Interfaces
Comments 156
+36
С ограничением длины снизу всё понятно, но кому нужно ограничение сверху?

Как я вас понимаю. На днях пытался сменить пароль на аську. У них ещё больший маразм: максимальная длина — 8 символов. Мне дико интересно из каких соображений делают такие вещи?
+19
Как зачем? Чтобы угонять номера покрасивше было не так сложно.
+5
где-где, а вот асечные пароли должны быть минимум 12 символов + строгое требование спец символов + чем короче аська, тем длиннее пароль=)
для меня тоже эта загадка непостижима.
0
Для этого существуют два контрольных вопроса при восстановлении пароля
0
Если не изменяет память, то через рамблер можно поставить пароль длинее
0
Как вариант:
регистрируете ящик на рамблере,
ставите очень длинный и хороший пароль,
привязываете к нему аську,
а на самой аське ставите какой-нибудь простой 8-ми символьный пароль.

Если у вас украдут аську, то заходите на рамблер и меняете пароль на ящик.
0
Попробовал зарегистрировать почту на рамблере с 100 символьным паролем — Указан недопустимый пароль
0
традиция — ограничение протокола — он же создавался в… э-э-э прошлом веке где-то
+1
Ещё у них дурацкое ограничение на минимальную длину ответа на секретный вопрос. Тоже на днях столкнулся. Есть куча имён животных из трёх букв.
+5
Самые правильные контрольные вопросы и ответы это что-то типа
«sdlkjfiwoeqowdcknalnkJLJKIOJNLkjsckl;j» и «KLJlKDJKLqwerp_P-=er-W+03»
-4
6273c8b7c54904062b57a78e2c26d19d!!!!!!1111111c4ca4238a0b923820dcc509a6f75849b!c4ca4238a0b923820dcc509a6f75849b!
0
насколько я помню раньше вводилось 8 символов, а реально использовалось 7! Т.е. 8ой символ был для красоты. Но если вспомнить в какие годы зародилась ICQ, то удивляться не приходится;)
0
Возможно в последних версиях используются все 8 символов для авторизации…
+6
Действительно странно. как-то не задумывался.
Ведь если хранить хеш в базе, то все равно какой длины пароль, md5 по-любому 32 символа будет
+10
Не знаю чем, но чем-то задним чувствую, что те, кто ограничивают пароль сверху, не считают нужным делать хеш пароля. Других внятных объяснений такого ограничения не вижу.
-2
LinkedIn не считает нужным делать хеш пароля? Вход по HTTPS догадались сделать, а тут не догадались? Посмешили :)
+4
Вы не представляете, насколько много разработчиков пренебрегают хранением хешей и хранят пароли в открытом виде. Пример — в контакте.
-5
(сейчас здесь появится язвительный комментарий о вконтакте и наберёт много плюсов)
0
Мне было странно видеть такое в альфаклик. Особенно рядом с одноразовыми смс-паролями и тп.
-1
Одноразовые смс-пароли в альфаклике хранятся plaintext'ом, а иначе вы не смогли бы их получить по смс (можно, конечно, и хеш хранить, но какой смысл, если смс-ка идет текстом и системе смс-шлюза все равно ее извлекать в чистом виде?)
UFO landed and left these words here
UFO landed and left these words here
+7
Такой же маразм — ограничения на допустимые символы в пароле. Бывает и такое, что разрешают только a-Z0-9 :)
0
Угу, как будто бы тильдочки и собачки сложнее поддаются хэшированию :-)
0
Ага, потом сопрут базу с этого сайта и набрутфорсят за час паролей. Не дело.
+1
не все программисты хорошие юзабилити-спецы. я бы даже сказал, что таких единицы.
Тут сэкономили на юзабилити-тестировании, там сэкономили- вот и накапливается по мелочам недовольство пользователей.
+7
Лично меня больше раздражает когда регистрируешься на один раз специально вводя мыло-для-всего и пароль-для-всего, но мне не разрешают использовать пяти символьный пароль.

Выдайте мне хоть 10 предупреждений об опасном пароле, но дайте сделать по-своему!
0
Мы тоже когда-то считали, что проблема паролей, которые легко подобрать,— проблема пользователей. Пока количество пользователей не превысило несколько миллионов и злоумышленники-спамеры элементарной проверкой по спам-базе и паролю 123456 не заполучили доступ к пусть сильно меньше чем 1% аккаунтов, не все-таки к внушительному количеству в абсолютных числах.

Правда регистрироваться мы позволяем с 5 и больше любых символов, но вот при аутентификации с таким паролем заставляем его поменять с подтверждением по email. Таким образом и регистрация не теряется из-за простого пароля, и пользователь если решит зайти во второй раз именно по паролю вынужден будет его сменить.
0
На каком-то числе символов всё равно придётся обрезать, иначе будут использовать текст «войны и мира» в качестве пароля.
-8
«640КБ должно быть достаточно для каждого» (640K ought to be enough for anybody) — легендарная фраза, приписывается Биллу Гейтсу, основателю Microsoft, 1981-й год
-8
Я в курсе, к чему относилась эта фраза, просто к слову пришлось, чего минусовать-то…
+3
Хехе. Как-то мой KeePass сгенерил пароль со следующей конструкцией внутри хххххххххх\nххххxxxxx.
Хорошо, что секретное слово вбил и запомнил, так как потом он не принимался.
0
Полностью поддерживаю, не понятно зачем так ограничивать пользователя. Наверное создатели — заказчики сайтов думают, что они заботятся о пользователе.

Например недавно столкнулся с требованием при создании интернет магазина, ограничить максимальное кол-во сравниваемых товаров 5 позициями… Зачем мне так и не смогли внятно объяснить — просто в голову пришло видимо.
+1
Вспомнилось ещё. Меня бесит, что в банк-клиенте моего банка нельзя получить выписку со счёта больше, чем за 90 дней. 90 можно, 91 нельзя. С 1 октября по 31 декабря хотите? А фиг вам! При этом можно как-то понять, если старые записи у них не хранятся, но период можно выбрать и пару лет назад, главное не длиннее 90 дней. Неужели жалко выдавать хоть за всё время существования банка? Ну и что, что 500 записей. Юзер сам захотел.
0
Интрнет банке моего банка, то же только период 90 дней, но выбрать больше нельзя. А вот иногда хочется больше 90 дней.
0
Не знаю может это какое то техническое ограничение систем банковских? Есть народ который сталкивался с банками изнутри?
0
Я думаю, что тяжёлое наследие докомпьютерных времён, когда выписки получали на бумаге и за деньги. Но тут же бесплатно, я подряд могу сделать несколько выписок за смежные периоды. Инертность мышления?
0
Прям сейчас ообщался с одним банковским человечком. Он мне сказал:
1) У них максимальный диапазон — 180 дней
0
Упс, отправилось неожиданно.

2) Это сделано в качестве защиты от больших нагрузок на сервер.
+3
Угу, так обычно и говорят. При этом вряд ли кто-то измерял эти «большие нагрузки». Если банку 10 лет, то максимальный период всего в 20 раз больше этих 180 дней. Если их серверу тяжело на один запрос пользователя вытащить тысячу записей из базы и отдать по HTTP, может, сервер слабоват? :-) Нет, очевидно лучше заставить пользователя эти 20 раз кликать в интерфейсе, перебирая диапазоны и суммарно нагрузив сервер ещё сильнее.
0
Зачастую используеться устаревший софт, и соотвественно не самого лучшего вида структура БД поэтому т.к. софт писался например еще в 90, а наследие до сих пор даже в 2010. Банк-софта в России всего грубо говоря 4 вендора серьезных.
0
Ясно, спасибо. Видимо не технические ограничения, видимо инертность мышления.
+1
Там как-то странно. Маркетинг. Приходите в отделение и вам за сотню-другую дадут выписку за год.
+1
Я в банке обитаю. Это ограничение введено из-за больших нагрузок на сервер, когда ему памяти не хватает, чтобы перелопатить 200гиговую базу данных за несколько лет назад, и он начинает свопить и тормозит все транзакции. А на 90 дней назад серверу памяти хватает, и такие запросы проходят потоком, тем более, что обычно все запрашивают именно за последний период, и все данные уже закэшированы. Редкие пользователи, запрашивающие 90 дней годовой давности, общей картины не портят.
Пока этого ограничения не было, народ запрашивал по-максимуму, и выписку приходилось ждать иногда минут по 10.
+1
Мне кажется, в таком случае юзабельнее выдавать, скажем, 20 последних транзакций и показывать странички. Редкий пользователь ткнёт на вторую страничку, а первая для каждого пользователя может быть в кэше. Зато пользователю не нужно напарываться на неприятное сообщение об ошибке.
+1
Это было бы отличным объяснением, если бы не то, что в моем банке такого ограничения, например нет. Работает по принципу предыдущего комментария, банк выдает последние 20 записей, а, там, если хочешь хоть за 3 года (наверное и больше, но я с ними столько работаю). И вы знаете, быстро отдает, пара секунд.
Отсюда делаю вывод — проблема в реализации.
0
Видать фиговая банковская система, в нашей просто в разных таблицах документы текущего дня со своими транзакциями и отдельно архивная таблица, и запросы к ней на текущую работу не влияют. П.с. ограничения в 90 дней у нас нет :)
0
Может быт у вас просто один банк? Банк, которым пользуется фирма, в которой я долго работал не имел этого ограницения
0
Я бы, мягко говоря, не понял, если бы в банке не хранились записи старше 90 дней.
0
Ну они могут храниться, но, скажем, в каком-нибудь труднодоступном архиве, примерно как windessy выше написал.
+1
Хех! Я тут на сайте Philips бритву подбирал. Так у них вообще три позиции допускается к сравнению. Видимо, считают, что больше никто сравнивать не будет.
+1
Да сравнение 3 позиций это круто, «многообразие» выбора просто :)
+1
по поводу сравнения товаров — скорее всего при тестировании увидели как разваливается верстка при бОльшем кол-ве товаров и «исправили» недочет
0
Так это заказчики такие ограничения сочиняют, я думал программисты.
+1
Нет наверное и среди разработчиков могут найтись такие кто придумывает такие ограничения, но в основном это заказчик. По крайней мере в моей практике.
+1
Например, на Яндексе не дают использовать в пароле символы «точка» и «запятая», а также не дают больше 20 символов, хотя года 3 назад можно было. Вот хоть бы смысл был какой.
0
более того, у них в Я.Онлайн длинные пароли не проходят! то есть если у тебя 20 символов пароль на яндексе, то в Я.Онлайне не зайдешь никогда.
0
Как раз несколько дней назад оставил фидбэк администрации одного соц. сайта, где длина пароля по неясным причинам не может превышать 12 символов.

Интересно было бы услышать аргументацию человека, установившего такое ограничение: чем именно он руководствовался?
0
В сервисах Яндекса стоит ограничение пароля в 20 символов.
Как-то я спросил у Бобука, что за странность, — он ответил, что в подавляющем большинстве случаев этого достаточно.

Но, как по мне, если я захотел ввести 40-символьный пароль, я должен иметь возможность это сделать :)
+1
У подавляющего большинства людей нет компьютеров, надо перевести Яндекс в офлайн полностью в таком случае.

Сдается мне что это ограничение делают те разработчики, которым наплевать на свою работу. Как получилось спроектировать базу на коленке, такое ограничение и будет. И переделывать им потом уже ой как не охота.
+6
Ещё очень раздражают обязательные «подсказки» и вопросы для восстановления пароля. Ну какая может быть подсказка для пароля «nkXC8e4oYljG4zvG»?
+6
а у меня и подсказки аналогичные: «lfhLKJFHKLFJewfe» и все аккуратно записано =)
+2
И сразу должен быть забыт! Именно тогда он будет надёжным и не подверженным взлому терморектальными средствами.
0
а как такое запомнить? тем более я пишу в тетрадь, и не использую электронные накопители. хотите пароли, пожалуйте ко мне домой)
+1
Наверное это все же не от отсутствия юзабилити, а от его перебора. Погоня за пользователем начинается в сокращении количества полей, кликов для регистрации, а кончается наверное мыслью «пусть пользователь по-быстрому введет пароль небольшой, а то не вспомнит потом. Да и долго как это, длинный пароль вбивать!»
-2
Я не знаю для чего вот ТАКОЕ ограничение делают..., но если «просто так» !?!?! (встаю с кресла и ухожу делать чай с бергамотом)
0
Помнится, в старом солярисе максимальная длина пароля была 8 символов. Вот уж где засада…
0
Ещё часто ограничивают совсем безобидные символы в логине. Ну дайте мне вписать точки (если нет логина в субдомене как на хабре). А без точек так логин из 2 букв им не нравится. Сам когда делаю регистрацию по минимуму ограничиваю пользователей.
0
Ну, точки в субдомене можно заменять на дефисе, как в ЖЖ, например.
0
Некоторые системы хранят пароли в открытом виде, там это ограничение обусловлено длиной поля в таблице БД.
+2
Даже если так, сделайте поле хоть 255 символов длиной. А можно и TEXT. Форумы хранят миллионы длинных сообщений и бодренько их показывают. Одно дополнительное длинное поле в таблице пользователей неимоверно загнёт БД?

Тут, возможно, какое-то чувство жадности играет. Программист думает «Какой бы длины сделать поле? Сделаю-ка я 32 символа… Нет, 32 — много, сделаю 16». А кому много и почему — непонятно.
0
имел подобные проблемы с MSN. Там ограничение 16 символов. Что забано — пиджин позволяет сохранить пароль любой длины, но при этом правильно общается с МСНом, а вот зайти на их вебсайт с более длинным паролем не выходит — история точь в точь как у вас.
0
А еще бесят т.н. «недопустимые символы» в пароле — знаки препинания, кавычки, апострофы, прочие кракозябры…
0
У меня та же самая история была с паролем Windows Live ID. На компьютере спокойно поменял пароль на 20-символьный, который по-тихому обрезался до 16 символов, а потом, когда пытался залогиниться с телефона — я обматерился.
+2
> С ограничением длины снизу всё понятно
кому понятно?
мне вот никуя не понятно.

это мой пароль, мой акк, как хочу так и защищаю.

захочу — вообще без пароля сделаю…

почему мне не дают поставить мой любимый пароль из 3-х букв?
0
А потом админ/программер/саппорт виноват, что от вашего имени всякую чушь писали и всю карму вам слили.
+2
повторяю, это мой акк, и мой осознанный выбор.
не надо за меня решать
+3
Нет, не правильно. В первую очередь это чей-то сервис, и им потом не хочется разгребать все эти проблемы 3-х буквенных паролей. Это вы такой умный делаете осознанный выбор, а большинство обычных пользователей делает выбор неосознанный.
+1
сервис без пользователей — пустое место.
достаточно написать в форме регистрации — если у вас простой и короткий пароль — акк могут украсть. претензии при этом не принимаются.

и вообще, покажите мне сервис, который будет разбирать проблемы 20-буквенных паролей?
пошлют нах, и скажут сам дурак.
так что не аргумент.
0
Наткнулся на такую же проблему когда менял пароль для почты яндекса, когда он втихую обрезал кусок пароля, сгенерированного по обычному 128-бит профилю…
+4
Это еще на самое страшное… с регистрации РБК-Деньги:
Пароль необходим для входа в кошелек и может содержать буквы
латинского алфавита и цифры
. Длина пароля, должна быть не
менее 6 и не более 20 символов.

Мало того, что он не дает использовать ничего кроме цифр и латинского алфавита ни в пароле доступа к кошельку, ни в платежном пароле, при этом издеваясь над пользователем гордой надписью «Безопасность пароля: Надежный». Так они еще и поставили под индикатором безопасности пароля какую-то хренотень, похожую на поле ввода…

пипец, товарищи.
0
Интересно, у них на «надежность» пароля специальный регэксп придуман? :)
+1
Жутко бесит, когда надо вводить два раза пароль, или когда нельзя создать пароли вида JHgbvc6Xvg123. Во втором варианте типа несекьюрно, цифры 123 :)
0
2 раза пароль необходимо вводить например при изменении пароля т.к. иногда можно промахнутся по клавишам =)
0
Ну так можно сделать галку «Показать ввод пароля в открытом виде. За моим экраном никто не наблюдает.» Тогда в одной строке можно ввести сразу безошибочно и проверить глазами. Зачем мне скрывать ввод звёздочками, если я сижу за компом один в квартире?
0
Ну, в этом плане да. Я, к примеру, пользуюсь паролями длиннее 20 символов и часто в людных местах, поэтому я сам боюсь, что мог опечататься. Мне потвор пароля только на руку.
0
Кроме отображения пароля есть ещё и его восстановление, если вдруг установишь что-нибудь не то. Но нужно это не так часто, а два раза пароль всем вводить приходится.
+1
Меня ещё бесит ограничение на минимальную длину ника (обычно 3 символа). Вроде во всех популярных форумах такой бред. Вот не понимаю, чем какой-нибудь двухбуквенный ник хуже 3-х буквенного?
0
Потому что во многих форумах ограничение по нику стоит по умолчанию и редко когда админ лазит менять эту настройку. Так что вопрос к производителям форумов.
0
Они потом используют пароль в качестве имени переменной в своем скрипте? 8-Щ
+3
Из личного опыта.

americanexpress.com — разрешает ставить пароль 6-8 (строго, ни больше ни меньше), должно содержать как минимум одну букву и одну цифру, спецсимволы не разрешены. При этом разрешает вводить больше 8 символов (как при регистрации так и при логине), а после нажатия submit при регистрации — выдает ошибку.

att.com — минимум 6 символов, только буквы и цифры, не должно содержать части от вашего дня рождения, имени, номера телефона, мейла, более двух одинаковых символов подряд (аа — прокатит, ааа — не прокатит), также недолжно содержать больше трех подряд идущих символов (123, abc — прокатит, 1234, abcd — не прокатит)

discover.com — допустимый логин от 6-16 символов, пароль от 5 до 10 символов. Больше полагающихся символов система при регистрации или логине не дает ввести. Без спецсимволов.

bankofamerica.com — их система мне нравится больше всего. Пароль от 8 до 20 символов, должно содержать как минимум одну букву в верхнем регистре, одну в нижнем и одну цифру. Может содержать в себе: @#%*()+={}/\?~;":'.-_| Не может содержать в себе: пробел, <>&^![]. К тому же между вводом логина и пароля есть специальная система анти фишинга.
0
> должно содержать как минимум одну букву в верхнем регистре, одну в нижнем и одну цифру.

Подобные ограничения с одной стороны расширяют набор используемых символов, но с другой стороны ограничивают набор вариантов.
Скажем при таком раскладе доподлинно известно, что перебирать пароли состоящие только из букв нижнего (или верхнего) регистра не нужно.
UFO landed and left these words here
+5
«Извините, Вы не можете использовать указанный пароль. Такой пароль уже использует пользователь Misha. Пожалуйста, придумайте другой пароль.» © bash.org.ru :)
+1
Сначала была мысль, типа: «Подобные девелоперы в душе — злобные садисты и любители, чтобы «палочки были попендикулярны!»».

А потом подумал про другую сторону медали.

Твиттер.

Ограничен 140, типа из-за SMS`ки, а в итоге получается, что он заставляет человека напрячь мозг и выделить суть.

Хокку.

Типа как тов. Медведев сказал: «Разберитесь. Накажите виновных. Доложите в трехдневный срок.» Ровно 60 символов.

Такжэ есть ещё третий вариант — блондинке. Эти товарищи должны получать чоткие инструкции. Если пароль, то от сих до сих, а иначе рекурсивный взрыв мозга.

А ещё вариант, почему так делают:
— поле имеет ширину ИКС пискелей
— юзер (т.е. блондинко) вбивает свой паролик
— доходя до края поля блондинко видит, что нажатия её клавишей ничего не меняют в пароле (кружочки то не двигаются!!)
— epic FAIL.

Кароче истина оказалась глубже :)
+6
> доходя до края поля блондинко видит, что нажатия её клавишей ничего не меняют в пароле (кружочки то не двигаются!!)

Кстати, на эту тему простая идея: делать кружочки разного цвета или размера в зависимости от позиции:

Как минимум два преимущества — видно прокрутку и проще прикинуть число символов (со временем запомнишь, что твой пароль заканчивается на маленький кружочек и, если в очередной раз закончится на большой, значит опечатка). На CSS/JS должно быть несложно реализовать.
0
Нет, вероятно закрыт доступ с ip не из сети провайдера.
-1
Люблю, когда можно использовать вообще любые символы: спец. знаки, кириллицу, пробельные символы.
Хороший пример ICQ — в ней я использовал и \t, и \r\n, и пробел. Верхнее ограничение в 8 символов ни чуть не мешает — лишние символы, кажется, обрезаются.
0
Хороший пример в том, что любые знаки можно использовать, а не [a-z0-9]+
0
А зачем закрывать пароли звёздочками, при регистрации?
UFO landed and left these words here
0
Ну вот если брать на примерах, исходя из того что есть. (Я уж молчу про возможность OpenID) Сколько вам в жизни раз приходилось регистрироваться в том месте где ваш пароль могут подсмотреть? Я лично не припомню ни одного.
UFO landed and left these words here
0
> Сколько вам в жизни раз приходилось регистрироваться в том месте где ваш пароль могут подсмотреть?
Большую часть своей e-жизни я провел именно в таких условиях.
0
Проблема еще в том, что все уже привыкли к этому, и даже если написать огромными буквами что пароль будет видно при наборе, обязательно найдется тот, кто пострадает от этого. К тому же большинство не умеют печатать вслепую, и будут набирать пароль глядя на клавиатуру, не зная даже что окружающие его прекрасно считывают.

Как вариант, можно сделать галочку, переключающую два закрытых поля на одно открытое.
0
Меня в майкросовт лайв бесит то, что пробел нельзя, мои сильные пароли включают и пробелы и спецсимволы и буквы и цифры, а там не дают такое делать.
-1
я считаю, что ограничение сверху это нормально. 18-20 — нормально для пароля и должно хватать…
>> Пусть гику хоть 200 дадут))
Это неверно… такой лимит в 18-20 символов — защита от гиков-параноиков, которые насоздают себе пароль в 30-40 символов, потом забывают его, а потом жалуются суппорту «верните пароль, забыл я, дурак такой»
+1
Это надуманно. Гиков, желающих пароль длиннее 18 символов, вряд ли будет больше 0.1% от общего числа пользователей. И, вероятно, они смогут воспользоваться системой восстановления пароля по e-mail. Не думаю, что длинные пароли забывают сильно чаще, чем короткие: если уж решил выделиться, то, наверно, внимательнее отнесёшься к запоминанию.
UFO landed and left these words here
0
Пароли ограничивать не нужно вообще. Никак. При задании пароля можно выдать предупреждение о том, что пароль несложный, и даже попросить поставить галочку напротив «да, я знаю, что мой пароль легко подобрать, но мне плевать на сохранность моих данных». Но никак не ограничивать!

Более того, пароли не нужны в большинстве случаев, так как почти всегда можно обойтись OpenID, Windows Live ID, OAuth или Facebook Connect.
+1
Еще один дизайнер высказывал неплохую идею — делать галку «показать пароль».
0
Читая комментарии чуть выше тоже придумал такое, сделаю у себя обязательно. При регистрации вместо двух скрытых полей можно будет включить одно видимое, а при авторизации просто увидеть что набираешь, чтобы не было нервного срыва у того пользователя, который не может набрать свой пароль за несколько попыток. По-умолчанию, естественно, поля должны быть закрытыми.
0
ограничение длины пароля может быть связано как я думаю с двумя причинами
1.а) Если пароли в БД не шифруются то размер уменьшается а значит и время поиска этого пароля тоже (рама, она до недавних пор была недостаточно резиновой)
1.б) Если пароли в БД шифруются — как ни крути а длина хеша фиксирована, но возможны колизии. Как вариант крутой 9999 значный пароль хэш отпечатком может совпадать с 3х значным.
0
1.б) — это очень сильно должно повезти, при этом этот трёхзначный должен состоять из печатных символов (другие брутфорсеры крайне редко проверяют) и крутой 9999-й тоже (иначе его вводить проблематично). Несерьёзно, в общем.
0
Как доказательство реальности существования проблемы могу привести дкументацию заинтересованного приложения, где приводятся цыфры

www.dataparksearch.org./dpsearch-howstore.ru.html#SQL-STOR-CRC
Внимательно читать пункт «5.1.5. Способ хранения crc» тк это не исследование, а кусочек документации

Мне известен ещё один источник говоривший о наличии проблем при использовании md5 в качестве ключей для webнутых прокси, в качестве фронтенда.
0
В CRC коллижн можно чуть ли не в голове сочинить, он никакой криптостойкости не обещает.
0
Что-то я не понял про время поиска пароля. Зачем их искать?
0
На mint.com зарегистировался пол года назад с 18 символьным паролем и не знал проблем пока не скачал их апп для ифона и долго не мог понять почему не могу войти в него со своим паролем пока один раз не понял что сам сайт постоянно обрезал мой пароль до 16 символов а апп нет.
0
Тут уже много наговорили, но вот я думаю, что пользователь должен иметь право вводить пароль какой он хочет. Это его пароль. Наша задача — дать предупреждение, если мы считаем его недостаточно криптостойким для того, что он защищает. А если человек даун и физически не может запомнить больше четырёх символов??? А ограничивать пароль «сверху», это такой же бред.
0
Вот и получается что на словах все умные, а как до дела доходит, так себе же противоречат.

Насчет коротких паролей можно и не предупреждать, если аккаунт будет взломан и пойдет спам, то его просто забанят. А чтобы не перебирали пароли (и не находили легкие, соответственно), надо после n-й неудачной попытки спрашивать каптчу.
0
Ну мы же совершенствуемся, когда делал блог еще не особо вникал в эти проблемы
0
«в пароле нельзя использовать кириллицу. Длина пароля должна быть не менее четырёх символов.»
с маил.ру :)
0
Я так подозреваю что не только кириллицу, но и японницу и т.п. :) Мракобесие прямо какое-то, в эпоху юникода.
0
У Альфа Банка в «Альфа-Клик» та же беда. Самое интересное они даже не позволяют использовать спец знаки в пароле!
0
Помнится, в NetWare это было правильно сделано. Там был не passWord, а passPhrase, и можно было использовать любые символы и любую длину.
0
Какие-то ограничения должны быть.

Многие хранят MD5 хэши паролей, и, имея md5 хэш, можно сформировать длинный текст с тем же MD5 (года два назад ещё стало можно).

Ну и стоит не забывать, что имея неограниченную длину пароля и посылая его в упакованном GZIP запросе (хотя я не знаю, можно ли это в реальности?), можно заставить сайт только и заниматься тем, что считать MD5 у гигабайтных паролей — такой DOS получается.
Only those users with full accounts are able to leave comments. , please.