Motivi per limitare la lunghezza della password [duplicato]

-1

Al momento utilizziamo un software di terze parti per l'accesso SSO in un ambiente ibrido con SAP, ADFS, ecc.

Gli utenti devono modificare la propria password nel software client, che viene quindi inviato a un server centrale nel cloud di terze parti e utilizzato per un accesso sincronizzato a livello di sistema.

Questa è una buona idea e davvero utile? Io non la penso così, ma è così che è ...

Ma ora mi chiedo, la politica delle password dice che le password devono avere un minimo di 8 caratteri / numeri / caratteri speciali ... fin qui tutto bene, ma la lunghezza massima è anche limitata a 12.

Che cosa significa questo in termini di sicurezza, quali ragioni potrebbe avere? Questo significa che non hanno cancellato la password e memorizzata in chiaro sui loro server? Non esiste alcuna configurazione di autenticazione con due fattori in alcun modo. Sono abbastanza preoccupato ora, qualcuno potrebbe per favore chiarire la situazione?

    
posta licklake 02.05.2017 - 11:13
fonte

1 risposta

2

Informazioni sulla complessità della password: In base alla mia esperienza e agli standard di sicurezza come SANS e OWASP, la limitazione della lunghezza della password a 12 caratteri è insolita. Questi standard dicono che è meglio supportare una lunghezza sufficiente, anche consentire loro di impostare le frasi di accesso per rendere più sicuri i propri account.

buon blocco.

    
risposta data 02.05.2017 - 11:47
fonte

Leggi altre domande sui tag