Perché, dopo un certo limite di caratteri, le password più grandi sono etichettate come "deboli" su alcuni siti?

5

In molti siti vediamo un indicatore se la nostra password è debole, o strong, per darci una buona indicazione per andare con quella password, o no.

Ho notato su alcuni siti che dopo x quantità di caratteri la mia password "100% Strong" diventerà debole 0%, solo con 1 carattere "oltre il limite". Questo è qualcosa che ho visto su più siti nel corso degli anni, ma su alcuni questo non è affatto un problema.

Le mie domande sono.

  1. c'è una ragione per cui troppi caratteri sono una brutta cosa, anche se è una password completamente casuale?

  2. Perché sono etichettati come deboli dopo la quantità di caratteri x, anche quando erano molto forti prima di quel carattere x?

Questa domanda si collega anche alla mia altra domanda qui Ci sono dei vantaggi in termini di sicurezza nel forzare un limite di caratteri password al reset, ma consentire un numero illimitato di caratteri nel login password? , ma volevo separarli, poiché sono davvero due domande separate.

    
posta XaolingBao 27.06.2016 - 01:44
fonte

1 risposta

9

I contatori di forza della password sono notoriamente deboli :

New research from Concordia exposes the weakness of password strength meters and shows consumers should remain skeptical when the bar turns green.

In generale, l'aggiunta di un carattere a una password non lo renderà più debole. Esistono solo situazioni specifiche in cui ciò non è vero. Ad esempio, MyPasswor è probabilmente una password più strong di MyPassword . Ciò non significa che aggiungere un personaggio lo renda sempre più strong. Ad esempio, bcrypt ha una lunghezza massima di 56 byte . (Si noti che sono byte, non caratteri.) I caratteri aggiunti oltre questa lunghezza vengono semplicemente ignorati quando viene memorizzata la password.

Come regola generale, crea password casuali utilizzando un generatore di password o un diceware attendibili e non preoccuparti dei misuratori di forza stupidi.

    
risposta data 27.06.2016 - 02:13
fonte

Leggi altre domande sui tag