我知道一个好的密码是一个移动的目标,并不是每个人都同意——只需通过一些检查器运行一个密码,看看它是如何根据标准进行不同的评级的。
但是有几件事似乎是安全的赌注,并且得到了广泛认可 - 长度(作为一种实现熵的方法,著名的在这里介绍:https ://xkcd.com/936/ )和字符集的大小,它的数量翻了一番每个附加字符的可能组合。
那么为什么亲爱的上帝,一些网站坚持将密码限制在 8-16 个字符,和/或不允许特殊字符?一个例子是西澳州的 GoodToGo 收费公路网站,两者兼而有之。
这感觉就像是三件事之一,其中两件事是不好的:
使用过时框架的开发人员施加了这种最后一千年的限制;
开发人员仍然赞同长密码不好的理论,因为它们很难记住;
对密码安全性的一些前沿理解使其成为我从未听说过也无法理解的实际最佳实践。
我希望这只是消失,但我一直遇到它。我们需要一个公开羞辱网站,列出这样做的网站,以迫使他们采用合理的密码形式做法。
有几个原因:
旧版软件
您可能不知道,今天绝大多数财务数据都是在 IBM 大型机上处理的,运行着用 Cobol 编写的应用程序,自上个世纪以来就没有更新过。IBM 已经为大型机提供了更好的安全性,但由于仍有企业在桌面上运行 Windows XP,并不是每个人都在使用这些新功能。
密码一目了然
是的,它们存在。有些地方明文存储密码,密码字段类似于PASSWORD TEXT(16). 这限制了密码的允许大小。
密码消毒
一些开发人员会清理输入,这很好。但当输入是密码时,情况并非如此。如果我希望我的密码是<script>alert('XSS!')</script>,有什么问题?如果一切顺利,该值将被加盐和散列。但是有些人认为密码上的特殊字符会破坏他们的代码,因此他们会破坏您的密码。
服务器端加密
上述情况在这里也是如此。有些地方使用可逆加密来加密密码,无论加密多么强大,这都是一个可怕的想法。密码要加盐和散列,其他都是错误的。但是为了防止特殊字符破坏某些东西,他们不允许它们。16个字符的限制也是因为这个。如果他们使用 128 位密钥,则密码必须适合要加密的 16 字节“数据包”。
我们需要一个公开羞辱网站,列出这样做的网站
像《明文罪犯》这样的东西……