Sto esaminando una serie di account al momento cambiando le mie password, alcuni di loro sembrano un po 'deboli e li ho riutilizzati, ma continuo a imbattersi in siti web che non ti permettono di usare i simboli la password, inclusa la mia banca.
Perché i siti web non consentono i simboli e limitano la password a 20?
Da quello che ho letto la lunghezza è migliore dei simboli, ma sicuramente lasciare che l'utente scelga una lunga password con i simboli sia ancora meglio?
Disabilitare i simboli è di solito un segnale che qualcuno nel processo di sviluppo ha sentito di Iniezione SQL , code injection , o scripting cross-site e ha deciso di adottare un approccio a forza bruta per prevenirlo piuttosto che affrontare lo sforzo di comprendere quali sono i rischi reali e le tecniche di prevenzione.
I limiti di lunghezza sono o un segno che qualcuno non ha pensato attentamente quando si definiscono limitazioni di input, o un segno che la password è memorizzata direttamente piuttosto che l'hash e il campo del database consente solo una certa quantità di spazio per la password.
Nel caso specifico che le password siano limitate a 8 caratteri ASCII stampabili, di solito è un segno che le password sono state cancellate usando l'obsoleto Funzione crypt diDES () , oppure il software è stato sviluppato da qualcuno la cui mente è bloccata nell'era DES crypt ().
Davanti: Sì, una lunga password con simboli ha più entropia media di una lunga password senza.
In definitiva le scelte di sicurezza delle password sono lasciate alle persone che progettano i sistemi che usi. Potrebbero esserci altre funzionalità di sicurezza aggiuntive che usano per proteggere le informazioni del tuo account diverse da una combinazione di nome utente e password. Le informazioni IP / di rete possono essere utilizzate liberamente per corroborare la tua identità con i tuoi dati di accesso. Ad esempio, diciamo che accedi al tuo account da una biblioteca pubblica su un ISP diverso da quello che usi normalmente. La tua banca può bloccare il tuo conto bancario online e contattarti telefonicamente al numero di telefono che hai registrato per verificare la tua identità. È solo un esempio, ma hai un'idea.
Alcuni potrebbero avere altri motivi per vietare l'uso dei simboli nelle loro password a causa di una scarsa verifica dei dati che potrebbe esporre i loro sistemi all'attacco. Forse è più economico farlo invece di assumere un gruppo di persone per risolvere il problema per sempre. Chi lo sa?
Hai una scelta in merito, e se questa limitazione ti dà fastidio, trova un nuovo fornitore per i servizi che usi sul loro sito. Puoi sempre fare quella scelta.
Leggi altre domande sui tag passwords password-policy