Penso che Netflix sia un'azienda tecnicamente esperta, quindi sono rimasto sorpreso nel vedere che hanno una limitazione della lunghezza della password (60 caratteri).
Presumo che ci sia un motivo legacy per questo. Cosa potrebbe essere? Presumibilmente stanno tagliando le loro password; in caso affermativo, perché potrebbero non essere in grado di rimuovere il limite di lunghezza?
Inoltre, non consentono il carattere tilde (~).
I think of Netflix as a technically savvy company, so was surprised to see that they have a password length restriction (60 characters).
I assume there's a legacy reason for this. What might it be?
Alcuni dei motivi nel Q & A: " Perché limitare la lunghezza di una password? "su StackOverflow sono:
Un tentativo di risparmiare spazio. ( Origine )
Le intgrates front-end con qualche vecchio sistema legacy che non gestisce più di un determinato numero di caratteri. ( Origine )
Una password alfanumerica di 10 caratteri maiuscole e minuscole ha 839,299,365,868,340,224 possibili permutazioni. ( Origine )
Questo è tutto lo spazio che hanno nel loro database per memorizzare la tua password. ( Origine )
L'algoritmo che usano per la crittografia non funziona bene con password di grandi dimensioni. ( Origine )
Stanno memorizzando la tua password come testo normale e stanno cercando di risparmiare spazio, ma potrebbe anche essere cercare di impedire alle persone di rendere le loro password davvero lunghe e poi dimenticarle. ( Origine )
Non tutte le risposte sono state elencate sopra, vedi il link per altre ipotesi.
Un'altra spiegazione su StackOverflow Q & A: " lunghezza massima della password con bcrypt, blowfish "è:
"BCrypt will work with much longer passwords, though only 72 characters are used. You would have no advantage at all, but theoretically you would hinder people with password managers using longer passwords.". (Source) Also refer to this StackOverflow Q&A: "Best Practices: Salting & peppering passwords?".
Qualcuno di questi motivi sembra probabile. È improbabile che Netflix discuti di come sono protette le password dei propri utenti, ma il limite è abbastanza lungo per la sicurezza, solo scomodo se si ha una password più lunga.
I ricercatori hanno testato vari siti Web, uno dei tanti articoli è: " I siti online di Netflix e Walmart hanno una cosa in comune: regole di password errate, show di studio ". Alcuni posti hanno semplicemente cattive politiche. Ci sono dei limiti al valore di ciò che viene protetto.
L'unica ragione valida per la sicurezza di cui sono a conoscenza si riduce a "per evitare gli attacchi DoS contro il nostro hash delle password lente caricando quantità assurde di password", e 60 è un limite troppo basso per farlo avere molto senso .
Il motivo meno peggio di cui sono a conoscenza è "perché gli utenti sono stupidi e se gli permettiamo di usare l'intero testo di Moby Dick come loro password, alcuni lo faranno, e poi alcuni di essi ne faranno di sbagliato di esso o pensano di aver usato Don Chisciotte invece, e poi penseranno che hanno completamente dimenticato la loro password e stanno andando a consumare risorse di supporto o semplicemente smetteranno di usare il sito ", che ha almeno il vantaggio di non presumere che gli utenti siano meno intelligente di chiunque sia arrivato con la politica della password.
O forse non riescono a immaginare nessuno che usi una passphrase lunga da onesta a $ DEITY. Sarò onesto, nessuna delle mie passphrase è più lunga di 60 caratteri; è un dolore scrivere così tanto. Diamine, potrebbe anche essere solo una limitazione lato client, inserita da qualcuno che non capisce nulla sulla sicurezza delle password, ma pensa che stanno risparmiando spazio nel database.
Tutti gli altri motivi sono segni negativi, per quanto riguarda la sicurezza.
Alcuni di loro sono più o meno cattivi di altri. Qualunque cosa implichi "per risparmiare spazio" o "la dimensione del campo nel database" è una bandiera rossa critica; significa che stanno memorizzando le password sia in testo normale che con crittografia reversibile, invece che con un hash di qualità minima. Ciò significa che chiunque abbia accesso al proprio archivio di credenziali, sia che si tratti di un amministratore inaffidabile o di qualsiasi "hacker" che trova un'iniezione SQL, è in grado probabilmente di individuare ognuna di quelle credenziali con una minima difficoltà. In alternativa, potrebbero "semplicemente" utilizzare un algoritmo obsoleto di hashing della password che ha una lunghezza massima inerente (non ancora buona - quegli algoritmi sono obsoleti per buoni motivi - ma almeno probabilmente avresti bisogno di una tabella arcobaleno o di qualche ora di EC2 tempo di forza bruta di loro).
Leggi altre domande sui tag passwords