Ho bisogno di alcuni documenti che dicono che non dovremmo superare la stringa quando lo salviamo come password [chiuso]

0

Sto cercando di trovare su Internet un manuale, una guida o una politica sicura su

applications should not convert lower string to upper string to store as password

Voglio dire, non rendere " testpassword123 " in questo " TESTPASSWORD123 ".

Ho letto molti consigli, ma ho bisogno di alcuni documenti espliciti che dicano che "non dovresti scrivere la stringa quando lo salverai come password", esplicita in questo modo.

Grazie mille dell'aiuto fino ad ora.

    
posta Felipe M 30.03.2015 - 14:59
fonte

2 risposte

2

Inoltre, non sono riuscito a trovare alcun criterio di archiviazione della password che menzioni che le password non dovrebbero essere in maiuscolo. Ma non ho trovato alcuna guida che mi dicesse di non impostare ogni password in "password", non di rimuovere tutti i caratteri speciali, o di non accorciarli a 4 caratteri. È ovvio.

Non dovresti cambiare la password fornita dall'utente. Ciò può portare a password irragionevolmente deboli (senza che gli utenti ne siano a conoscenza!) E ai problemi di compatibilità in seguito (l'utente digiterà sempre la password nel modo in cui l'hanno impostata, quindi ogni meccanismo di accesso / verifica deve eseguire la trasformazione della password su ogni login).

Se non riesci a gestire alcuni caratteri speciali, segnalalo all'utente che li ha inviati, non cambiare in silenzio la password fornita.

    
risposta data 30.03.2015 - 15:23
fonte
1

Un esempio storico di un algoritmo così scadente è l' hash LM di Microsoft

di Microsoft.

Come hai detto Felipe, per creare una password complessa, devi tra le altre cose mescolare lettere maiuscole e minuscole. Perché? Perché così facendo ci possono essere 52 diverse lettere possibili che costituiscono ciascun carattere della password: 26 minuscole + 26 maiuscole.

Convertendo la stringa in maiuscolo, si indebolisce la password poiché ora ci saranno solo 26 diverse lettere possibili che costituiscono ciascun carattere, non 56, che renderà la password molto più facile da indovinare. In altre parole, stai aiutando gli hacker a penetrare nel sistema perché non dovranno preoccuparsi del problema del caso poiché "segreto", "Segreto", "SecReT" e "SECRET" corrisponderanno tutti alla stessa password e apriranno lo stesso l'accesso.

    
risposta data 30.03.2015 - 15:25
fonte