Perchè c'è una lunghezza di Cap on Password? [duplicare]

1

Perché quando ci iscriviamo a siti come Facebook e Gmail le nostre password devono avere una lunghezza di 8-12 caratteri o qualche altro cap? 8-12 spazi sono finiti, ma puoi rendere le tue password più "sicure" aggiungendo lettere maiuscole e numeri.

Sembra che le password di Gmail siano limitate a 100 caratteri (dal 14 settembre 2017):

Pensochelaveraragionepercuilenostrepasswordsonolimitateperquestionidilegalità,aldisopradiognimancanzainefficienzacrittografica.Selacompagniahabisognodiaccederealtuoaccount,accederàaltuoaccountenonvuoleostacoli.All'iniziohopensatocheavrebberomessounlimiteallepasswordperchésememorizzanolepasswordconlunghezzemaggiorisuiloroserveresaurirannolospaziosullelorounità,maivaloridicharcomelepasswordnonoccupanomoltospazio,sonosolounmucchiodilettereenumeridopotutto.ForsePBKDF2conHMACpuòdecifrarepassworddiqualsiasilunghezza,maaumenteràiltempodielaborazionedellaCPUcosìcomelospaziosuun'unità(forsecirca1GBperunapasswordmoltolunga).

Leaziendecondatacenterdigrandidimensionipotrebberoessereingradodigestirel'hashingsimultaneodituttigliutentidelleloropiattaforme?

Lepasswordsonolimitatea12(oqualunquesiaquelnumero,100perGmailperchéGooglehaisoldipersistemarehashinga100carattericonfacilitàsuilorosistemi)perchéletecnichedellafunzionediderivazionedellachiavepasswordnonsonoattualmenteaunlivellodadecifrarepassworddilunghezzamaggioreefficientemente.Ciòsignificachesesidesiderarenderelapasswordlunga250caratterinonsarebbepossibilefarloperchélasocietànonritienechesarebbeingradodicraccarelapropriapasswordnelcasoincuineavesserolanecessitàinmodoefficiente.

Siamoveramenteliberi?qualemotivazionedobbiamorenderelenostrepasswordpiùsicuredi"password" o "12345678" se c'è un limite imposto alla nostra sicurezza? Sembra che il messaggio che stanno offrendo sia che tu possa essere sicuro, ma non così sicuro da rendere il nostro lavoro più difficile.

Un lucchetto manterrà fuori la maggior parte degli intrusi, ma quelli equipaggiati per rompere il blocco lo faranno. Scegliamo il lucchetto che manterrà fuori gli intrusi, o compreremo un lucchetto medio e speriamo che quelli che riescono a farlo non vengano dalle nostre case?

Rendendo le nostre password più sicure attraverso l'aggiunta di lettere maiuscole e numeri iniziamo a limitare il numero di persone che possono violare la password, ma le persone continueranno a craccare la password se lo desiderano.

    
posta wanttolearnmoreaboutladders 14.09.2017 - 18:43
fonte

3 risposte

18

Se non ti dispiace essere sincero, penso che tu abbia molti malintesi nel tuo post, e molte delle tue conclusioni sembrano essere basate su ipotesi di quanto ammontare a teorie del complotto. Per prima cosa, chiariamo un paio di cose, che ritengo dovrebbero essere sufficienti per dissipare alcune delle tue ipotesi e teorie cospirative:

  1. Google non dispone delle risorse del computer per decifrare una password di 100 caratteri. L'intera terra non ha abbastanza potenza di calcolo o energia per fare una cosa del genere. Infatti, anche una password veramente casuale con soli ~ 20 caratteri è abbastanza lunga da non essere intercettata da nessuno (presumendo un semplice attacco di forza bruta, naturalmente, e ignorando le debolezze del phishing / algoritmo / etc)
  2. Se Google voleva accedere ai tuoi dati, non avrebbero comunque dovuto tentare di violare la tua password. Potrebbero semplicemente aggiornare il loro codice sorgente per memorizzare la versione in testo normale al prossimo accesso. Lo stesso vale per qualsiasi sito web al quale ci si collega. Chiunque stia utilizzando un server non deve crackare la tua password per leggerlo: è waaaaay più facile di così.

Di conseguenza, la tua dichiarazione generale secondo cui le aziende hanno il massimo della lunghezza della password perché consente loro di decifrare la tua password quando lo desiderano è, senza eccezioni, completamente sbagliata.

Quindi perché ci sono i massimi? Questa domanda discute quello per molti sistemi legacy:

Quali motivi tecnici ci sono per avere una lunghezza massima delle password bassa?

Google è una questione a parte: un massimo di 100 caratteri non è in realtà irragionevole. Dubito che qualcuno stia tentando di usare password di 100 caratteri, e anche i gestori di password non lo fanno (perché 100 caratteri sono un assoluto overkill). Potrebbero esserci motivi tecnici con i loro algoritmi crittografici che richiedono un massimo di 100 caratteri, ma più che probabile è un limite arbitrario messo in atto perché è necessario un certo limite e non vi è alcun motivo pratico per avere una password così lunga nel primo posto.

Per reiterare un altro punto, esiste un limite fisico alla lunghezza di una password che può essere effettivamente forzata bruta. Si tratta di considerazioni energetiche e della quantità minima di energia necessaria per far funzionare computer in grado di decifrare le password. L'essenza di tutto questo è che per le password abbastanza lunghe, non c'è abbastanza energia in tutto il mondo per decifrare la password, anche se hai risorse di calcolo infinite per risolvere il problema:

link

link

Buona lettura anche per te, per aiutarti a comprendere veramente alcuni dei problemi relativi alla lunghezza della password:

link link link link

    
risposta data 14.09.2017 - 19:23
fonte
2

A causa del "Facilità d'uso, funzionalità e triangolo di sicurezza"

Viviamosolonellafacilitàd'usorispettoallasicurezzapoichélafunzionalitànonimplicamoltolavoroaumentandoladimensionedellapassword(comegooglel'immaginecondivisodigoogleconunlimitedi100-cheèunIMHOeccessivo).Dallametàdeglianni'80Internetèstatodisponibileperlagentecomune,l'ideadiunapasswordinsicurezzaè"Cosa sai?"

Sì, una password può essere lunga 100000 caratteri (Nota: la dimensione massima predefinita di un input è 524288 di lunghezza), ed è ancora irrealizzabile craccarla nella maggior parte dell'attuale implementazione, anche chi può ricordare una lunghezza di 20 password? forse un 100? forse puoi ricordare una frase davvero lunga. Nessuno userà mai il 1 ° capitolo del "Don Chisciotte" come password, la memoria umana non è GRANDE.

Certo, forse puoi memorizzarlo o usare qualcosa come " LastPass " ma non è per un utente comune / giornaliero.

TL; DR Aumentando il massimo non continui ad aggiungere sicurezza, ad un certo punto inizia a rimuovere "facilità d'uso" e aggiunge poca "sicurezza".

    
risposta data 14.09.2017 - 19:44
fonte
-1

Risposta breve: programmatori pigri che implementano scarsamente l'archiviazione delle password.

Risposta più lunga: i sistemi di password legacy con cui i siti Web devono interagire, che non comprendono gli hash e devono utilizzare password di testo normale, con limiti.

Inoltre, c'è una domanda di usabilità. Molti utenti finali non utilizzano i gestori di password ed è un costo per l'azienda eseguire le linee di supporto quando gli utenti devono reimpostare le proprie password. È nell'interesse finanziario dell'azienda "limitare" gli utenti in qualche modo, quindi non selezionano una password di 100 caratteri e quindi la digitano erroneamente.

Un importante sito Web bancario che non nominerò non dirà ai suoi utenti che è in grado di minimizzare tutte le password dietro le quinte (è possibile accedere con qualsiasi password mista, cambiare il caso e funzionerà ancora) mentre altri ti permetteranno di accedere con la tastiera numerica equivalente numerica della tua password, perché condivide un sistema di back-end con il sistema di verifica del telefono.

    
risposta data 14.09.2017 - 19:01
fonte

Leggi altre domande sui tag