Comments 31
Какие вообще причины могут быть, чтобы ограничивать максимальную длину паролей? Минимальную — понятно. Когда натыкаешься на сайт, где минимальная длина пароля 8, а максимальная длина — 10, тут же хочется с него просто уйти
А как вам требования для доступа в онлайн банк?
Новый пароль должен быть от 8 до 20 цифр. Цифр, да. В банке.
Да и при адекватной политике доступа, ограничивающей количество попыток, длинна пароля перестаёт иметь значение.
Изначально длина и сложность пароля — это защита от вполне конкретного способа атаки — подбора. Но если ограничено количество попыток, то угадать нужно не просто из большого количества вариантов, а с очень маленького количества попыток, что на практике делает атаку перебором бессмысленной, особенно целенаправленную.
В таком случае атакующий попытается похитить ваш актуальный пароль, и тут уже защищённость от длины почти не зависит.
Адекватная политика доступа — не просто ограничение попыток (иначе можно заблокировать любого клиента), а сначала спросить смс/пуш, а потом позволять подбирать пароль. Нет, там не адекватная политика доступа.
Как пример адекватной политики доступа о которой вы говорите: у другого банка пароль для входа в онлайн — пин-код. Казалось бы позор. Но сначала спрашивается код из смс. И это ок.
Лучше все же хранить хэш, а это десятки байт на пароль любой длины. Плюс ограничения на размер POST запроса на веб-сервере не позволят слишком много мегабайт отправить в качестве пароля.
Мое самое любимое — при регистрации макс. длина не указана, спокойно вводишь длинный пароль, но он молча обрезается. И потом вводишь пароль во время логина — а он не подходит! Копируешь, вставляешь — все равно не подходит!
Ну за такое руки бы вообще хорошо отрывать. Тихо терять часть данных где-либо это дикость какая-то
А через несколько лет сервис молча увеличивает допустимую длину пароля. И ВНЕЗАПНО ваш вставленный пароль перестаёт подходить.
Такое провернули с ICQ когда-то. Точнее, свинью подложила ещё Mirabilis, когда обрезала пароль до 8 символов при установке и логине. А когда новый владелец, Mail.ru, решил, что 8 это как-то совсем маловато, тут-то мина, заложенная добрых 20 лет назад, и сработала.
Ещё один отрицательный пример — Blizzard, серверы которых игнорируют регистр (т.е., вводить пароль можно в любом регистре). Разумеется, пользователю это никто не сообщает.
Максимальная длина пароля понятна. Пароль состоящий из более 20 символоф это уже какая то криптография. Вот минимальный пароль в 8 символов мне непонятен. Лучше обязывать пользователей использовать разные регистры и другие символы.
минимальный пароль в 8 символов мне непонятен
X3%w
Тогда такой норм? Минимальной длины нет, регистры разные, ещё и спецсимвол.
Тащемта это личное дело пользователей. Если они ставят слабые пароли, то ССЗБ. Предупреждать — можно, но заставлять — нет.
— сильный пароль увеличит защиту с 10 до 15
— второй фактор — до 100
— хороший второй фактор (типа OTP) — до 500
— физические крипто-токены с не извлекаемыми ключами — до 1000
Соответственно, если нужна реальная безопасность, то нужно менять способ защиты, а не плясать с паролями.
Там даже не пароли банальные были, а тупо фишинг-рассылка упала в интересные ящики интересных людей, не сильно разбирающихся в том, куда можно вводить пароли.
Если они ставят слабые пароли, то ССЗБНет, это вы как разработчик должны были ответственно предусмотреть это.
Это как продавать автомобили без тормозов, т.к. клиенты сами себе буратины, что не предусмотрели как они будут тормозить на ней.
Это также как и обеспокоиться безопасным хранением данных пользователей, ведь если их данные утекут — вы же не скажете, что они ССЗБ, что доверили такие важные данные вам?
Я согласен, что ограничивать пользователей в чем-то это не хорошо(например длину пароля), но ограничения есть везде и всюду, начиная от того, что функционал вашего ПО ограничен сам по себе, заканчивая тем, что вы ограничиваете пользователя от ввода свободного текста в поле даты с календарем.
Люди, к сожалению, учатся лишь на своих ошибках.
как выше заметили, основные векторы взлома — это вовсе не пароли, а тот же фишинг
А не думаете ли вы, что это просто потому, что все сайты стали запрашивать длинные пароли, нормаль их солить, и поэтому старый добрый брутфорс стал слишком дорогим?
Пароль состоящий из более 20 символоф это уже какая то криптография
С менеджером паролей хоть 100 символов никаких проблем пользователю не создадут
Запрет длинных паролей никак не мешает использовать менеджеры паролей. Пользователь вряд ли будет ставить 100 символьный пароль, если он его куда-то не записал. Но если пользователь привык записывать пароли, то он запишет и 10 символьный. Таким образом запрет длинных паролей безопасность никак не повысит.
Mozilla исправит особенность вставки паролей в Firefox 77