Почему некоторые веб-сайты запрещают использовать не-буквенно-цифровые символы в пароле вашего сайта?
Я вошел на сайт сегодня и нашел это сообщение:
В рамках обновления новых систем безопасности мы требуем, чтобы все существующие клиенты изменили свой пароль, чтобы улучшить защиту их личной информации.
Мы рекомендуем использовать пароль, который легко запомнить, но трудно угадать другим. Обратите внимание, что новый пароль должен содержать от 8 до 16 символов и специальных символов:"'", "" ","; "," | ","? ","<",">"," ^ "," * ",":", "="и"#"запрещены. Спасибо за понимание и сотрудничество.
16 символов, вероятно, достаточно долго, но я не вижу веских причин для ограничения длины.
Более интересным для меня является запрет определенных персонажей. В этой схеме есть еще много специальных символов, хотя я слышал о других сайтах, которые допускают только буквенно-цифровые символы. Почему содержание моего пароля должно иметь значение для алгоритма хеширования? Это просто хеш или base-64 кодировка этого хеша, верно?
- Эта политика подвергает риску безопасность моей учетной записи?
- Есть ли конкретный обработчик пароля не может иметь дело с набором символов
',";|?<>^*:=#? - Должен ли я беспокоиться о политиках безопасности в другом месте на сайте?
3 ответа
Почти наверняка, чтобы люди не встраивали код в обычные поля (а-ля SQL-инъекция).
Потому что они сделали дерьмовую работу по предотвращению инъекций SQL. Я почти понимаю, что нельзя допустить 'и " (ваша оценка переходит от F к C), все остальное просто небрежно
Должен ли я беспокоиться о политиках безопасности в другом месте на сайте?
Да, ты должен.
Потому что, если они могут знать, какие символы находятся в вашем пароле, это означает, что он хранится в открытом виде в базе данных. И это БАААД.