C'è un sito web che la mia azienda utilizza per dati personali forniti da una seconda parte. Nella pagina di creazione della password è possibile creare una password di 30 caratteri, ma il tentativo di accedere con questa password genera un errore di password non valido. È possibile utilizzare password più brevi.
La mia azienda dovrebbe essere preoccupata? Questo è indicativo di difetti più profondi nella loro sicurezza?
Ovviamente chiunque lo abbia costruito non era molto bravo in quello che stavano facendo e / o non prestava molta attenzione ai dettagli. Quando lavori con aspetti di sicurezza critici come l'autenticazione, non è grandioso.
Pensa in questo modo: se hai scoperto che il tuo elettricista ha installato accidentalmente le prese di corrente capovolte, questo di per sé non è la fine del mondo. Ma non ti renderebbe un po 'preoccupato che ha incasinato qualcos'altro di più critico e la tua casa brucerà?
Inoltre, limiti brevi a la lunghezza della password potrebbe essere un indicatore di un sistema legasy con hashing negativo o negativo. Ancora peggio, come sottolinea jrtapsell , il fatto che la password sia accettata quando impostata ma non al momento del login potrebbe essere un firmare che viene troncato quando inserito nel database e quindi memorizzato in testo semplice.
Quindi, anche se questa è una prova di nulla, dovrebbe comunque attivare i campanelli d'allarme.
Non credo che sia possibile trarre conclusioni sull'intero sistema da questo errore. Penso che questo sia un problema che può essere risolto e che dovrebbe essere risolto.
Potrebbe essere saggio fare qualche ricerca sulla sicurezza, ma penso che non si possano trarre conclusioni valide solo con queste informazioni.
Leggi altre domande sui tag passwords