我可以理解,对密码设置最小长度是很有意义的(为了保护用户),但是我的银行要求密码长度在6到8个字符之间,我开始怀疑……
如果有人(希望)有一些优秀的IT安全专业人员为他们工作,他们强制使用最大密码长度,我是否应该考虑这样做?这样做的利弊是什么?
发布于 2008-09-19 01:52:14
发布于 2008-09-19 04:51:15
密码字段中指定的最大长度应读取为安全警告。任何明智的,有安全意识的用户都必须做最坏的打算,并期望这个站点按字面意思存储您的密码(即,不是散列的,就像epochwolf所解释的那样)。
在这种情况下:
如果你正在开发一个接受密码的网站,不要设置一个愚蠢的密码限制,除非你想被相同的刷子弄得焦头烂额。
当然,在内部,您的代码可能只将前256/1024/2k/4k/(随便什么)字节视为“重要”字节,以避免处理庞大的密码。
发布于 2008-09-19 02:04:20
如果您接受来自不受信任来源的密码,则允许完全无限制的密码长度有一个主要缺点。
发件人可能会尝试为您提供过长的密码,从而导致拒绝为其他人提供服务。例如,如果密码是1 1GB的数据,并且您花费了所有时间来接受它,直到内存耗尽。现在,假设此人向您发送此密码的次数与您愿意接受的次数相同。如果您不注意涉及到的其他参数,这可能会导致DoS攻击。
以今天的标准来看,将上限设置为256个字符似乎过于慷慨了。
https://stackoverflow.com/questions/98768
复制相似问题