Prenderò Twitter come esempio.
Da un lato, quando registrarsi su Twitter , la password deve contenere almeno 6 caratteri.
D'altra parte, il token di accesso all'API ha circa 50 caratteri:
(
Mi sto chiedendo quale sia la ragione di sicurezza alla base di questa differenza di lunghezza. Se i token sono veramente lunghi perché migliorano la sicurezza, perché sono consentite le password brevi? Tieni presente che non sto chiedendo perché la lunghezza minima non è un numero dato come 10, 15 o 20 caratteri, sarebbe comunque una grande differenza rispetto ai token.
E anche se questo token è difficile da indovinare perché è casuale e più lungo, posso vedere i miei token collegandomi al sito web degli sviluppatori di Twitter con la mia relativamente weak password. Perché creare un token casuale sicuro se è accessibile con la mia password? So che è possibile attivare l'autenticazione a due fattori ma l'accesso al sito Web degli sviluppatori non lo richiede.
Quindi, dati i fatti che:
- un token consente più o meno le stesse operazioni di un utente loggato attraverso la sua password,
- gli accessi all'API possono essere forzati brutalmente come accessi da Internet,
- Twitter può scegliere la lunghezza minima di una password e la lunghezza dei token,
perché i token sono così lunghi? Se dal punto di vista di Twitter sono sufficienti 6 caratteri per una password, perché usare 50 caratteri per un token?