Không cho phép ký tự trong mật khẩu?

Question

Có điều gì đặc biệt về các ký tự được phép/không được phép trong mật khẩu không?

Tôi lưu trữ mật khẩu trong db được băm/ướp muối và sử dụng PDO để ngăn chặn việc tiêm. Là những gì tôi đang làm đủ? Gần đây tôi đã gặp một hệ thống không cho phép một số ký tự, không nhớ tất cả các ký tự đó, nhưng một là ký hiệu và &. Họ đã làm điều đó vì lý do chống tiêm cơ sở dữ liệu, hay có cái gì khác tôi đang thiếu? Các ký tự mật khẩu có nên được giới hạn trong một nhóm ký tự nhất định hay không cần thiết?

Answer 1

Không có lý do kỹ thuật nào để không cho phép bất kỳ ký tự nào trong mật khẩu. Tôi đoán trong trường hợp bạn mô tả, họ sẽ chỉ cho phép các ký tự chữ và số để tránh các vấn đề ở phía người dùng (giả sử, bằng cách nhập một ký tự không khả dụng trên bàn phím ở một quốc gia khác).

Nhiều nhà cung cấp và trang web buộc người dùng chọn mật khẩu rất phức tạp chứa số lượng tối thiểu và, đôi khi, các ký tự đặc biệt của evenb để ngăn chặn sự cố bắt buộc hoặc dictionary attacks.

Tôi không nghĩ rằng buộc mọi người chọn mật khẩu phức tạp là khôn ngoan. Mật khẩu bạn không thể nhớ, bạn sẽ viết xuống một nơi nào đó, mà thường tạo ra một nguy cơ bảo mật lớn hơn nhiều trong cuộc sống thực.

Giới hạn tốc độ đơn giản trong hệ thống đăng nhập (ví dụ: từ chối truy cập trong 15 phút sau 3 lần đăng nhập không thành công) sẽ làm giảm sự đe doạ đe dọa nghiêm trọng hơn.

Một người không phải đồng ý 100% với nó, nhưng tôi thấy bài báo khiêu khích này về chủ đề của Microsoft Research rất thú vị. So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users

Từ trừu tượng:

Người ta thường cho rằng người sử dụng một cách vô vọng lười biếng và không có động lực về các vấn đề an ninh. Họ chọn mật khẩu yếu , bỏ qua cảnh báo bảo mật và bị lãng quên để xác nhận lỗi. Chúng tôi cho rằng việc từ chối của người dùng của lời khuyên bảo mật mà họ nhận được hoàn toàn hợp lý từ góc độ kinh tế. Lời khuyên cung cấp cho bảo vệ chúng khỏi chi phí trực tiếp của các cuộc tấn công, nhưng gánh nặng chúng với chi phí gián tiếp lớn hơn nhiều trong các hình thức nỗ lực.

Answer 2

Tại sao bạn muốn giới hạn ký tự trong mật khẩu? Bạn nên làm một số loại băm. Mật khẩu của tôi thường chứa các ký hiệu đặc biệt bao gồm các ký hiệu không được bao gồm trên bàn phím.

Nếu bạn muốn giới hạn, chúng chỉ cần yêu cầu chúng phức tạp hơn, không phải ít hơn.

Answer 3

Điều duy nhất tôi không cho phép/dải trong mật khẩu là khoảng trắng, không có lý do gì để bỏ qua bất kỳ điều gì khác.

Answer 4

Khi tôi nhập mật khẩu, tôi thường muốn viết những câu dài hơn mà tôi có thể nhớ thay vì p" % &/k1 hoặc tương tự.

Vì vậy, hãy chắc chắn rằng bạn cho phép người dùng viết password dài hơn Nó luôn luôn làm tôi thất vọng, khi tôi buộc phải nhập một mật khẩu ngắn với các ký tự đặc biệt thay vì một ký tự dài hơn sẽ đáng nhớ hơn và an toàn hơn.

Answer 5

Tôi chỉ không cho phép các ký tự không thể nhập trên bàn phím chuẩn. Không có lý do gì khiến người dùng không thể chọn mật khẩu an toàn với 26 chữ hoa và chữ thường, 10 số và 20 ký tự.

Nếu bạn đang thực hiện hệ thống đăng nhập cho trang web công cộng, thay vì buộc người dùng chọn mật khẩu an toàn, tôi khuyên bạn nên sử dụng OpenID. Bằng cách đó, người dùng không cần nhớ mật khẩu khó nhớ mới chỉ dành cho trang web của bạn.

Answer 6

Không gây rối với mật khẩu của người dùng.

Chỉ cần đảm bảo rằng bạn đang sử dụng mã hóa và quy tắc nhất quán trong tất cả các giai đoạn xử lý mật khẩu của bạn. Trong trường hợp mã hóa của bạn không phải là một vấn đề như bạn đang lưu trữ muối. Ví dụ, tôi đã đi kèm với các quy tắc ngu ngốc như mật khẩu bị giới hạn 4 chữ số (!!!), chỉ ký tự chữ cái (az), và một số trang web học thuật cắt mật khẩu thành 10 ký tự và sau đó không thành công bạn đã cố đăng nhập bằng mật khẩu dài.

Answer 7

Tôi tình cờ gặp câu hỏi này trong khi thực hiện một số nghiên cứu và tôi nghĩ mình đã phải đóng góp.

Thực ra, tôi cho rằng mật khẩu phải không phải chấp nhận bất kỳ ký tự nào. Vấn đề có thể đi kèm với các ký tự không phải là một phần của bảng ASCII chuẩn.

Lấy ví dụ, chữ ü (chữ thường u với âm sắc):

• Trong ASCII mở rộng, nhân vật đó là 0x81.
• Trong ISO-8859-1 (rất phổ biến ở các quốc gia phương Tây), đó là 0xFC.
• Trong UTF-8 ü có điểm mã U + 00FC và do đó có thể được biểu diễn là 0xC3BC
• Trong UTF-8, nhân vật cũng có thể không được chuẩn hóa. Vì vậy, nó có thể bao gồm các ký tự umlaut (chỉ là ¨) cộng với u: kết quả là một chuỗi khác nhau của byte.

Trong tất cả các trường hợp trên băm cho mật khẩu sẽ khác nhau và thông tin đăng nhập sẽ không thành công.

Một giải pháp khả thi để vẫn cho phép bất kỳ ký tự Unicode nào là đảm bảo toàn bộ trang sử dụng UTF-8 ở mọi nơi và chuẩn hóa mật khẩu (ví dụ: với chế độ NFC) trước khi băm chúng. Tuy nhiên, tại thời điểm này, có thể dễ dàng không cho phép bất kỳ ký tự nào không thuộc bảng ASCII chuẩn: byte 0x00-0x7F hoặc (thậm chí tốt hơn, tước các ký tự điều khiển và các ký tự khác không đại diện với dòng mới) 0x20-0x7E.