist die überlagerung eines älteren Systems so waren Sie nur in der Lage, zu erlauben, eine bestimmte Menge an Speicherplatz für das Passwort.
InformationsquelleAutor der Antwort LizB
Meine bank tut dies auch. Es verwendet, um ein beliebiges Passwort, und ich hatte eine 20 Zeichen ein. Eines Tages habe ich es geändert und siehe da es gab mir ein maximum von 8, und geschnitten hatte aus nicht-alphanumerischen Zeichen, die waren in meinem alten Passwort. Nicht machen keinen Sinn für mich.
Alle back-end-Systemen, die bei der bank arbeitete, bevor, wenn ich mit meiner 20 char Passwort nicht mit alpha-numerics, also legacy support kann nicht der Grund dafür gewesen sein. Und selbst wenn es war, Sie sollten dennoch können Sie beliebige Kennwörter, und dann eine hash passt, dass die Anforderungen der legacy-Systeme. Besser noch, Sie sollten fix die legacy-Systeme.
Einen smart-card-Lösung würde nicht gut gehen mit mir. Ich habe schon zu viele Karten, wie es ist... ich brauche nicht noch so ein gimmick.
InformationsquelleAutor der Antwort Vincent McNabb
Wenn Sie akzeptieren eine beliebige Größe Passwort, dann geht man davon, dass es immer abgeschnitten, um einen Vorhang Länge aus performance-Gründen, bevor es gehasht ist. Das Problem mit der abgeschnitten ist, wie Sie Ihre server-Leistung erhöht die im Laufe der Zeit können Sie nicht ohne weiteres erhöhen der Länge vor dem abschneiden als hash-Wert würde deutlich anders sein. Natürlich könnte man auch eine übergangszeit, wo beide Längen sind gehasht und überprüft, aber dies verbraucht mehr Ressourcen.
InformationsquelleAutor der Antwort User
Sollte es sein, eine maximale Länge? Dies ist ein neugierig Thema in ES in dass längere Passwörter sind in der Regel schwerer zu merken, und daher eher aufgeschrieben (eine GROßE no-no für offensichtliche Gründe). Längere Passwörter neigen auch dazu, zu vergessen, was zwar nicht unbedingt ein Sicherheitsrisiko, kann dazu führen, administrativen ärger, verlorene Produktivität, etc. Admins, die glauben, dass diese Themen drücken wahrscheinlich zu verhängen, um die maximale Länge für Kennwörter.
Ich persönlich glaube, auf diese spezifische Frage, zu jedem Benutzer eine eigene. Wenn Sie denken, dass Sie sich erinnern können, ein 40-Zeichen-Kennwort, dann alle die mehr Leistung für Sie!
Having said that, obwohl, Passwörter sind schnell zu einem veralteten Modus der Sicherheit, Smartcards und zertifikatsbasierte Authentifizierung als sehr schwierig bis unmöglich für brute-force, wie Sie angegeben ist, ist ein Problem, und nur einen öffentlichen Schlüssel muss gespeichert werden, auf dem server mit dem privaten Schlüssel auf Ihrer Karte/- computer zu allen Zeiten.
InformationsquelleAutor der Antwort tekiegreg
Längere Passwörter oder pass-Phrasen, sind schwerer zu knacken, das einfach auf die Länge und leichter zu merken als das erfordert ein Komplexes Kennwort.
Wahrscheinlich am besten, um für eine ziemlich lange (10+) minimale Länge, die die Länge nutzlos.
InformationsquelleAutor der Antwort benPearce
Legacy-Systemen (bereits erwähnt) oder Schnittstellen externe Anbieter Systeme könnte eine der 8-Zeichen-cap. Es könnte auch ein fehlgeleiteter Versuch zu speichern der Anwender selbst aus. Die Begrenzung, dass es Mode wird, ergeben sich zu viele pssw0rd1, pssw0rd2, etc. Passwörter im system.
InformationsquelleAutor der Antwort Chuck
Einen Grund Passwörter nicht gehasht ist das Authentifizierungs-Algorithmus verwendet. Zum Beispiel, einige digest-algorithmen erfordert eine Klartext-version des Kennworts auf dem server als Authentifizierungs-Mechanismus beinhaltet sowohl die client-und die server, die die gleiche Mathematik, die auf das eingegebene Passwort (welches in der Regel nicht die gleiche Ausgabe erzeugen jedes mal, wie das Passwort ist in Kombination mit einem zufällig generierten 'nonce', die gemeinsam zwischen den beiden Maschinen).
Oft diese können gestärkt werden, wie die digest kann ein Teil berechnet, in einigen Fällen, aber nicht immer. Eine bessere route ist für das Kennwort gespeichert werden, mit umkehrbarer Verschlüsselung - das bedeutet dann die Anwendung, die Quellen geschützt werden müssen, wie Sie enthalten den Schlüssel der Verschlüsselung.
Digst auth ist es zu ermöglichen die Authentifizierung über anderweitig nicht-verschlüsselte Kanäle. Wenn Sie SSL oder eines anderen voll-Kanal-Verschlüsselung, dann gibt es keine Notwendigkeit, digest-auth-Mechanismen, d.h. Passwörter können gespeichert werden Hash-statt (wie Passwörter verschickt werden konnten Klartext über den Draht sicher (für einen gegebenen Wert von sicher).
InformationsquelleAutor der Antwort Chris J
Versuchen Sie nicht zu verhängen eine Einschränkung, wenn dies notwendig ist. Seien Sie gewarnt: es könnte und wird notwendig sein, eine Menge von verschiedenen Fällen. Der Umgang mit legacy-Systemen ist einer dieser Gründe. Stellen Sie sicher, testen Sie bei sehr langen Passwörtern (kann Ihr system befassen sich mit 10MB lange Passwörter?). Sie kann in die Denial-of-Service (DoS) - Probleme, weil der Schlüssel Defivation Funktionen (KDF), die Sie verwenden werden (in der Regel PBKDF2, bcrypt, scrypt) dauert viel Zeit und Ressourcen. Beispiel aus der Praxis: http://arstechnica.com/security/2013/09/long-passwords-are-good-but-too-much-length-can-be-bad-for-security/
InformationsquelleAutor der Antwort Marek Puchalski
Ignorieren Sie die Menschen, die sagen, nicht zu validieren, lange Passwörter. Owasp-wörtlich sagt, dass 128 chars sollten genug sein. Nur, um genug Atem Raum, den Sie geben können, ein bisschen mehr sagen, 300, 250, 500, wenn Sie Lust dazu haben.
https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Password_Length
InformationsquelleAutor der Antwort commonSenseCode
Nur 8 char lange Passwörter Klang einfach falsch. Wenn es sollte ein limit, dann atleast 20 char bessere Idee.
InformationsquelleAutor der Antwort user17000
Ich denke, die einzige Grenze, die angewendet werden sollte, ist wie ein 2000 Brief-limit, oder etwas anderes insainly hoch, aber nur beschränkt die Größe der Datenbank, wenn das ist eine Frage
InformationsquelleAutor der Antwort Josh Hunt