Укажите пароль длиной не менее

Укажите пароль длиной не менее

Пароль П ользователя должен отвечать следующим требованиям:

Длина пароля должна быть не менее 8 и не более 14 символов.

Пароль должен состоять из букв латинского алфавита (A-z), арабских цифр (0-9) и специальных символов, приведенных в п. 4 данных требований.

Буквенная часть пароля должна содержать как строчные, так и прописные (заглавные) буквы.

Пароль должен содержать не менее одного из следующих символов:

Я могу понять, что наложение минимальной длины на пароли имеет большой смысл (чтобы спасти пользователей от себя), но мой банк имеет требование, чтобы пароли были длиной от 6 до 8 символов, и мне стало интересно.

  • разве это не облегчило бы атаки грубой силы? (Плохо)
  • означает ли это, что мой пароль хранится в незашифрованном виде? (Плохо)

Если кто-то (надеюсь) хорошие это профессионалы безопасности, работающие на них, вводят максимальную длину пароля, должен ли я думать о том, чтобы сделать подобное? Каковы плюсы и минусы этого?

20 ответов

пароли хэшируются до 32, 40, 128, любой длины. Единственная причина для минимальной длины, чтобы предотвратить легко угадываемые пароли. Нет никакой цели для максимальной длины.

обязательное XKCD объясняя, почему вы оказываете пользователю медвежью услугу, если вы накладываете максимальную длину:

максимальная длина, указанная в поле пароля, должна читаться как ПРЕДУПРЕЖДЕНИЕ: Любой разумный, сознательный пользователь безопасности должен предполагать худшее и ожидать, что этот сайт хранит ваш пароль буквально (т. е. не хэшируется, как объясняет epochwolf).

в этом случае это так: (a) избегайте использования этого сайта как чумы, если это возможно [они, очевидно, знают орехи о безопасности] (Б) если вы должны использовать сайт, убедитесь, что ваш пароль уникален — в отличие от любой пароль, который вы используете в другом месте.

Если вы разрабатываете сайт, который принимает Пароли, не ставьте глупый предел пароля, если вы не хотите получить смолу с той же кистью.

[внутренне, конечно, ваш код может рассматривать только первые 256/1028/2k / 4k(независимо) байты как "значительные", чтобы избежать хруста на Мамонтовых паролях.]

разрешение полностью неограниченной длины пароля имеет один главный недостаток, если вы принимаете пароль из ненадежных источников.

отправитель может попытаться дать вам такой длинный пароль, что это приводит к отказу в обслуживании для других людей. Например, если пароль составляет 1 ГБ данных, и вы тратите все свое время, принимайте его, пока не закончится память. Теперь предположим, что этот человек посылает вам этот пароль столько раз, сколько вы готовы принять. Если вы не будете осторожны другие параметры, связанные с этим, могут привести к DoS-атаке.

установка верхней границы на что-то вроде 256 символов кажется чрезмерно щедрой по сегодняшним стандартам.

во-первых, не предполагайте, что у банков есть хорошие специалисты по ИТ-безопасности, работающие на них. много не.

тем не менее, максимальная длина пароля бесполезна. Это часто требует от пользователей создания нового пароля (аргументы о ценности использования разных паролей на каждом сайте в стороне на данный момент), что увеличивает вероятность того, что они просто запишут их. Он также значительно увеличивает восприимчивость к нападению, любым вектором от грубой силы к социальному машиностроение.

максимальный предел длины пароля теперь обескуражен шпаргалкой аутентификации OWASP

цитируя весь абзац:

более длинные пароли обеспечивают большую комбинацию символов и, следовательно, затрудняют злоумышленнику угадать.

минимальная длина паролей должна поддерживаться приложением. Пароли короче 10 символов, считаются слабыми ([1]). Хотя применение минимальной длины может вызвать проблемы с запоминанием паролей среди некоторых пользователей, приложения должны поощрять их устанавливать парольные фразы (предложения или комбинации слов), которые могут быть намного длиннее, чем обычные пароли, и все же намного проще запомнить.

максимальная длина пароля не должна быть установлена слишком низко, так как это предотвратит создание пользователями парольных фраз. Типичная максимальная длина 128 символов. Парольные фразы короче 20 символов обычно считаются слабыми, если они состоят только из строчных латинских символов. Каждый персонаж имеет значение!!

Читайте также:  Если завис комп что сделать

убедитесь, что каждый символ, вводимый пользователем, фактически включен в пароль. Мы видели системы, которые усекают пароль на длину короче, чем то, что предоставил пользователь (например, усекается на 15 символов при вводе 20). Это обычно обрабатывается путем установки длины всех полей ввода пароля, чтобы быть точно та же длина, что и пароль максимальной длины. Это особенно важно, если максимальная длина пароля короткая, например 20-30 символов.

одна из причин, по которой я могу себе представить для обеспечения максимальной длины пароля, — это если интерфейс должен взаимодействовать со многими устаревшими системными бэкэндами, один из которых сам обеспечивает максимальную длину пароля.

другой процесс мышления может заключаться в том, что если пользователь вынужден идти с коротким паролем, они с большей вероятностью изобретут случайную тарабарщину, чем легко угаданную (их друзьями/семьей) фразу или псевдоним. Этот подход, конечно, эффективен только в том случае, если frontend обеспечивает смешивание чисел / букв и отклоняет пароли, которые имеют любые словарные слова, включая слова, написанные на L33T-speak.

одна из потенциально допустимых причин для введения максимальной длины пароля заключается в том, что процесс его хэширования (из-за использования медленной функции хэширования, такой как bcrypt) занимает слишком много времени; что-то, что может быть злоупотреблено для выполнения DOS-атаки на сервер.

опять же, серверы должны быть настроены на автоматическое удаление обработчиков запросов, которые занимают слишком много времени. Так что я сомневаюсь, что это будет большой проблемой.

Я думаю, что вы очень правы в обоих пунктах. Если они хранят хэшированные пароли, как и должны, длина пароля не влияет на их схему БД. Наличие открытой длины пароля создает еще одну переменную, которую должен учитывать злоумышленник грубой силы.

трудно найти оправдание для ограничения длины пароля, кроме плохого дизайна.

единственное преимущество, которое я вижу в максимальной длине пароля, — это устранить риск атаки переполнения буфера, вызванной чрезмерно длинным паролем, но есть гораздо лучшие способы справиться с этой ситуацией.

хранение дешево, зачем ограничивать длину пароля. Даже если вы шифруете пароль, а не просто хэшируете его, 64-символьная строка не займет намного больше, чем 6-символьная строка для шифрования.

скорее всего, банковская система накладывается на более старую систему, поэтому они смогли разрешить только определенное пространство для пароля.

Мой банк тоже. Раньше он разрешал любой пароль,и у меня был 20 символов. Однажды я изменил его, и вот, он дал мне максимум 8 и вырезал не буквенно-цифровые символы, которые были в моем старом пароле. Для меня это не имело никакого смысла.

все серверные системы в банке работали раньше, когда я использовал свой пароль 20 char с не альфа-цифрами, поэтому поддержка legacy не может быть причиной. И даже если бы это было так, они все равно должны позволить вам произвольные пароли, а затем сделать хэш, который соответствует требованиям устаревших систем. Еще лучше, они должны исправить устаревшие системы.

решение смарт-карты не пойдет хорошо со мной. У меня и так уже слишком много карт. Мне не нужен еще один трюк.

Если вы принимаете пароль произвольного размера, то предполагается, что он усекается до длины занавеса по соображениям производительности, прежде чем он хэшируется. Проблема с усечением заключается в том, что по мере увеличения производительности сервера вы не можете легко увеличить длину перед усечением, поскольку его хэш будет явно отличаться. Конечно, у вас может быть переходный период, когда обе длины хэшируются и проверяются, но это использует больше ресурсов.

игнорируйте людей, говорящих не проверять длинные пароли. Owasp буквально говорит, что 128 символов должно быть достаточно. Просто чтобы дать достаточно пространства для дыхания, вы можете дать немного больше, скажем, 300, 250, 500, если хотите.

длина пароля более длинные пароли обеспечивают большую комбинацию символы и, следовательно, затрудняют атакующему догадка.

максимальная длина пароля не должна быть установлена слишком низко, так как это предотвратит пользователям создавать пароли. типичная максимальная длина-128 персонажи. Парольные фразы короче 20 символов обычно считается слабым, если они состоят только из строчных латинских символов.

Читайте также:  Как синхронизировать телефон с компьютером яндекс

должна ли быть максимальная длина? Это любопытная тема в нем в том, что более длинные пароли, как правило, труднее запомнить, и поэтому с большей вероятностью записываются (большой нет-нет по очевидным причинам). Более длинные пароли также чаще забываются, что, хотя и не обязательно представляет угрозу безопасности, может привести к административным проблемам, потере производительности и т. д. Администраторы, которые считают, что эти проблемы актуальны, скорее всего, наложат максимальную длину на пароли.

I лично считаю по этому конкретному вопросу, каждому пользователю свое. Если вы думаете, что можете запомнить пароль из 40 символов, то тем больше силы вам!

сказав, что, хотя пароли быстро становятся устаревшим режимом безопасности, смарт-карты и аутентификация сертификата оказываются очень трудными для невозможности грубой силы, как вы заявили, это проблема, и только открытый ключ должен храниться на сервере с закрытым ключом на вашей карте/компьютере в любое время.

более длинные пароли или парольные фразы сложнее взломать просто на основе длины и легче запомнить, чем требовать сложный пароль.

Вероятно, лучше всего идти на довольно длинную (10+) минимальную длину, ограничивая длину бесполезной.

устаревшие системы (уже упомянутые) или взаимодействие с системами внешнего поставщика может потребовать 8-символьной крышки. Это также может быть ошибочная попытка спасти пользователей от самих себя. Ограничение его таким образом приведет к слишком большому количеству pssw0rd1,pssw0rd2 и т. д. пароли в системе.

одна из причин Пароли не хешируются используется алгоритм аутентификации. Например, некоторые дайджест алгоритмы требовать текстовую версию пароля на сервере, поскольку механизм аутентификации включает в себя как клиент, так и сервер, выполняющий те же математические вычисления на введенном пароле (который, как правило, не будет производить тот же вывод каждый раз, когда пароль сочетается со случайно сгенерированным "nonce", который разделяется между двумя машины.)

часто это может быть усилено, так как дайджест может быть частью вычислен в некоторых случаях, но не всегда. Лучший маршрут для пароля должен храниться с обратимым шифрованием — это означает, что источники приложений должны быть защищены, поскольку они будут содержать ключ шифрования.

digst auth существует, чтобы разрешить аутентификацию по незашифрованным каналам. При использовании SSL или другого полного шифрования канала, то нет необходимости использовать дайджест-проверки подлинности механизмы, то есть пароли могут храниться хешированными (поскольку пароли могут быть отправлены открытым текстом по проводу безопасно (для заданного значения safe).

старайтесь не накладывать никаких ограничений, если это не необходимо. Будьте осторожны: это может и будет необходимо во многих разных случаях. Одной из таких причин является работа с устаревшими системами. Убедитесь, что вы хорошо протестировали случай очень длинных паролей (может ли ваша система иметь дело с 10Mb длинными паролями?). Вы можете столкнуться с проблемами отказа в обслуживании (DoS), потому что ключевые функции Дефивации (KDF), которые вы будете использовать (обычно PBKDF2, bcrypt, scrypt), займет много времени и ресурсов. Пример из реальной жизни: http://arstechnica.com/security/2013/09/long-passwords-are-good-but-too-much-length-can-be-bad-for-security/

Просто 8 символов длинные пароли звучат просто неправильно. Если должен быть предел, то по крайней мере 20 char-лучшая идея.

Я думаю, что единственное ограничение, которое должно применяться, — это ограничение на 2000 букв или что-то еще, но только для ограничения размера базы данных, если это проблема

Требовать надежного пароля

По умолчанию MDaemon требует придумать надежный пароль при создании новых учетных записей или смене старого пароля. Удалите метку из поля, чтобы отключить требование надежного пароля.

Надежный пароль должен:

• Соответствовать требованиям к минимальной длине.

• Содержать символы в верхнем и нижнем регистрах.

• Содержать буквы и цифры.

• Не содержать полного имени пользователя или почтового ящика.

• Отсутствовать в списке плохих паролей.

Читайте также:  Поиск драйвера по vid pid

Минимальная длина пароля (не менее 6 символов)

Эта опция позволит задать минимальную длину пароля, который будет восприниматься системой как надежный. Минимальное значение параметра составляет 6 символов, но рекомендуется указать большее значение. Изменение настройки не затронет уже существующие пароли, которые могут быть короче заданного минимума. Однако, в следующий раз, когда пользователь захочет изменить пароль, ему будут предьявлены новые требования, определяемые этой опцией.

Независимо от предъявляемых требований к минимальной длине пароля, пароль может быть длиннее 15 символов .

Редактировать файл плохих паролей

Нажмите эту кнопку для редактирования файла плохих паролей. Записи в этой файле не чувствительны к регистру и не могут использоваться в качестве паролей. Здесь можно использовать регулярные выражения (строки должны начинаться с символа "!" ).

Принудительная смена ненадежных паролей

Щелкните по этой кнопке, чтобы обеспечить принудительную смену всех ненадежных паролей, используемых учетными записями. Каждая учетная запись с ненадежным паролем будет заблокирована до смены пароля. Пароль может быть изменен администратором через интерфейс MDaemon, а заблокированные пользователи могут поменять пароль из Webmail или через интерфейс удаленного управления. При попытке подключения со старым паролем пользователю будет предложено создать новый пароль перед тем, как он сможет продолжить работу.

Сообщать о ненадежных паролях

Щелкните по этой кнопке, чтобы сгенерировать отчет обо всех учетных записях MDaemon, использующих ненадежные пароли. После нажатия на кнопку OK отчет будет отправлен по указанному вами адресу.

Срок действия пароля, в днях (0=срок действия пароля не ограничен)

Эта опция позволяет задать максимальное количество дней, в течение которого учетная запись может не менять пароль. По умолчанию используется значение "0", означающее что, срок действия пароля не ограничен. Если ограничить этот срок, например, 30 днями, то пользователь должен будет поменять пароль в течение 30 дней с момента последней смены пароля учетной записи. Если эта опция включена и владелец учетной записи не сменил пароль по истечению заданного срока, такой пароль считается просроченным и пользователь лишится доступа к серверу через POP, IMAP, SMTP, Webmail и Remote Administration. Пользователь сможет подключаться к Webmail или Remote Administration, но для продолжения работы ему будет предложено изменить пароль. Изменить пароль из почтового клиента, наподобие Outlook или Thunderbird, нельзя. Многие почтовые программы не показывают подробности при ошибке подключения к серверу, поэтому пользователям может потребоваться помощь администратора, чтобы разобраться с проблемой.

Для смены пароля через Webmail или Remote Administration пользователю должно быть предоставлено право "…редактировать пароль" на экране разрешений веб-доступа на экране Веб-сервисы . Будьте осторожны с этой опцией, поскольку для некоторых пользователей смена пароля может оказаться чересчур трудной задачей.

Ежедневно уведомлять пользователя об окончании срока действия пароля в течение [xx] дней (0=никогда)

При приближении окончания срока действия пароля пользователю отправляется напоминание о необходимости сменить пароль. Эта опция задает, за сколько дней до окончания срока действия пароля MDaemon начинает ежедневно отправлять такие напоминания.

Запоминать такое количество старых паролей (0=не запоминать)

Воспользуйтесь этой опцией для указания количества старых паролей, запоминаемых сервером MDaemon для каждого пользователя. При смене пароля сервер не разрешит повторно воспользоваться старым паролем. По умолчанию значение этой опции равно "0" (отключено).

Использовать необратимое шифрование для хранения паролей к почтовым ящикам

Включите эту опцию, если хотите, чтобы сервер MDaemon использовал необратимое шифрование для хранения паролей. Этот механизм сделает пароли недоступными для расшифровки сервером MDaemon, администратором или вероятным инициатором атаки. Для решения указанной задачи MDaemon использует функцию хэширования паролей bcrypt, которая поддерживает достаточно длинные пароли (до 72 символов) и обеспечивает их безопасность при экспорте и импорте учетных записей. Стоит отметить, что некоторые из существующих функций несовместимы с данным механизмом (например, обнаружение ненадежных паролей или авторизация APOP и CRAM-MD5), поскольку они предполагают возможность расшифровки пароля сервером MDaemon. Необратимое шифрование паролей включено по умолчанию.

Ссылка на основную публикацию
Технология etth что это
ETTH — Ethernet To The Home (ETTH) is a specific application of Fiber to the premises (FTTP) that first emerged...
Схема бп fsp350 60evf
Внимание! Все работы с силовыми цепями необходимо проводить соблюдая технику безопасности! В сети интернет можно найти очень много описаний и...
Схема включения синхронного генератора
Цель работы: целью лабораторной работы является изучение методов подключения генератора к системе методом точной синхронизации в ручном режиме. При подключении...
Технология nfc в наушниках что это
NFC — это аббревиатура от английского Near Field Communication. С помощью этой технологии становится возможным обмен данными между различными устройствами,...
Adblock detector