我是否应该对密码加一个最大长度?

内容来源于 Stack Overflow,并遵循CC BY-SA 3.0许可协议进行翻译与使用

  • 回答 (2)
  • 关注 (0)
  • 查看 (29)

我可以理解,对密码施加最小长度是很有意义的(为了使用户免于使用),但我的银行有一个要求密码长度在6到8个字符之间.

  • 这难道不是让暴力攻击更容易吗?
  • 这是否意味着我的密码是未经加密的?

如果某个拥有(希望)一些优秀IT安全专家为他们工作的人强加了一个最大的密码长度,我是否应该考虑做类似的事情呢?这件事的利弊是什么?

提问于
用户回答回答于

密码被散列到32,40,128,不管长度。最小长度的唯一原因是防止容易猜测密码。最大长度是没有意义的。

用户回答回答于

应将密码字段上指定的最大长度作为安全警告::任何明智、安全意识强的用户都必须假设最坏的情况,并期望本网站能够按字面顺序存储您的密码(即,没有像时代狼所解释的那样进行散列)。

在这种情况下:(A)尽可能避免像瘟疫一样使用这个网站。很明显他们对安全问题了如指掌如果必须使用该网站,请确保密码是唯一的-不像在其他地方使用的任何密码。

如果正在开发一个接受密码的站点,请不要设置一个愚蠢的密码限制,除非希望使用相同的刷子进行注册。

当然,在内部,代码可能只将前256/1028/2k/4k(任何)字节视为“重要”字节,以避免对庞大的密码进行破解。

扫码关注云+社区