मैं काफी कुछ साइटों पर आया हूं जो या तो लंबाई को सीमित करते हैं जो पासवर्ड की अनुमति देते हैं और / या कुछ वर्णों को अस्वीकार करते हैं। यह मेरे लिए सीमित है क्योंकि मैं अपने पासवर्ड के खोज स्थान को चौड़ा और लंबा करना चाहता हूं। यह मुझे एक असुविधाजनक समझ भी देता है कि वे हैशिंग नहीं हो सकते हैं।

क्या पासवर्ड में ऊपरी लंबाई सेट करने या वर्णों को छोड़कर अच्छे कारण हैं?

नहीं

कोई अच्छा कारण नहीं हैं ।

संपादित करें: मैं यह साबित नहीं कर सकता कि अच्छे कारण नहीं हैं, क्योंकि कोई नकारात्मक साबित नहीं कर सकता है। मैं इसके लिए कोई अच्छा कारण नहीं सोच सकता - जैसा कि दूसरों ने बताया, हैश इनपुट के आकार की परवाह किए बिना एक ही आकार का होगा, और वैध पात्रों (प्रश्न संदर्भ से) को समाप्त करने से राज्य-स्थान कम हो जाता है। इसका जवाब इसके चेहरे पर स्पष्ट लगता है: कोई अच्छे कारण नहीं हैं । बड़ी संख्या में ऐसे कारण हो सकते हैं जो अच्छे लगते हैं या जो अच्छे लगते हैं, लेकिन वे नहीं हैं। यदि वे होते, तो कोई उन्हें पहले ही यहाँ पोस्ट कर देता, या यहाँ नहीं होता तो निश्चित रूप से Security.stackexchange.com पर, और यह उत्तर इतना भारी नहीं होता।

लंबाई सीमित एक उपाय हैशिंग के निष्पादन के समय के साथ-साथ बैंडविड्थ सीमित (और उन दोनों को सीमित करने के लिए कर रहे हैं हो सकता है वास्तव में सीमांत वैसे भी)। इसके अलावा, कोई अच्छा कारण नहीं है, खासकर सुरक्षा के दृष्टिकोण से।

कोई कह सकता है: "लोग पासवर्ड को अधिक आसानी से भूल जाएंगे" - लेकिन यह वास्तव में एक मूर्खतापूर्ण कथन है और इस बिंदु पर बिल्कुल नहीं मिलता है।

पात्रों के लिए, जब तक आप भविष्य में डेटा ट्रांसफर और / या माइग्रेशन के साथ संभावित एन्कोडिंग मुद्दों के बारे में जानते हैं (उदाहरण के लिए आप ASCII से UTF-8 में 2 साल में स्विच करेंगे) की अनुमति देता है और अधिक अक्षर केवल पासवर्ड की ताकत के लिए अच्छे हो सकते हैं।

हां , विशेष पात्रों के लिए एक कारण है।

विशेष पात्रों को अस्वीकार करना सुरक्षा से संबंधित होने के बजाय एक प्रयोज्य चीज है। सबसे पहले वे एन्कोडिंग की समस्याओं से परेशान हो सकते हैं। दूसरा, यहां तक ​​कि अगर आप हमेशा एक ही एन्कोडिंग का उपयोग करने की गारंटी देंगे, तब भी इनपुट डिवाइस की समस्या है। आप एक ही कीबोर्ड लेआउट के साथ पूर्ण कीबोर्ड (जो अधिकांश मोबाइल उपकरणों को समाप्त करता है) होने पर निर्भर करेगा। बाद में न केवल भाषाओं के बीच भिन्नता है, बल्कि ओएस के बीच भी, विंडोज, लिनक्स और ओएसएक्स के लिए लेआउट थोड़ा भिन्न हो सकते हैं। इसलिए मुझे अच्छा कारण दिखाई देता है जैसे पासवर्ड की अनुमति नहीं √Ω≈ç∫∞§…¬å∑±:।

कुछ साल पहले चेस के ग्राहकों को पता चला कि उनके पासवर्ड केस-असंवेदनशील थे, तो सुरक्षा जगत में थोड़ा विवाद हुआ। यह पता चला कि उनका वेबपेज कुछ 30-वर्षीय OS / 400 बैकेंड सिस्टम के लिए एक दृश्य था, जिसमें एक तकनीकी सीमा थी जिसे इसने अनदेखा कर दिया था। इसे ठीक करने से जाहिर तौर पर लाखों डॉलर खर्च होंगे।

मुद्दा यह है कि एक निश्चित लंबाई से अधिक पासवर्ड की अनुमति नहीं देने के लिए महंगी विरासत कारण हो सकते हैं।
(ध्यान दें कि मैं इस बहाने की निंदा नहीं कर रहा हूं ...)

अधिकांश बैंक, आईटी विभाग, आदि जो अधिकतम पासवर्ड प्रतिबंध लागू करते हैं, तकनीकी कारणों से ऐसा नहीं करते हैं। वे पूरी तरह से जानते हैं कि पासवर्ड हैशिंग कैसे काम करता है, और जटिल पासवर्ड कैसे संग्रहीत करें। वे इन सीमाओं को लागू करते हैं क्योंकि यह उन लोगों के समर्थन के लिए कॉल की संख्या को कम कर देता है जो अपने पासवर्ड भूल गए हैं। क्या यह उस तरह की सीमा को लागू करने का एक अच्छा कारण है? किसी भी तरह से नहीं। लेकिन, फिर भी, यह मुख्य कारण है।

सभी इनपुट डिवाइस (हार्डवेयर-वार) में प्रायः सभी वर्ण एक पूर्ण कीबोर्ड होते हैं, या इसी तरह होते हैं। यदि कोई पासवर्ड प्रबंधक का उपयोग नहीं कर रहा है, तो कोई व्यक्ति ऐसे पासवर्ड को दर्ज करने में परेशानी का सामना कर सकता है, नहीं? और यूनिकोड अभी भी मानक होने से बहुत दूर (बहुत दूर का रास्ता) है।

क्या पासवर्ड में ऊपरी लंबाई सेट करने या वर्णों को छोड़कर अच्छे कारण हैं?

मैं एक अनुमान लगाने जा रहा हूं और कहता हूं कि इन प्रतिबंधों में से कुछ & < > #हैकर्स द्वारा अपनी वेबसाइट को बाहर रखने के लिए ( ) को फ़िल्टर करने के कारण हैं । जबकि अन्य अस्थि-पंजर वाले विचार हैं जो नुकीले बालों वाले मालिकों की समितियों से निकलते हैं।

मैं वास्तव में बेवकूफ (मेरी राय में) "सुरक्षा" फैसलों की संख्या में आया हूं। एक उदाहरण के रूप में, एक बड़ी निवेश कंपनी मेरे इरा खातों के साथ-साथ मेरी पेंशन भी संभालती है। आदेश करने के लिए किसी भी पेंशन के साथ संपर्क मुझे आवश्यकता है टेलीफोन पर अपना पासवर्ड टाइप करने के लिए (आप उन्हें अन्यथा नहीं पहुँच सकते हैं)। मेरा ब्रोकरेज / इरा अकाउंट अक्षरों (ऊपरी और निचले मामले) के साथ-साथ कुछ विराम चिह्नों का उपयोग करता है - इनमें से कोई भी वर्ण टेलीफोन टेलीफोन पैड पर दिखाई नहीं देता है। यदि आप फोन पर पासवर्ड के साथ लॉग इन नहीं कर सकते हैं, तो यह आपको अपने ब्रोकरेज खाते के पासवर्ड को फोन पर टाइप करने के लिए रीसेट कर सकता है।

मेरे पेरोल सिस्टम (मैं जिस परामर्श कंपनी के लिए काम करता हूं) के लिए नंबरों की आवश्यकता होती है, और केवल नंबरों की आवश्यकता होती है - इससे उन्हें उसी डेटाबेस का उपयोग करने की सुविधा मिलती है, जिसमें उपयोगकर्ता कॉल करता है (मैंने ऐसा कभी नहीं किया है) या वेब इंटरफ़ेस का उपयोग करता है (मैं केवल इसका उपयोग करता हूं) ।

यह कहा जा रहा है, यह कार्यालय में अपना पासवर्ड बदलने का समय है। उनके पास ऐसे पागल प्रतिबंध हैं जो मुझे लगता है कि सिस्टम को स्वीकार्य पासवर्ड खोजने में लगभग आधे दिन का समय लगेगा: कम से कम 2 ऊपरी मामले पत्र, कम से कम 2 निचले मामले पत्र, कम से कम 2 अंक (जो +/- 1 नहीं हो सकते हैं) पिछले पासवर्ड से), कम से कम 2 गैर-अल्फा / गैर-संख्यात्मक वर्ण, पिछले 24 पासवर्डों में से किसी से मेल नहीं खा सकते हैं, किसी भी स्ट्रिंग (आगे या पीछे की ओर) को शामिल नहीं कर सकते हैं जो अंग्रेजी में एक शब्द (3 या अधिक अक्षर लंबा) है ( यह भी एक दो अन्य भाषाओं मुझे पता करने के लिए मंजूरी नहीं है)। मुझे लगता है कि न्यूनतम लंबाई 10-11 वर्णों की तरह है।

वर्णों को सीमित करने का एक कारण यह होगा कि पासवर्ड फिर इनपुट कैसे है।

उदाहरण के लिए, कई बैंक अपनी इंटरनेट बैंकिंग वेबसाइटों के साथ पासवर्ड से विशिष्ट वर्णों की मांग करते हैं, और आप ड्रॉप-डाउन बॉक्स के माध्यम से उपयुक्त वर्णों का चयन करते हैं।

वे ऐसा करते हैं, संभवतः, ताकि keyloggers कीप का पता न लगा सकें, और इस प्रकार अपने पासवर्ड [अक्षर] से जानें। जबकि मुझे पता है कि ऐसे और भी कई तरीके हैं, जैसे कि पेंचकैप को दरकिनार किया जा सकता है; यह अभी भी keyloggers के खिलाफ प्रभावी है।

यदि उन्हें सभी पात्रों की अनुमति देनी थी, तो ड्रॉपडाउन बॉक्स की लंबाई बोझिल हो जाएगी, और समान दिखने वाले पात्रों के बीच भ्रम की भी अनुमति होगी।

टैब जैसे विशेष वर्णों को अस्वीकार करना मान्य होगा। आप टेक्स्ट मोड में टैब चार के साथ अपना पासवर्ड लॉगऑन या बदल सकते हैं लेकिन आप इसे GUI या वेब वातावरण में उपयोग नहीं कर सकते। एक बैकस्लैश चार कुछ क्रॉस-प्लेटफ़ॉर्म मुद्दों को भी प्रस्तुत करेगा।

btw लंबे पासवर्ड पासवर्ड नहीं हैं - वे पासफ़्रेज़ हैं। आपका औसत उपयोगकर्ता 2Z8d याद नहीं कर सकता!% G # x लेकिन वे याद कर सकते हैं 'मेरे पालतू कुत्ते का नाम फ़िदो द डॉग' है। लंबे समय तक पाठ क्रूर बल के माध्यम से दरार करने के लिए कठिन है और स्क्रीन से जुड़े नोट पर लिखे जाने की संभावना कम है।

जब लोग टाइप करते हैं तो वे गलती करते हैं, जिसे "टाइपोस" कहा जाता है। आम तौर पर लोग अपनी गलतियों को देखते हैं और उन्हें सुधारते हैं। पासवर्ड प्रविष्टि के लिए आमतौर पर आप यह नहीं देख सकते कि आपने क्या टाइप किया है और इसलिए आप अपने टाइपो को सही नहीं कर सकते हैं। आप इसे साकार किए बिना गलतियां करते हैं, अपना पासवर्ड सबमिट करते हैं, और यह "पासवर्ड अमान्य" के रूप में वापस आता है। फिर आप फिर से कोशिश करें। फिर आप फिर से कोशिश करें।

आप इसे "3 मामूली छोटे टाइपो के रूप में सोच सकते हैं और फिर आप एक क्रूर बल हमले से अप्रभेद्य हैं"। सिस्टम ब्रूट बल के हमलों से कैसे बचाव करता है? एक स्पष्ट " बहुत सारे प्रयास, चले जाओ, अगर आप इसे सही तरीके से प्राप्त करते हैं तो भी आप लॉग इन नहीं कर पाएंगे ?" पासवर्ड एंट्री पर देरी से बहुत अधिक देरी ब्राउज़र टाइम-आउट के लिए अग्रणी होती है जब विलंब बहुत लंबा होता है, जिससे फिर से लॉग इन करने की कोशिश करना असंभव हो जाता है? दृष्टिकोण भिन्न होते हैं, लेकिन एक अच्छी तरह से डिज़ाइन किए गए सिस्टम में हमेशा एक परिणाम होता है।

आप इसे "3 मामूली छोटे टाइपो" के रूप में सोच सकते हैं और फिर आपको किसी प्रकार की सेवा से वंचित कर दिया जाता है।

जैसे-जैसे पासवर्ड की लंबाई टाइपोस के जोखिम को बढ़ाती है (और इसलिए अधिकृत व्यक्ति की पहुंच से इनकार करने का जोखिम) बढ़ जाता है। लगभग 20 वर्णों से अधिक लंबे समय तक अक्सर गलत व्यवहार किया जा रहा है (जब तक कि उपयोगकर्ता स्मार्ट नहीं है / आलसी है और अपना पासवर्ड कहीं स्टोर करता है, ताकि वे टाइपो की चिंता किए बिना "कॉपी और पेस्ट" कर सकें, जैसे कि उनके डेस्कटॉप पर एक अच्छा सादा पाठ फ़ाइल " पासवर्ड " कहा जाता है। .txt ”)।