Mi sono imbattuto in parecchi siti che limitano la lunghezza che consentono alle password di essere e / o vietano determinati caratteri. Questo mi limita perché voglio ampliare e allungare lo spazio di ricerca della mia password. Mi dà anche una sensazione spiacevole che potrebbero non avere hash.

Ci sono buoni motivi per impostare una lunghezza superiore o escludere i caratteri nelle password?

No

Non ci sono buoni motivi.

EDIT: Non posso dimostrare che non ci sono buone ragioni, perché non si può dimostrare un aspetto negativo. Non riesco a pensare a nessuna buona ragione per questo - come altri hanno sottolineato, l'hash avrà le stesse dimensioni indipendentemente dalla dimensione dell'input e l'eliminazione di caratteri validi (dal contesto della domanda) riduce solo lo spazio degli stati. La risposta sembra ovvia: non ci sono buoni motivi. Ci possono essere molte ragioni che sembrano buone o che sembrano buone, ma non lo sono. Se lo fossero, qualcuno li avrebbe già pubblicati qui, o se non qui, sicuramente su security.stackexchange.com, e questa risposta non sarebbe stata così fortemente votata.

Limitando la lunghezza può essere una misura per limitare il tempo di esecuzione del hashing oltre a limitare la larghezza di banda (e sia di quelle sono davvero comunque marginale). A parte questo, non esiste una buona ragione, soprattutto dal punto di vista della sicurezza.

Si potrebbe dire: "Le persone dimenticheranno più facilmente le password più lunghe", ma questa è davvero un'affermazione stupida e non arriva affatto al punto.

Per quanto riguarda i caratteri, fintanto che siete a conoscenza di potenziali problemi di codifica con il trasferimento e / o la migrazione dei dati in futuro (ad esempio, passerete da ASCII a UTF-8 in 2 anni) consentendo più caratteri può essere utile solo per i punti di forza delle password.

Sì , c'è un motivo per i personaggi speciali.

Non consentire caratteri speciali è più una questione di usabilità, piuttosto che legata alla sicurezza. Prima di tutto potrebbero essere rovinati da problemi di codifica. In secondo luogo, anche se avresti la garanzia di utilizzare sempre la stessa codifica, c'è ancora il problema del dispositivo di input. Dipenderai dalla tastiera completa (che elimina la maggior parte dei dispositivi mobili), con lo stesso layout di tastiera. Successivamente differiscono non solo tra le lingue, ma anche tra i sistemi operativi, i layout per Windows, Linux e OSX potrebbero essere leggermente diversi. Così vedo una buona ragione per non permettere la password come: √Ω≈ç∫∞§…¬å∑±.

Qualche anno fa c'è stata una controversia nel mondo della sicurezza quando i clienti di Chase hanno scoperto che le loro password non distinguevano tra maiuscole e minuscole. Si è scoperto che la loro pagina web era solo un frontend per un sistema di backend OS / 400 di 30 anni, che aveva una limitazione tecnica che ignorava il caso. Risolvere il problema sarebbe apparentemente costato milioni di dollari.

Il punto è che potrebbero esserci costosi motivi legacy per non consentire password per un certo periodo.
(Nota che non sto perdonando questa scusa ...)

La maggior parte delle banche, dipartimenti IT, ecc. Chi applica le massime restrizioni per le password non lo fa per motivi tecnici. Sono perfettamente consapevoli di come funziona l'hash delle password e come archiviare password complesse. Impongono queste limitazioni perché riduce il numero di chiamate a supporto per le persone che hanno dimenticato la password. È una buona ragione per imporre quel tipo di limitazione? Senza significato. Tuttavia, è la ragione principale.

Non tutti i dispositivi di input (dal punto di vista hardware) hanno spesso tutti i caratteri di una tastiera completa o similmente. Se non si utilizza un gestore di password, è possibile riscontrare problemi nell'inserimento di tale password, no? E Unicode è ancora molto lontano (molto lontano) dall'essere uno standard.

Ci sono buoni motivi per impostare una lunghezza superiore o escludere i caratteri nelle password?

Ho intenzione di fare un'ipotesi e dire che alcune di queste restrizioni sono dovute al filtro dei caratteri sul loro sito Web ( & < > #) per tenere fuori gli hacker. Mentre altri sono le idee dalla testa d'osso che escono dai comitati di capi dai capelli a punta.

Mi sono imbattuto in una serie di decisioni di "sicurezza" davvero stupide (secondo me). Ad esempio, una grande società di investimento gestisce i miei conti IRA e la mia pensione. Per fare qualsiasi contatto con la pensione mi impone di digitare la mia password al telefono (altrimenti non è possibile raggiungerli). Il mio account di intermediazione / IRA utilizza lettere (maiuscole e minuscole) nonché alcuni segni di punteggiatura: nessuno di questi caratteri appare su un tastierino numerico del telefono. Se non riesci ad accedere con la password al telefono, ti consente di reimpostare la password del tuo account di brokeraggio su qualcosa che puoi digitare al telefono.

Il mio sistema di gestione stipendi (per la società di consulenza per cui lavoro) richiede numeri e solo numeri: ciò consente loro di utilizzare lo stesso database se l'utente chiama (non l'ho mai fatto) o utilizza l'interfaccia Web (io uso solo questo) .

Detto questo, è tempo di cambiare la mia password in ufficio. Hanno restrizioni così folli che stimerò ci vorrà circa mezza giornata per trovare una password accettabile per il sistema: almeno 2 lettere maiuscole, almeno 2 lettere minuscole, almeno 2 cifre (che non possono essere +/- 1 dalla password precedente), almeno 2 caratteri non alfa / non numerici, non può corrispondere a nessuna delle ultime 24 password, non può contenere alcuna stringa (avanti o indietro) che sia una parola (lunga 3 o più lettere) in inglese ( anche un paio di altre lingue che non ho nulla da sapere). Penso che la lunghezza minima sia di 10-11 caratteri.

Un motivo per limitare i caratteri sarebbe dovuto alla modalità di immissione della password.

Ad esempio, diverse banche, con i loro siti Web di Internet Banking, richiedono caratteri specifici da una password e si selezionano i caratteri appropriati tramite una casella a discesa.

Lo fanno, presumibilmente, in modo che i keylogger non possano rilevare la pressione dei tasti e quindi conoscere [caratteri dalla] password. Mentre so che ci sono molti altri modi in cui tali misure potrebbero essere aggirate, ad esempio la screencapture; è ancora efficace contro i keylogger.

Se dovessero consentire tutti i personaggi, la lunghezza della casella a discesa diventerebbe ingombrante e consentirebbe anche la confusione tra personaggi simili.

Non consentire caratteri speciali come tab sarebbe valido. È possibile accedere o modificare la password con un carattere di tabulazione in modalità testo ma non è possibile utilizzarla in una GUI o in un ambiente Web. Un carattere backslash presenterà anche alcuni problemi multipiattaforma.

tra le password lunghe non sono password - sono passphrase. Il tuo utente medio non ricorda 2Z8d!% G # x ma può ricordare "il nome del mio animale domestico è fido the dog". Un testo più lungo è più difficile da decifrare con la forza bruta ed è molto meno probabile che venga scritto su una nota allegata allo schermo.

Quando le persone digitano commettono errori, chiamati "errori di battitura". Normalmente le persone vedono i loro errori e li correggono. Per l'immissione della password di solito non puoi vedere cosa hai digitato e quindi non puoi correggere i tuoi errori di battitura. Si commettono errori senza accorgersene, inviare la password e viene restituita come "password non valida". Quindi riprova. Quindi riprova.

Puoi pensarlo come "3 piccoli errori di battitura minori e poi sei indistinguibile da un attacco di forza bruta". In che modo i sistemi difendono dagli attacchi di forza bruta? Una risposta esplicita " Troppi tentativi, vai via, non sarai in grado di accedere anche se la risposta è corretta "? Aumentare in modo esponenziale i ritardi nell'inserimento della password che porta a timeout del browser quando il ritardo è troppo lungo, rendendo impossibile tentare di accedere nuovamente? Gli approcci variano, ma c'è sempre una conseguenza in un sistema ben progettato.

Puoi pensarlo come "3 piccoli errori di battitura minori e poi ottieni una sorta di negazione del servizio".

Poiché la lunghezza della password aumenta, aumenta il rischio di errori di battitura (e quindi il rischio di negare l'accesso a una persona autorizzata). Qualsiasi cosa più lungo di circa 20 caratteri sta per essere scritto male spesso (a meno che l'utente sia intelligente / pigro e memorizza la password da qualche parte in modo che possano "copia e incolla", senza preoccuparsi di errori di battitura, come un bel file di testo sul proprio desktop chiamata " le password .txt ").