Esiste una spiegazione (diversa dalla memorizzazione di testo in chiaro) per le password insensibili alle maiuscole e minuscole?

6

Mi sono imbattuto in alcune organizzazioni che affermano che le password non fanno distinzione tra maiuscole e minuscole. Ovviamente questo è ridicolo e una gigantesca bandiera rossa dal punto di vista della sicurezza.

C'è una spiegazione qualsiasi del motivo per cui una password potrebbe non distinguere tra maiuscole e minuscole, a parte la memorizzazione delle password in testo semplice?

    
posta Polynomial 30.07.2012 - 11:07
fonte

4 risposte

6

Le uniche ragioni che conosco sono legacy o basate sulle prestazioni (anche se quest'ultima è davvero un problema precedente)

  • Alcuni vecchi casi di password rimossi per adattarsi alla piattaforma limitata per cui è stato scritto,
  • e alcuni per limitare la complessità del codice.

Entrambi i motivi inutili che in questi giorni non dovrebbero avere alcuna applicabilità.

    
risposta data 30.07.2012 - 11:13
fonte
16

Sono d'accordo con Emil sul fatto che si tratta di usabilità. Rendere le password senza distinzione tra maiuscole e minuscole mette fine all'errore dell'utente comune di inserire la password con il blocco maiuscole.

Inoltre, una password senza distinzione tra maiuscole e minuscole non deve essere memorizzata in testo in chiaro, può semplicemente essere convertita in minuscole prima di essere sottoposta a hash. L'unica preoccupazione per la sicurezza di avere password insensibili alle maiuscole e minuscole è che riduce la complessità della password, ma questo può essere mitigato richiedendo password o passphrase più lunghe.

    
risposta data 30.07.2012 - 15:43
fonte
10

Una possibile ragione potrebbe essere l'usabilità. Tutti abbiamo visto come alcuni utenti hanno difficoltà a digitare correttamente la propria password, a causa di blocchi di protezione o casi errati.

Avere password maiuscole e minuscole aumenta il successo dell'accesso.

    
risposta data 30.07.2012 - 13:10
fonte
7

Se si appiattisce il caso, si consente alle persone di immettere password su una tastiera del telefono tradizionale. Ho visto più di un esempio di una banca che fa questo in modo che i clienti possano avere la stessa password sul sito web, come fanno al telefono.

es.

password: joe123

telefono: 563123

Questo è ovviamente un compromesso significativo nella sicurezza e limita la password a 24 delle 26 lettere in un alfabeto inglese, se si assume veramente vecchi telefoni .

In alcuni sistemi precedenti, ai tempi delle connessioni a 7 bit, se hai dato il tuo nome utente in lettere maiuscole, si presupponeva che non si potesse fare il caso misto e si appiattiva la password durante l'autenticazione.

    
risposta data 31.07.2012 - 17:08
fonte

Leggi altre domande sui tag