Как стать автором
Обновить

Комментарии 31

Какие вообще причины могут быть, чтобы ограничивать максимальную длину паролей? Минимальную — понятно. Когда натыкаешься на сайт, где минимальная длина пароля 8, а максимальная длина — 10, тут же хочется с него просто уйти

А как вам требования для доступа в онлайн банк?
Новый пароль должен быть от 8 до 20 цифр. Цифр, да. В банке.

В банках любят придумывать специфические требования к паролям, явно противоречащие политикам в других местах, иногда это объясняют тем, чтобы вы не использовали для входа пароли от других сайтов/сервисов.
НЛО прилетело и опубликовало эту надпись здесь
Пароль только из цифр — это из времён кнопочных телефонов. Местами всё ещё актуально.
Да и при адекватной политике доступа, ограничивающей количество попыток, длинна пароля перестаёт иметь значение.
Изначально длина и сложность пароля — это защита от вполне конкретного способа атаки — подбора. Но если ограничено количество попыток, то угадать нужно не просто из большого количества вариантов, а с очень маленького количества попыток, что на практике делает атаку перебором бессмысленной, особенно целенаправленную.
В таком случае атакующий попытается похитить ваш актуальный пароль, и тут уже защищённость от длины почти не зависит.

Адекватная политика доступа — не просто ограничение попыток (иначе можно заблокировать любого клиента), а сначала спросить смс/пуш, а потом позволять подбирать пароль. Нет, там не адекватная политика доступа.
Как пример адекватной политики доступа о которой вы говорите: у другого банка пароль для входа в онлайн — пин-код. Казалось бы позор. Но сначала спрашивается код из смс. И это ок.

У всего же есть максимальная длина, почему бы ее не обозначить?

255 символов меня полностью устроило бы. Но 10, серьёзно? И это какой-то реально существующий сайт

сайт Васи Пупкина :)
Mail.ru — 16.

Любой нормальный разработчик хранит не сам пароль, а хеш пароля. Так что длина пароля никак не связана с размером колонки в бд.

Ну а вдруг мамкины хакеры насоздают профилей с гигабайтными паролями?
А Вы таки любите хранить пароли в открытом виде?
Лучше все же хранить хэш, а это десятки байт на пароль любой длины. Плюс ограничения на размер POST запроса на веб-сервере не позволят слишком много мегабайт отправить в качестве пароля.
А оно вам надо — вычислять хэши от этих гигабайтов? Процессорное время тоже не резиновое.
Ограничение веб-сервера конечно спасают, но именно к полю пароль приходится применять тяжелые вычисления, так что разумно его ограничить, но не 10, конечно, символами.

Мое самое любимое — при регистрации макс. длина не указана, спокойно вводишь длинный пароль, но он молча обрезается. И потом вводишь пароль во время логина — а он не подходит! Копируешь, вставляешь — все равно не подходит!

Ну за такое руки бы вообще хорошо отрывать. Тихо терять часть данных где-либо это дикость какая-то

Есть ещё изощрённее. Потом вводишь, а он тоже молча обрезается. И пребываешь в уверенности, что у тебя длинный пароль.

А через несколько лет сервис молча увеличивает допустимую длину пароля. И ВНЕЗАПНО ваш вставленный пароль перестаёт подходить.

Такое провернули с ICQ когда-то. Точнее, свинью подложила ещё Mirabilis, когда обрезала пароль до 8 символов при установке и логине. А когда новый владелец, Mail.ru, решил, что 8 это как-то совсем маловато, тут-то мина, заложенная добрых 20 лет назад, и сработала.

Ещё один отрицательный пример — Blizzard, серверы которых игнорируют регистр (т.е., вводить пароль можно в любом регистре). Разумеется, пользователю это никто не сообщает.

Максимальная длина пароля понятна. Пароль состоящий из более 20 символоф это уже какая то криптография. Вот минимальный пароль в 8 символов мне непонятен. Лучше обязывать пользователей использовать разные регистры и другие символы.

минимальный пароль в 8 символов мне непонятен

X3%w
Тогда такой норм? Минимальной длины нет, регистры разные, ещё и спецсимвол.

Тащемта это личное дело пользователей. Если они ставят слабые пароли, то ССЗБ. Предупреждать — можно, но заставлять — нет.

НЛО прилетело и опубликовало эту надпись здесь
Если попытаться аналогиями,
— сильный пароль увеличит защиту с 10 до 15
— второй фактор — до 100
— хороший второй фактор (типа OTP) — до 500
— физические крипто-токены с не извлекаемыми ключами — до 1000
Соответственно, если нужна реальная безопасность, то нужно менять способ защиты, а не плясать с паролями.

Там даже не пароли банальные были, а тупо фишинг-рассылка упала в интересные ящики интересных людей, не сильно разбирающихся в том, куда можно вводить пароли.

Если они ставят слабые пароли, то ССЗБ
Нет, это вы как разработчик должны были ответственно предусмотреть это.
Это как продавать автомобили без тормозов, т.к. клиенты сами себе буратины, что не предусмотрели как они будут тормозить на ней.
Это также как и обеспокоиться безопасным хранением данных пользователей, ведь если их данные утекут — вы же не скажете, что они ССЗБ, что доверили такие важные данные вам?
Я согласен, что ограничивать пользователей в чем-то это не хорошо(например длину пароля), но ограничения есть везде и всюду, начиная от того, что функционал вашего ПО ограничен сам по себе, заканчивая тем, что вы ограничиваете пользователя от ввода свободного текста в поле даты с календарем.
Нет, не должны. Одно дело предусмотреть ввод некорректных данных — это нужно чтобы сам по себе софт «не сломался», и не ломанули, например, опять таки сам софт. Но заставлять пользователей защищать их учётки — это не дело разработчика, это только лишь вызывает раздражение у пользователя. В конце концов, как выше заметили, основные векторы взлома — это вовсе не пароли, а тот же фишинг, а с этим вы всё равно ничего сделать не сможете — вы ведь не можете заставить пользователя быть внимательным? Так и тут — всё что сделает пользователь это придумает креативный способ обойти ваши ограничения и всё равно остаться не слишком защищённым.

Люди, к сожалению, учатся лишь на своих ошибках.
как выше заметили, основные векторы взлома — это вовсе не пароли, а тот же фишинг

А не думаете ли вы, что это просто потому, что все сайты стали запрашивать длинные пароли, нормаль их солить, и поэтому старый добрый брутфорс стал слишком дорогим?

Думаю. А ещё думаю что вы забыли ещё две причины — во-первых, rate limiting на окне ввода пароля (не более x попыток перебора раз в y времени), и улучшенная защита баз данных (чтобы предотвратить перебор этих самых слитых баз). И при этих условиях на самом деле не сильно важно какой пароль у пользователя — даже если он четырёхсимвольный (а четырёхцифровых пинкодов на вход до сих пор хватает — вспомните те же пинкоды на карточки) — перебрать даже самые распространённые варианты паролей становится практически невозможным (опять таки если речь не идёт о сливе базы. Только от слива базы длинные пароли пользователей не защитят).
Хочу уточнить, что слив базы УЖЕ является репутационной потерей для того, у кого базу слили, и компания УЖЕ проиграла к этому моменту — тут уже неважно, смогли ли сбрутить пароли пользователей после этого или нет, всё равно их все придётся сбрасывать и внедрять одно единственное ограничение — запрет на точно такой же пароль что был в слитой базе — всё.
Пароль состоящий из более 20 символоф это уже какая то криптография

С менеджером паролей хоть 100 символов никаких проблем пользователю не создадут

Менеджер паролей это единая точка отказа. Либо ломанут его и сопрут сразу все ваши пароли, либо сам менеджер сломается и вы потеряете доступ ко всему.

Запрет длинных паролей никак не мешает использовать менеджеры паролей. Пользователь вряд ли будет ставить 100 символьный пароль, если он его куда-то не записал. Но если пользователь привык записывать пароли, то он запишет и 10 символьный. Таким образом запрет длинных паролей безопасность никак не повысит.

Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Другие новости

Истории