Perché non consentire spazi in una password?

117

"La tua password non può contenere spazi." è un messaggio che vedo da alcuni siti Web, tra cui 1 .

Perché? (Questa domanda è molto simile a Perché non consentire i caratteri speciali in una password ? , ma le risposte non sembrano applicabili al carattere dello spazio).

Alcuni sistemi apparentemente eliminano tutti gli spazi prima che hanno cancellato la password. ( In che modo a Google non interessa " spazi "in password specifiche dell'applicazione? )

Perché non semplicemente hash qualsiasi cosa l'utente abbia digitato, spazi e tutto?

    
posta David Cary 15.03.2013 - 17:12
fonte

9 risposte

94

Non posso spiegarlo come qualcosa che va oltre la follia legacy, o copiare pigramente le restrizioni del nome utente per limitare le password senza prevenirlo.

Qualsiasi blocco di dati, stampabile o altro, dovrebbe essere accettabile se stai facendo l'hashing delle tue password. Le uniche restrizioni dovrebbero essere una complessità minima e una lunghezza massima "ragionevole" in modo che qualcuno non assorba 1 MB di larghezza di banda (e il tempo CPU corrispondente per cancellare l'input perché si utilizza un algoritmo lento, giusto?) Ogni volta che effettuano l'accesso.

    
risposta data 15.03.2013 - 17:18
fonte
36

Gli spazi iniziali e finali potrebbero essere problemi per le persone che sono sciolte con copia e incolla. Altrimenti, d'accordo con gli altri post, nessuna buona ragione.

Anche se, quali altri personaggi stiamo bloccando? tab, cr, lf, backspace, bip ☻☺ ♪ ▬ ♣. ?

    
risposta data 15.03.2013 - 17:31
fonte
22

La semplice risposta è che si tratta di una politica di password errata.

Non riesco a pensare a nessuna ragione particolarmente valida per vietare il carattere dello spazio. Questo è probabilmente solo un requisito arbitrario stabilito da una persona benintenzionata ma sbagliata.

    
risposta data 15.03.2013 - 17:17
fonte
10

Non riesco a pensare a una solida ragione di sicurezza se non scoraggiare le persone dall'usare frasi reali come password che sarebbero molto insicure se avessero un significato reale. A rigor di termini, non c'è nulla di insicuro su uno spazio in una password se mantiene una buona entropia, quindi le persone "creative" sono l'unica cosa reale che riesco a vedere.

Potrebbe anche esserci un problema di usabilità secondo cui gli spazi sono difficili da verificare visivamente se si digita correttamente se la password è visualizzata in modo visibile. (È uno spazio o 4, concesso se appare a * s, quindi è facilmente numerabile.)

    
risposta data 15.03.2013 - 17:16
fonte
7

È una buona politica per comodità, e visto questo dal lato del supporto clienti, penso che dovrebbe essere implementato ovunque.

Puoi scrivere la password in questo modo: "abc def ghi" e copiarla su un pezzo di carta, o copiare e incollare.

È semplicemente più semplice rimuovere tutti gli spazi che continuare a dire a tutti:

  • "Assicurati di non copiare e incollare alcun carattere di spazio vuoto"
  • "Digita la password manualmente, non copiarla e incollarla"

Di solito è una risposta alla domanda:

  • "La mia password non funziona, anche se l'ho copiata esattamente dall'email che mi hai inviato"
risposta data 17.03.2013 - 03:40
fonte
3

è solo relativo alla semantica programmatica. la maggior parte di essi gestisce il carattere dello spazio '' o '' diverso da altri simboli come 'a' o 'dds'.

il carattere di spazio vuoto viene accoppiato in altri strani caratteri come nuove righe - '\ n' o caratteri vuoti - ''

Inoltre non è univoco, in quanto alcuni caratteri speciali su determinati ambienti informatici non hanno una rappresentazione e vengono analizzati con un carattere vuoto ''

In alcuni ambienti informatici in cui passavamo file da MAc a Windows a Linux, a volte ottenevamo ('' == '') la produzione di un risultato FALSE (il doppio segno equivale indica semplicemente un operatore di confronto ). Era falso perché c'erano dei simboli nascosti nello spazio che non potevamo vedere a causa del fatto che le culture dei computer erano diverse nel nostro team.

Non sono sicuro che questo problema si verificherà o meno quando si parla di password rigorose, ma non avere spazi in aree speciali come password, nomi di funzioni e nomi di file è decisamente il modo migliore per andare sempre. Analizzare gli spazi nei nomi dei file è una storia completamente diversa, con alcuni programmi che aggiungono un% a uno spazio per rimuovere lo spazio in modo da avere il nome come% name

    
risposta data 15.03.2013 - 22:55
fonte
3

Sulla maggior parte delle tastiere, il tasto Spazio emette un suono leggermente diverso da quello di qualsiasi altro tasto.

Considera lo scenario in cui una persona sente qualcun altro digitare la sua password.

Se quella persona è in grado di capire che la password consiste, ad esempio, di 3 caratteri + uno spazio + 4 caratteri, in alcuni casi potrebbe essere un suggerimento molto utile.

    
risposta data 20.03.2013 - 11:15
fonte
2

Posso pensare a diversi motivi per cui gli spazi dovrebbero essere esclusi; queste ragioni non hanno nulla a che fare con la sicurezza ma con l'usabilità:

  • Se si trasmette una password che contiene spazi, come fa il destinatario a sapere che si tratta di uno spazio o una scheda? Ed è uno o due spazi? Supponendo che devi scriverlo a mano (succede), come mostrare queste informazioni? A seconda del tipo di carattere del loro client di posta elettronica, c'è anche una possibilità, non noteranno lo spazio (i) vuoto.

  • Ancora una volta, quando si invia la password, se gli spazi sono all'inizio o alla fine, sarà facilmente perso e dovrà essere racchiuso tra virgolette. Ma anche in questo caso sembrerà strano e posso facilmente immaginare che gli utenti non includano quest'ultimo spazio e non siano in grado di accedere.

  • I caratteri vuoti (newline, tabulazioni, spazi) vengono spesso ritagliati dalla fine e dall'inizio di un campo, per evitare che le persone copiano e incollino dati errati. Ovviamente se gli spazi fossero significativi, ciò causerebbe un problema.

Tutto sommato, penso di non avere spazi che evitino tutti i tipi di problemi e chiamate di supporto salvate, quindi è una buona cosa.

Modifica

Per rispondere ai commenti sulla cattiva pratica della condivisione delle password:

Diciamo che documenti aziendali importanti sono bloccati sulla stazione di Bob, che è attualmente in vacanza. Cosa fare in questo caso? Aspetta che Bob torni due settimane dopo e perda potenziali affari nel frattempo? O chiedigli semplicemente di inviare la password? Di sicuro è pessimo, ma comunque migliore dell'alternativa.

Come ha detto Linus Torvald (su qualcos'altro, ma mi piace lo spirito): "dovresti occuparti di realtà , non di ciò che desideri fosse la realtà".

    
risposta data 16.03.2013 - 06:36
fonte
0

Ho intenzione di qualificare questo commento dicendo che sono stato un amministratore di sistema per oltre trent'anni ... e uno scrittore per almeno altrettanto tempo.

Sebbene l'uso di uno spazio in una password possa essere consentito in alcune cerchie, e potrebbe essere più sicuro nel senso che hai un set di caratteri più grande per indurire la tua password con ... stai facendo dei problemi in questo modo. Uno spazio non è solo un carattere, è una rappresentazione dello spazio nullo, proprio come uno zero rappresenta un'assenza di valore numerico. Alla fine arriverà il momento in cui "dimenticherete" lo spazio e tirerete fuori i capelli chiedendovi perché la vostra password di root non funzioni più e dovete ricaricare il vostro server da zero. Dal punto di vista dell'usabilità, dico di stare lontano dallo spazio ... è una di quelle "regole non scritte" che puoi dare un centinaio di ragioni per non obbedire ma la tua vita sarà semplificata aderendo a In trent'anni ho incontrato solo una persona che ha usato un spazio in una password ed è stato un inferno cercare di capire. Altri non saranno d'accordo - e questa è la loro prerogativa. Non userei mai uno spazio.

    
risposta data 28.03.2018 - 01:16
fonte

Leggi altre domande sui tag