Soll ich eine maximale Länge auf Passwörter verhängen?

Question

Ich kann verstehen, dass eine Mindestlänge auf Passwörter zur Einführung eines viel Sinn macht (speichern Nutzer von sich selbst), aber meine Bank hat eine Anforderung, dass Passwörter sind zwischen 6 und 8 Zeichen lang, und ich begann fragen ...

• Wäre das nicht nur macht es einfacher für Brute-Force-Angriffe? (Bad)
• Bedeutet dies, dass mein Passwort unverschlüsselt werden gespeichert? (Bad)

Wenn jemand mit (hoffentlich) einige gute IT-Sicherheitsexperten für sie arbeiten eine maximale Kennwortlänge auferlegt, sollte ich darüber nachdenken, ähnlich zu tun? Was sind die Vor / Nachteile hierfür sind?

Answer 1

Die Passwörter werden auf 32 gehasht, 40, 128, unabhängig von der Länge. Der einzige Grund für eine Mindestdauer ist leicht zu verhindern, Passwörter zu erraten. Es gibt keinen Zweck, für eine maximale Länge.

Die obligatorische XKCD zu erklären, warum Sie Ihre Benutzer einen schlechten Dienst tun, wenn Sie eine maximale Länge verhängen:

Answer 2

Eine maximale Länge auf einem Passwort-Feld angegeben sollte als Sicherheitswarnung gelesen werden: Jeder vernünftige, sicherheitsbewussten Benutzer muss das Schlimmste annehmen und erwarten, dass diese Website Ihr Passwort speichert wahrsten Sinne des Wortes (das heißt nicht gehasht, wie erläutert durch epochwolf).

, dass das der Fall ist: (A) zur Vermeidung dieser Seite wie die Pest, wenn möglich [sie offensichtlich Nüsse über Sicherheit wissen] (B), wenn Sie die Website verwenden müssen, stellen Sie sicher, dass Ihr Passwort einzigartig ist - anders als jedes Passwort, das Sie an anderer Stelle verwenden.

Wenn Sie eine Website entwickeln, die Passwörter akzeptiert, NICHT ein dummes Passwort Limit setzen, es sei denn, Sie mit der gleichen Bürste erhalten geteerten wollen.

[Intern kann natürlich Ihr Code behandelt nur das erste 256/1028 / 2k / 4k (was auch immer) Bytes als "signifikant" auf Mammut-Passwörter zu vermeiden Knirschen.]

Answer 3

für völlig unbegrenzt Kennwortlänge zulassen hat einen großen Nachteil, wenn Sie das Kennwort aus nicht vertrauenswürdigen Quellen annehmen.

Der Sender könnte versuchen Ihnen so ein langes Passwort zu geben, dass es für andere Menschen in einem Denial-of-Service führt. Zum Beispiel, wenn das Passwort 1 GB Daten und Sie verbringen Ihre Zeit es akzeptieren, bis Sie über genügend Arbeitsspeicher ausgeführt. Nehmen wir nun an diese Person Sie dieses Passwort so oft sendet, wie Sie zu akzeptieren bereit sind. Wenn Sie nicht vorsichtig über die anderen Parameter beteiligt, dies zu einem DoS-Angriff führen kann.

Zur Einstellung der Obergrenze um so etwas wie 256 Zeichen zu großzügig scheint nach heutigen Maßstäben.

Answer 4

Erstens, nicht davon ausgehen, dass die Banken eine gute IT-Sicherheitsexperten für sie arbeiten müssen. Plenty Sie nicht.

Das heißt, maximale Kennwortlänge ist wertlos. Es erfordert oft Benutzer ein neues Passwort (Argumente über den Wert der auf jeder Seite unterschiedliche Passwörter für den Moment beiseite) zu schaffen, die die Wahrscheinlichkeit erhöht, werden sie sie nur aufschreiben. Es erhöht auch die Anfälligkeit, auf Social-Engineering von brutaler Gewalt durch einen beliebigen Vektor angreifen.

Answer 5

Maximale Kennwortlänge Grenze jetzt von OWASP Authentication Spickzettel abgeraten

https://www.owasp.org/index.php/Authentication_Cheat_Sheet

Unter Berufung auf den ganzen Absatz:

  

Längere Passwörter bieten eine größere Kombination von Zeichen und folglich machen es schwieriger für einen Angreifer zu erraten.

     

Mindestlänge der Passwörter sollten durch Anwendung erzwungen werden.   Passwörter kürzer als 10 Zeichen werden als schwach sein ([1]).   Während minimale Länge Durchsetzungsprobleme mit Auswendiglernen Passwörter bei einigen Benutzern verursachen können, sollten Anwendungen ermutigen sie Paßphrasen (Sätze oder Kombination von Wörtern) zu setzen, die viel länger als typische Passwörter sein kann und noch viel leichter zu merken.

     

Maximale Kennwortlänge sollte nicht zu niedrig eingestellt werden, da es die Nutzer von der Erstellung Paßphrasen verhindern. Typische maximale Länge beträgt 128 Zeichen.   Paßphrasen kürzer als 20 Zeichen sind in der Regel schwach angesehen, wenn sie nur aus Kleinbuchstaben lateinischen Buchstaben bestehen. Jeder Charakter zählt !!

     

Stellen Sie sicher, dass jeder Charakter der Benutzer in tatsächlich im Passwort enthalten. Wir haben Systeme gesehen, dass das Passwort auf einer Länge gestutzt kürzer als das, was der Benutzer zur Verfügung gestellt (beispielsweise bei 15 Zeichen abgeschnitten, wenn sie 20 eingetragen).   Dies wird in der Regel durch Einstellen der Länge aller Kennworteingabefelder behandelt genau die gleiche Länge wie die maximale Länge Passwort sein. Dies ist besonders wichtig, wenn Ihr maximales Kennwortlänge kurz ist, wie 20 bis 30 Zeichen.

Answer 6

Ein Grund, warum ich für die Durchsetzung einer maximalen Kennwortlänge vorstellen kann, ist, wenn das Frontend mit vielen Legacy-System-Backends Schnittstelle muss, von denen sich eine maximale Kennwortlänge erzwingt.

Ein weiterer Denkprozess könnte sein, dass, wenn ein Benutzer gezwungen ist, mit einem kurzen Passwort geht sie eher zufällig Kauderwelsch als eine leicht zu erraten erfinden (von ihren Freunden / Familie) Catch-Phrase oder Spitznamen. Dieser Ansatz ist natürlich nur dann wirksam, wenn das Frontend erzwingt Zahlen / Buchstaben mischen und lehnt Passwörter, die alle Wörter aus dem Wörterbuch, einschließlich Wörter in l33t-sprechen geschrieben.

Answer 7

Ein potenziell triftiger Grund eine maximale Kennwortlänge zu verhängen ist, dass der Prozess es (aufgrund der Verwendung einer langsamen Hashfunktion wie bcrypt) von Hashing zu viel Zeit in Anspruch nimmt; etwas, das in Ordnung missbraucht werden, um einen DoS-Angriff gegen den Server auszuführen.

Dann wieder, Server sollten automatisch konfiguriert werden, um Request-Handler zu löschen, die zu lange dauern. Also ich bezweifle, dass dies ein Problem viel sein würde.

Answer 8

Ich glaube, Sie auf beiden Aufzählungspunkten sehr recht. Wenn sie die Passwörter gehasht sind zu speichern, wie sie sollten, dann ist Passwortlänge nicht ihr DB-Schema überhaupt beeinflussen. eine offene Passwort Länge führt in einer weiteren Variable, die ein Brute-Force-Angreifer zu verantworten hat.

Es ist schwer, eine Entschuldigung zu sehen, zur Begrenzung Kennwortlänge neben schlechtem Design.

Answer 9

Der einzige Vorteil, den ich auf eine maximale Länge des Passworts sehen würde das Risiko eines Pufferüberlauf-Angriff durch ein übermäßig langes Passwort, aber es gibt viel bessere Möglichkeiten, um die Situation in den Griff zu eliminieren.

Answer 10

Speicher ist billig, warum die Kennwortlänge begrenzen. Auch wenn Sie das Kennwort sind die Verschlüsselung im Gegensatz zu nur es sich um eine 64 Zeichenkette Hashing ist nicht viel mehr nehmen gehen als ein 6 Zeichenfolge zu verschlüsseln.

Die Chancen der Bank System wird überlagert ein älteres System, so dass sie nur in der Lage waren, für das Passwort eine bestimmte Menge an Speicherplatz zu ermöglichen.

Answer 11

Meine Bank tut dies auch. Es verwendet ein beliebiges Passwort zu erlauben, und ich hatte eine 20 Zeichen ein. Einen Tag habe ich es, und siehe da es hat mir ein Maximum von 8, und hatte nicht-alphanumerische Zeichen ausgeschnitten, die in meinem alten Kennwort waren. macht keinen Sinn für mich.

All Back-End-Systeme bei der Bank gearbeitet, bevor, als ich mein 20 Zeichen Passwort mit nicht alphanumerischen Zeichen verwenden, so Legacy-Unterstützung kann nicht der Grund gewesen sein. Und selbst wenn es war, sollten sie immer noch erlauben Sie beliebige Passwörter haben, und dann einen Hash machen, die den Anforderungen der Legacy-Systeme passt. Besser noch, sie sollten die Legacy-Systeme beheben.

Eine Smartcard-Lösung würde mit mir nicht gut gehen. Ich habe schon zu viele Karten, wie es ist ... Ich weiß nicht ein weiteres Gimmick benötigen.

Answer 12

Wenn Sie ein beliebiges Größe Passwort akzeptieren dann geht man davon aus, dass es aus Performance-Gründen auf eine Vorhanglänge abgeschnitten wird immer, bevor es gehasht wird. Das Problem mit Abschneiden ist, dass Ihre Serverleistung im Laufe der Zeit erhöht man nicht einfach die Länge vor dem Abschneiden erhöhen als Hash deutlich anders sein würde. Natürlich könnte man eine Übergangszeit, wo beide Längen gehasht werden und überprüft, aber diese mehr Ressourcen verwendet.

Answer 13

Ignorieren Sie die Leute, die sagen nicht lange Passwörter zu validieren. Owasp wörtlich sagt, dass 128 Zeichen genug sein sollte. Gerade genug, um Atem Raum zu geben, können Sie ein bisschen mehr geben 300 sagen, 250, 500, wenn Sie Lust haben.

https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Password_Length

  

Kennwortlänge Längere Passwörter bieten eine größere Kombination von   Zeichen und folglich machen es schwieriger für einen Angreifer   erraten.

     

...

     

Maximale Kennwortlänge sollte nicht zu niedrig eingestellt werden, da sie verhindern   Benutzer von Erstellen von Passwörtern. Typische maximale Länge beträgt 128   Zeichen . Paßphrasen kürzer als 20 Zeichen sind in der Regel   als schwach, wenn sie nur aus Kleinbuchstaben lateinischen Buchstaben bestehen.

Answer 14

Sollte es eine maximale Länge sein? Dies ist ein seltsames Thema in der IT, dass längere Passwörter sind in der Regel schwieriger zu merken, und daher eher bekommen abgewertet (a BIG no-no aus offensichtlichen Gründen). Längere Kennwörter sind in der Regel auch mehr werden vergessen, die zwar nicht unbedingt ein Sicherheitsrisiko dar, zu administrativen Ärger führen kann, verlorener Produktivität etc. Admins, die glauben, dass diese Fragen drängen wahrscheinlich maximale Längen auf Passwörter zu verhängen.

Ich persönlich glaube, zu diesem speziellen Thema, für jeden Benutzer ihre eigenen. Wenn Sie denken, dass Sie ein 40-Zeichen-Passwort erinnern kann, dann umso mehr Leistung für Sie!

Having said that aber, Passwörter schnell sind eine veraltete Art der Sicherheit immer, Smart Cards und Zertifikatsauthentifizierung erweisen sich als sehr schwierig bis unmöglich zu brutaler Gewalt, wie Sie gesagt ist ein Thema, und nur ein öffentlicher Schlüssel muss auf dem Server Ende gespeichert werden mit dem privaten Schlüssel auf Ihrer Karte / Computer zu allen Zeiten.

Answer 15

Längere Passwörter oder Pass-Phrasen, sind härter einfach zu knacken, basierend auf der Länge und leichter zu merken als ein komplexes Passwort erfordern.
Wahrscheinlich am besten für eine ziemlich lange (10+) Mindestlänge zu gehen, die Beschränkung der Länge nutzlos.

Answer 16

Legacy-Systeme (bereits erwähnt) oder externe Anbieter der Systeme einer Schnittstelle könnten die 8-Zeichen-Kappe erforderlich machen. Es könnte auch ein fehlgeleiteter Versuch sein, die Benutzer von sich selbst zu retten. es in dieser Art und Weise einschränkend zu vielen pssw0rd1, pssw0rd2 etc. Passwörter im System führen.

Answer 17

Ein Grund Passwörter nicht der Fall sein kann verwendet, um den Authentifizierungsalgorithmus gehasht. Zum Beispiel rel="nofollow"> einig auf dem Server eine Klartext Version des Passwortes erfordern, wie der Authentifizierungsmechanismus beinhaltet sowohl der Client als auch der Server die gleiche Mathematik auf dem eingegebenen Passwort Durchführen (die in der Regel werden das gleiche Ausgangssignal jedes Mal nicht produzieren, wie das Passwort mit einem zufällig erzeugten ‚Nonce‘ kombiniert wird, die zwischen den beiden Systemen gemeinsam verwendet wird).

Oft kann dies verstärkt wird als die Digest Teil in einigen Fällen berechnet werden kann, aber nicht immer. Eine bessere Route ist für das Passwort mit umkehrbarer Verschlüsselung gespeichert werden -. Darunter ist dann die Anwendung Quellen geschützt werden müssen, da sie den Verschlüsselungsschlüssel enthalten werden

Digst Auth ist es die Authentifizierung über sonst nicht verschlüsselte Kanäle zu ermöglichen. Wenn SSL oder eine andere Vollkanal-Verschlüsselung verwendet, dann gibt es keine Notwendigkeit zu verwenden Authentifizierungsmechanismen zu verdauen, Passwörter Sinn kann stattdessen gehasht gespeichert werden (wie Passwörter im Klartext über den Draht (für einen gegebenen Wert von sicheren sicher gesendet werden).

Answer 18

Versuchen keine Einschränkung, es sei denn notwendig zu verhängen. Seien Sie gewarnt: es könnte und wird in vielen verschiedenen Fällen notwendig sein. Der Umgang mit Legacy-Systemen ist einer dieser Gründe. Stellen Sie sicher, testen Sie den Fall von sehr langen Passwörtern gut (kann Ihr System Deal mit 10MB langen Passwörtern?). Sie können, weil der Schlüssel Defivation Funktionen (KDF) in Denial-of-Service (DoS) Probleme führen Sie zu viel Zeit und Ressourcen nehmen wird (in der Regel PBKDF2, bcrypt, Scrypt). Richtiges Beispiel: http://arstechnica.com/security/2013/09/long-passwords-are-good-but-too-much-length-can-be-bad-for-security/

Answer 19

Nur 8 Zeichen lange Passwörter klingen einfach falsch. Wenn es soll eine Grenze sein, dann atleast 20 Zeichen sind bessere Idee.

Answer 20

Ich denke, die einzige Grenze, die wie eine 2000 Brief Grenze angewandt werden sollen, ist, oder etwas anderes insainly hoch, aber nur die Datenbankgröße zu begrenzen, wenn das ein Problem ist