Natknąłem się na kilka stron, które albo ograniczają długość, na jaką pozwalają na hasła, i / lub nie dopuszczają niektórych znaków. To mnie ogranicza, ponieważ chcę poszerzyć i wydłużyć przestrzeń wyszukiwania mojego hasła. Daje mi to również niewygodne wrażenie, że mogą nie mieszać.

Czy istnieją dobre powody albo ustawiając górną długość lub wyłączeniem znaków w hasłach?

Nie

Nie ma dobrych powodów.

EDYCJA: Nie mogę udowodnić, że nie ma dobrych powodów, ponieważ nie można udowodnić negatywności. Nie mogę wymyślić żadnych dobrych powodów - jak zauważyli inni, skrót będzie tego samego rozmiaru niezależnie od wielkości danych wejściowych, a wyeliminowanie prawidłowych znaków (z kontekstu pytania) po prostu zmniejsza przestrzeń stanu. Na pierwszy rzut oka odpowiedź wydaje się oczywista: nie ma dobrych powodów. Może istnieć wiele powodów, które brzmią dobrze lub wydają się dobre, ale tak nie jest. Gdyby tak było, ktoś już by je tutaj opublikował, a gdyby nie tutaj, to z pewnością na security.stackexchange.com, a ta odpowiedź nie byłaby tak mocno oceniona.

Ograniczenie długości może być miarą ograniczającą czas wykonywania mieszania, a także ograniczającą szerokość pasma (a i tak oba są naprawdę marginalne). Poza tym nie ma dobrego powodu, szczególnie z punktu widzenia bezpieczeństwa.

Można powiedzieć: „Ludzie łatwiej zapomną dłuższe hasła” - ale to naprawdę głupie stwierdzenie i wcale nie dochodzi do sedna.

Jeśli chodzi o znaki, o ile zdajesz sobie sprawę z potencjalnych problemów z kodowaniem podczas przesyłania i / lub migracji danych w przyszłości (np. Za 2 lata zmienisz ASCII na UTF-8), dzięki czemu więcej znaków może być dobre tylko dla siły haseł.

Tak , istnieje powód dla znaków specjalnych.

Niedozwolone znaki specjalne są bardziej użyteczne niż związane z bezpieczeństwem. Przede wszystkim mogą zostać zakłócone przez problemy z kodowaniem. Po drugie, nawet jeśli gwarantujesz, że zawsze będziesz używać tego samego kodowania, nadal istnieje problem z urządzeniem wejściowym. Będziesz zależał od posiadania pełnej klawiatury (co eliminuje większość urządzeń mobilnych) z takim samym układem klawiatury. Później różnią się nie tylko między językami, ale także między systemami operacyjnymi, układy dla systemów Windows, Linux i OSX mogą być nieco inne. Więc widzę powód, aby nie dopuścić hasła jak: √Ω≈ç∫∞§…¬å∑±.

Kilka lat temu w świecie bezpieczeństwa pojawiła się kontrowersja, kiedy klienci Chase odkryli, że w ich hasłach nie jest rozróżniana wielkość liter. Okazało się, że ich strona internetowa była tylko frontendem dla około 30-letniego systemu backend OS / 400, który miał techniczne ograniczenie, że ignorował wielkość liter. Naprawienie tego kosztowałoby najwyraźniej miliony dolarów.

Chodzi o to, że mogą istnieć drogie starsze powody, dla których nie można zezwolić na hasła na pewną długość.
(Uwaga: nie toleruję tej wymówki ...)

Większość banków, działów IT itp., Które egzekwują ograniczenia maksymalnego hasła, nie robią tego ze względów technicznych. Doskonale zdają sobie sprawę z tego, jak działa haszowanie haseł i jak przechowywać złożone hasła. Nakładają te ograniczenia, ponieważ zmniejsza liczbę połączeń w celu wsparcia osób, które zapomniały hasła. Czy to dobry powód, aby wprowadzić tego rodzaju ograniczenia? W żaden sposób. Niemniej jednak jest to główny powód.

Nie wszystkie urządzenia wejściowe (sprzętowo) często mają wszystkie znaki, które ma pełna klawiatura lub podobnie. Jeśli nie używasz menedżera haseł, możesz mieć problemy z wprowadzeniem takiego hasła, prawda? A Unicode jest wciąż daleki (daleko) od bycia standardem.

Czy istnieją uzasadnione powody, aby ustawić wyższą długość lub wykluczyć znaki z haseł?

Zgadnę i powiem, że niektóre z tych ograniczeń wynikają z filtrowania znaków na ich stronie internetowej ( & < > #), aby powstrzymać hakerów. Podczas gdy inne są kośćmi, które wychodzą z komitetów spiczastych włosów szefów.

Natknąłem się na kilka naprawdę głupich (moim zdaniem) decyzji dotyczących „bezpieczeństwa”. Na przykład jedna duża firma inwestycyjna obsługuje moje konta IRA, a także moją emeryturę. W celu nawiązania jakiegokolwiek kontaktu z emeryturą wymaga ode mnie wpisania hasła przez telefon (inaczej nie można się z nim skontaktować). Moje konto maklerskie / IRA używa liter (duże i małe litery), a także niektórych znaków interpunkcyjnych - żaden z tych znaków nie pojawia się na klawiaturze numerycznej telefonu. Jeśli nie możesz zalogować się przy użyciu hasła przez telefon, pozwala to zresetować hasło do konta maklerskiego na coś, co możesz wpisać przez telefon.

Mój system płac (dla firmy konsultingowej, dla której pracuję) wymaga numerów i tylko liczb - pozwala to im korzystać z tej samej bazy danych, niezależnie od tego, czy użytkownik dzwoni (nigdy tego nie robiłem), czy korzysta z interfejsu internetowego (używam tylko tego) .

To powiedziawszy, czas zmienić moje hasło w biurze. Mają tak szalone ograniczenia, że ​​szacuję, że znalezienie hasła akceptowalnego przez system zajmie około pół dnia: co najmniej 2 duże litery, co najmniej 2 małe litery, co najmniej 2 cyfry (które nie mogą być +/- 1 z poprzedniego hasła), co najmniej 2 znaki nie alfanumeryczne / nienumeryczne, nie mogą pasować do żadnego z ostatnich 24 haseł, nie mogą zawierać żadnego łańcucha (do przodu lub do tyłu), który jest słowem (o długości 3 lub więcej liter) w języku angielskim ( także kilka innych języków, których nie znam). Myślę, że minimalna długość to 10-11 znaków.

Jednym z powodów ograniczenia znaków byłby sposób wprowadzania hasła.

Na przykład kilka banków ze swoimi witrynami bankowości internetowej prosi o określone znaki z hasła, a Ty wybierasz odpowiednie znaki za pomocą rozwijanego pola.

Robią to prawdopodobnie po to, aby keyloggery nie mogły wykryć naciśnięcia klawisza, a tym samym poznać [znaki z] twojego hasła. Chociaż wiem, że istnieje wiele innych sposobów obejścia takich środków, np. Zrzut ekranu; nadal jest skuteczny przeciwko keyloggerom.

Gdyby musieli zezwolić wszystkim postaciom, wówczas długość listy rozwijanej stałaby się nieporęczna, a także dopuszczałaby zamieszanie między podobnie wyglądającymi postaciami.

Wyłączenie specjalnych znaków, takich jak tab, byłoby prawidłowe. Możesz zalogować się lub zmienić hasło za pomocą tabulatora w trybie tekstowym, ale nie możesz go używać w GUI lub środowisku internetowym. Znak odwrotnego ukośnika spowoduje także problemy z wieloma platformami.

długie hasła nie są hasłami - to hasła. Przeciętny użytkownik nie pamięta 2Z8d!% G # x, ale pamięta „imię mojego zwierzaka to pies fido”. Dłuższy tekst jest trudniejszy do złamania za pomocą brutalnej siły i znacznie mniej prawdopodobne jest, że zostanie napisany na notatce dołączonej do ekranu.

Kiedy ludzie piszą, popełniają błędy, zwane „literówkami”. Zwykle ludzie widzą swoje błędy i je poprawiają. Podczas wprowadzania hasła zwykle nie widzisz wpisanego tekstu, dlatego nie możesz poprawić literówek. Popełniasz błędy, nie zdając sobie z tego sprawy, podajesz hasło, a ono powraca jako „hasło nieprawidłowe”. Potem spróbuj ponownie. Potem spróbuj ponownie.

Możesz myśleć o tym jako o „3 mniejszych literówkach, a wtedy jesteś nie do odróżnienia od ataku brutalnej siły”. Jak systemy bronią się przed atakami siłowymi? Wyraźny „ Zbyt wiele prób, odejdź, nie będziesz w stanie się zalogować, nawet jeśli zrobisz to poprawnie ”? Gwałtownie rosnące opóźnienia przy wprowadzaniu hasła, prowadzące do przekroczenia limitu czasu przeglądarki, gdy opóźnienie jest zbyt długie, uniemożliwiając ponowne zalogowanie? Podejścia są różne, ale zawsze dobrze wpływa na dobrze zaprojektowany system.

Możesz myśleć o tym jak o „3 mniejszych literówkach, a potem dostajesz odmowę usługi”.

Wraz ze wzrostem długości hasła zwiększa się ryzyko literówek (a zatem ryzyko odmowy dostępu uprawnionej osobie). Coś dłuższego niż około 20 znaków będzie często błędnie wpisywane (chyba że użytkownik jest sprytny / leniwy i gdzieś przechowuje swoje hasło, aby móc je „kopiować i wklejać”, nie martwiąc się o literówki, np. Ładny plik tekstowy na pulpicie o nazwie „ hasła ” .txt ”).