it-swarm.dev

Quali ragioni tecniche ci sono per avere una lunghezza massima della password bassa?

Mi sono sempre chiesto perché così tanti siti Web abbiano restrizioni molto precise sulla lunghezza della password (esattamente 8 caratteri, fino a 8 caratteri, ecc.). Questi tendono ad essere banche o altri siti in cui mi interessa davvero la loro sicurezza.

Capisco la maggior parte persone sceglieranno password brevi come "password" e "123456" ma ci sono ragioni tecniche per forzare questo? Usando un'applicazione come 1Password, quasi tutte le mie password sono qualcosa come [email protected]#^L;[email protected]<P]uzt o altre stringhe lunghe generate casualmente che è improbabile che indovinino le cose.

  • Ci sono ragioni specifiche per cui i siti Web applicano limiti rigorosi sulla lunghezza delle password (più come 8 o 10, capisco perché 100000000 potrebbe essere un problema ...)?
819
enderland

Con ulteriori restrizioni (in genere, solo i numeri accettati), può anche essere motivato dal fatto che consente (o può consentire, se un giorno si presentasse la necessità) di inserire la password attraverso alcune interfacce con capacità limitate ...

Ecco perché molte banche hanno fissato tali restrizioni per le password di accesso al web, per consentire l'accesso attraverso sistemi legacy che hanno solo tastiere numeriche (bancomat, telefoni ...)

3

Tutti i siti bancari che conosco hanno un sistema pin che blocca il tuo account dopo 3 tentativi falliti di password. Ciò significa che le password lunghe sarebbero controproducenti perché sono più facili da digitare in modo errato o da dimenticare, soprattutto perché non riesci a vederle (e se potessi vederle la sicurezza sarebbe anche peggio).

Se prendi ad es. un sistema a pin per smartphone in cui si digita 4 numeri, la probabilità di indovinarlo entro 3 tentativi è dello 0,03%. Con 8 cifre, le possibilità di indovinarla nel modo giusto (se la sequenza viene generata casualmente e non scelta in modo stupido) diventano così piccole che se provi a indovinare le password di 7 miliardi di persone, indovinerai solo in media 209 password delle persone. Se sono permessi personaggi e/o caratteri speciali, le possibilità di indovinare diventano ancora più piccole, moltiplicate per un fattore rispettivamente di 1 ^ -4 o 1 ^ -6.

Anche se gli utenti sono autorizzati a scegliere le password e le sceglierebbero in modo semi-predittivo, entro 3 tentativi è impossibile decifrare un determinato account e la tua media non migliorerebbe troppo, anche se avessi molti dati, come tutti i compleanni in una famiglia e i nomi di tutti in famiglia e ogni amico della persona. E è anche improbabile che tu abbia un elenco affidabile e completo di quel tipo per una grande popolazione.

1
HopefullyHelpful