Ci sono dei vantaggi in termini di sicurezza nel forzare un limite di caratteri password al reset, ma consentire un numero illimitato di caratteri nel login con password?

Naviga le tue risposte
0

Stavo reimpostando una password pochi minuti fa, e mi è stato dato un limite di caratteri di circa 10 caratteri per creare una password sicura con.

Dopo aver reimpostato la password, sono andato a inserire la mia password e ho notato che sul campo c'è una quantità illimitata (o molto più grande) di caratteri.

La mia domanda è: esiste un effettivo vantaggio in termini di sicurezza nel forzare un limite di caratteri per il reimpostazione della password e quindi consentire l'accesso illimitato ai caratteri?

Per me sembra che questo sia più simile a quello che vedo dire qui intorno a "Sicurezza attraverso l'oscurità".

Inoltre, un aspetto negativo è che se le persone non prestano attenzione al campo non permettendo alcun carattere dopo x, e quindi provano ad accedere con quello che "pensano" è la loro password, saranno bloccati da il loro account. Questo è particolarmente importante dal momento che non ho notato alcun avviso di limiti di caratteri, che di solito vedi sui siti.

Volevo anche menzionare che questo si collega alla mia altra domanda qui Perché, dopo un certo limite di caratteri, le password più grandi sono etichettate come" deboli "su alcuni siti? ma volevano separarle in domande separate.

    
posta XaolingBao 27.06.2016 - 01:33
fonte

3 risposte

1

L'unico svantaggio di sicurezza delle restrizioni sulla lunghezza della password (I.e. "Non troppo grande") è se il software è vulnerabile a un sovraccarico del buffer. Non è difficile difendersi dai campi delle password, quindi questa è solo pigrizia da parte loro.

Oltre a ciò, le restrizioni sulla lunghezza della password possono solo ridurre artificialmente l'entropia possibile in una password.

    
risposta data 27.06.2016 - 02:32
fonte
1

Avrebbe un leggero vantaggio che i bot o gli attaccanti che non hanno eseguito correttamente la loro ricognizione potrebbero sprecare tempo in tentativi di password con password che il sistema non è in grado di ospitare. Se un utente malintenzionato può registrarsi per il proprio account, dovrebbe aver controllato la lunghezza massima della password e le altre regole della password provando a reimpostare la propria.

Questo dipende molto dal fatto che le password troncate siano accettate dal campo di input.

Inoltre, notare che limitare le lunghezze delle password in primo luogo non è eccezionale, e potrebbe essere un'indicazione che la password è stata memorizzata in modo non preciso.

    
risposta data 27.06.2016 - 12:52
fonte
0

My question is, is there any actual security advantage to forcing a character-limit on password-reset, and then allowing unlimited characters on login?

Non vedo alcun vantaggio per la sicurezza. Consentire una lunghezza illimitata all'accesso non è probabilmente un decoro di design conciso, ma piuttosto il risultato degli sviluppatori che non si preoccupano di impostare la proprietà maxlength del campo di input.

A proposito, avere una lunghezza massima della password di 10 caratteri in primo luogo è una pessima idea .

    
risposta data 27.06.2016 - 03:52
fonte

Leggi altre domande sui tag

Codice base64 sospetto, nessuno sa da dove. È innocuo? [chiuso] mail di spam provenienti da botnet