Я натрапив на досить багато сайтів, які або обмежують довжину, на яку вони дозволяють створювати паролі, і / або забороняють певні символи. Це обмежує мене, оскільки я хочу розширити і подовжити простір пошуку свого пароля. Це також дає мені незручне відчуття, що вони можуть не поспішати.

Чи є вагомі причини для встановлення верхньої довжини або для виключення символів у паролях?

Ні

Там немає хороших причин.

EDIT: Я не можу довести, що немає вагомих причин, тому що не можна довести негатив. Я не можу думати, що для цього немає вагомих причин - як зазначали інші, хеш буде однакового розміру незалежно від розміру вводу, а усунення дійсних символів (з контексту питання) просто зменшує простір стану. Відповідь на її обличчі здається очевидною: немає вагомих причин. Можливо, існує велика кількість причин, які звучать добре або здаються гарними, але вони не є. Якби вони були, хтось уже розмістив би їх тут, або якби не тут, то, звичайно, на security.stackexchange.com, і ця відповідь не була б такою сильною репутацією.

Обмеження довжини може бути мірою для обмеження часу виконання хешування, а також обмеження пропускної здатності (і обидва вони дійсно граничні). Крім цього, немає вагомих причин, особливо з точки зору безпеки.

Можна сказати: «Люди забудуть довші паролі легше» - але це справді дурне твердження і зовсім не доходить до справи.

Що стосується символів, якщо ви знаєте про можливі проблеми кодування з передачею даних та / або міграцією в майбутньому (наприклад, ви перейдете з ASCII на UTF-8 через 2 роки), що дозволяє більше символів бути корисними лише для надійності паролів.

Так , для особливих персонажів є причина.

Заборона використання спеціальних символів - це скоріше корисність, а не безпека. Перш за все, вони можуть заблукати через проблеми кодування. По-друге, навіть якщо ви гарантуєте, що завжди будете використовувати одне і те ж кодування, все ще існує проблема пристрою введення. Ви б залежали від наявності повної клавіатури (яка виключає більшість мобільних пристроїв) з ​​однаковою компонуванням клавіатури. Пізніше різняться не тільки між мовами, але і між ОС, макети для Windows, Linux та OSX можуть дещо відрізнятися. Так що я бачу хороший привід , щоб не допустити пароль , як: √Ω≈ç∫∞§…¬å∑±.

Кілька років тому в світі безпеки була суперечка, коли клієнти Chase виявили, що їх паролі не залежать від регістру. Виявилося, що їх веб-сторінка була лише переходом до 30-річної системи резервного копіювання OS / 400, яка мала технічне обмеження, оскільки вона ігнорувала випадок. Виправлення цього, очевидно, коштувало б мільйонів доларів.

Справа в тому, що можуть не бути дорогими застарілими причинами заборони паролів певної довжини.
(Зверніть увагу, що я не вибачаю цього виправдання ...)

Більшість банків, ІТ-відділи тощо. Хто застосовує максимальні обмеження паролів, цього не роблять з технічних причин. Вони прекрасно знають, як працює хешування паролів та як зберігати складні паролі. Вони встановлюють ці обмеження, оскільки це зменшує кількість дзвінків на підтримку людей, які забули свої паролі. Чи це вагома причина накласти таке обмеження? Ні в якому разі. Але, тим не менше, це головна причина.

Не всі пристрої введення (апаратні) часто мають усі символи, які має повна клавіатура, або аналогічно. Якщо ви не використовуєте диспетчер паролів, ви можете зіткнутися з проблемою введення такого пароля, ні? І Unicode все ще далекий (далекий) шлях від стандарту.

Чи є вагомі причини для встановлення верхньої довжини або для виключення символів у паролях?

Я збираюся здогадатися і сказати, що деякі з цих обмежень пов’язані з фільтруванням символів на їхньому веб-сайті ( & < > #), щоб уникнути хакерів. У той час як інші - це ідеї, що виходять з костей, які виходять з комітетів гострих волосистих босів.

Я зіткнувся з низкою дійсно дурних (на мою думку) рішень з безпеки. Наприклад, одна велика інвестиційна компанія обробляє мої рахунки IRA, а також мою пенсію. Для того, щоб здійснити будь-який контакт з пенсією, потрібно ввести пароль по телефону (інакше ви не можете їх отримати). Мій обліковий запис посередника / ІРА використовує літери (верхній і нижній регістр), а також деякі пунктуаційні знаки - жоден з цих символів не відображається на телефонній панелі номера телефону. Якщо ви не можете увійти за допомогою пароля по телефону, він дозволяє скинути пароль вашого брокерського рахунку на те, що ви можете ввести по телефону.

Моя система оплати праці (для консалтингової компанії, в якій я працюю) вимагає номери, і лише номери - це дозволяє їм використовувати ту саму базу даних, незважаючи на те, що користувач дзвонив (я ніколи цього не робив) або використовує веб-інтерфейс (я використовую лише це) .

Коли це було сказано, пора змінити свій пароль в офісі. Вони мають такі шалені обмеження, що, на мою думку, знадобиться приблизно півдня на пошук пароля, прийнятного для системи: принаймні 2 великі літери, принаймні 2 малі літери, принаймні 2 цифри (що не може бути +/- 1 з попереднього пароля), принаймні 2 символи, що не містять альфа / нечислових значень, не можуть відповідати жодному з останніх 24 паролів, не можуть містити жодної рядки (вперед або назад), що є словом (довжиною 3 та більше літер) англійською мовою ( також ще пару мов, яких я не маю дозволу знати). Я думаю, що мінімальна довжина приблизно 10-11 символів.

Однією з причин обмеження символів було б те, як вводиться пароль тоді.

Наприклад, кілька банків зі своїми веб-сайтами Інтернет-банкінгу запитують конкретні символи з пароля, і ви вибираєте відповідні символи через спадне поле.

Вони роблять це, мабуть, так, щоб кейлоггери не могли виявити натискання клавіш, і, таким чином, знати [символи з] вашого пароля. Хоча я знаю, що існує багато інших способів уникнути таких заходів, наприклад, захоплення екрана; він все ще ефективний проти кейлоггерів.

Якби вони мали дозволити всі символи, то довжина випадаючого поля стала б громіздкою, а також дозволила б заплутатися між схожими на вигляд символами.

Заборона відключення спеціальних символів, таких як вкладка, буде дійсним. Ви можете увійти або змінити свій пароль за допомогою вкладки в текстовому режимі, але не можете використовувати його в GUI або веб-середовищі. Зворотний кут нахилу також відображатиме деякі проблеми на платформі.

btw довгі паролі - не паролі - це паролі. Ваш середній користувач не може запам'ятати 2Z8d!% G # x, але вони можуть запам'ятати "ім'я мого домашнього улюбленця - це собака". Більш довгий текст важче розірвати через грубу силу, і набагато рідше це буде написано на примітці, прикріпленій до екрана.

Коли люди набирають помилки, їх називають "помилками". Зазвичай люди бачать свої помилки і виправляють їх. Для введення пароля, як правило, ви не бачите, що ви ввели, і тому ви не можете виправити помилки. Ви робите помилки, не усвідомлюючи цього, подаєте свій пароль, і він повертається як "недійсний пароль". Потім ви спробуйте ще раз. Потім ви спробуйте ще раз.

Ви можете подумати про це як "3 незначні друкарські помилки, і тоді ви не відрізняєтесь від грубої атаки". Як системи захищаються від жорстоких атак? Явна відповідь " Занадто багато спроб, відійдіть, ви не зможете увійти, навіть якщо ви все зробите правильно "? Експоненціально зростаючі затримки з введенням пароля призводять до тимчасових затримок веб-переглядача, коли затримка занадто довга, що робить неможливим спробувати знову увійти? Підходи різняться, але в добре продуманій системі завжди є наслідки.

Ви можете подумати про це як "3 незначні друкарські помилки, і тоді ви отримаєте якусь відмову в обслуговуванні".

Зі збільшенням довжини пароля збільшується ризик помилок (а отже, і ризик заборонити доступ до уповноваженої особи) збільшується. Що-небудь довше, ніж приблизно 20 символів, буде неправильно вводити помилку (якщо тільки користувач не розумний / ледачий і зберігає свій пароль кудись, щоб вони могли "копіювати та вставляти", не турбуючись про помилки, як приємний звичайний текстовий файл на робочому столі під назвою " паролі" .txt ").