39

ฉันเจอไซต์จำนวนไม่มากที่จำกัดความยาวที่อนุญาตให้ใช้รหัสผ่านและ / หรือไม่อนุญาตให้ใช้อักขระบางตัว นั่นเป็นข้อ จำกัด สำหรับฉันเนื่องจากฉันต้องการขยายและค้นหาพื้นที่ในรหัสผ่านของฉันให้ยาวขึ้น มันทำให้ฉันรู้สึกไม่สบายใจที่พวกเขาอาจไม่ได้คร่ำครวญ

มีเหตุผลที่ดีสำหรับการตั้งค่าความยาวส่วนบนหรือไม่รวมอักขระในรหัสผ่านหรือไม่?

security passwords

— คริส
แหล่งที่มา

26

แน่นอน! มันทำให้ง่ายต่อการเดารหัสผ่านของผู้คนที่กำลังดุร้าย! : P

— FrustratedWithFormsDesigner

4

เรากำลังพูดถึงเหตุผล "ทางเทคนิค" ที่ถูกต้องหรือเหตุผล "ธุรกิจ" ที่ถูกต้องหรือไม่?

— Martin York

1

@ มาร์ติน: ฉันกำลังคิดทางเทคนิค แต่ฉันคิดว่าอย่างใดอย่างหนึ่ง

— chris

11

@JYelton ทำไมคุณถึงสนใจความยาวของรหัสผ่านเดิมคืออะไร แฮชจะมีขนาดเท่ากันเสมอ แน่นอนฉันหวังว่าคุณไม่ได้เก็บไว้ในข้อความธรรมดา ...

— Pewpewarrows

3

ดูเหตุใดบางเว็บไซต์และโปรแกรมจึง จำกัด คุณสมบัติของรหัสผ่าน และฉันไม่ควรใช้ตัวอักษรใดในรหัสผ่าน กว่าที่ความปลอดภัยของข้อมูล

— Gilles 'SO- หยุดความชั่วร้าย'

27

ไม่

ไม่มีเหตุผลที่ดี

แก้ไข: ฉันไม่สามารถพิสูจน์ได้ว่าไม่มีเหตุผลที่ดีเพราะไม่มีใครพิสูจน์ได้ว่าเป็นลบ ฉันสามารถคิดว่าไม่มีเหตุผลที่ดีสำหรับเรื่องนี้ - ตามที่คนอื่นชี้ว่าแฮชจะมีขนาดเดียวกันโดยไม่คำนึงถึงขนาดของอินพุตและการกำจัดอักขระที่ถูกต้อง (จากบริบทของคำถาม) เพียงแค่ลดพื้นที่ว่างของรัฐ คำตอบดูเหมือนชัดเจนบนใบหน้า: ไม่มีเหตุผลที่ดี อาจมีหลายเหตุผลที่ฟังดูดีหรือดูดี แต่ก็ไม่ใช่ หากพวกเขาเป็นใครบางคนจะโพสต์ไว้ที่นี่แล้วหรือไม่หากไม่ได้อยู่ที่นี่อย่างแน่นอนใน security.stackexchange.com

— สตีเวนเอ. โลว์
แหล่งที่มา

3

ตกลง สแต็ค / โปรแกรมเมอร์บางคนดูเหมือนจะไม่ได้รับการเข้ารหัสที่ถูกต้องเพราะพวกเขา จำกัด ASCII เป็นแฮ็คราคาถูกที่จะทำให้มันทำงานได้

— edA-qa mort-ora-y

10

อย่างน้อยคุณสามารถลองทำอย่างละเอียด? ไม่ว่าคุณจะไม่รู้เรื่องนี้จริงหรือคุณมีเหตุผลที่เชื่อว่าสาเหตุทั่วไป / ที่มีอยู่ไม่ถูกต้อง การให้คุณได้รับประโยชน์จากความสงสัยและสมมติว่าคุณควรอธิบายว่าทำไมเหตุผลเหล่านั้นถึงไม่ถูกต้อง

— Aaronaught

8

-1 - ฉันสามารถคิดถึงเหตุผลที่ดีหลายประการในการ จำกัด รหัสผ่านให้กับชุดอักขระที่กำหนด ในทำนองเดียวกันการที่ต้องรองรับรหัสผ่านโทรศัพท์แบบกดปุ่มสัมผัสและรหัสที่คุณพิมพ์ผ่านแป้นพิมพ์ก็เป็นสถานการณ์ที่คุณต้องคำนึงถึง

— rjzii

9

-1 ไม่มีเหตุผลเพียงแค่ความเห็น หากคุณกำลังจะทำงบผ้าห่มให้สำรอง

— Michael K

4

ขณะนี้มีการพูดคุยกันในไซต์การสนทนาเมตาของเรา: จะเป็นประโยชน์ในการเข้าใจว่าทำไมคำตอบคำเดียวจึงเป็นที่นิยมและสิ่งที่เราสามารถทำได้เพื่อปรับปรุงคุณภาพของคำตอบเช่นนี้

25

การ จำกัด ระยะเวลาที่สามารถวัดการ จำกัด เวลาการดำเนินการของคร่ำเครียดเช่นเดียวกับการ จำกัด แบนด์วิดธ์ (และทั้งสองของผู้ที่มีจริงๆล่ะค่ะร่อแร่) นอกเหนือจากนั้นไม่มีเหตุผลที่ดีโดยเฉพาะอย่างยิ่งจากมุมมองความปลอดภัย

หนึ่งสามารถพูดได้:“ ผู้คนจะลืมรหัสผ่านอีกต่อไปได้ง่ายขึ้น” - แต่นั่นเป็นคำสั่งที่โง่มากและไม่ไปถึงจุดนั้นเลย

สำหรับตัวละครตราบใดที่คุณตระหนักถึงปัญหาการเข้ารหัสที่อาจเกิดขึ้นกับการถ่ายโอนข้อมูลและ / หรือการย้ายข้อมูลในอนาคต (เช่นคุณจะเปลี่ยนจาก ASCII เป็น UTF-8 ใน 2 ปี) การอนุญาตให้ใช้อักขระได้มากขึ้นเท่านั้น

— Kissaki
แหล่งที่มา

4

เนื่องจากความยาวของโปรโตคอลที่ทันสมัยนั้นอาจไม่ใช่เหตุผลที่ดี - นอกเหนือจากขีด จำกัด สูงเช่น 1K เพียงเพื่อป้องกันการโจมตี / ไร้สาระบางอย่าง

— edA-qa mort-ora-y

3

การ จำกัด เวลาดำเนินการของการแฮ็ชโดยทั่วไปจะไม่ดี ยิ่งใช้เวลานานในการคำนวณค่าแฮชยิ่งใช้แรงเดรัจฉานนานเท่าไหร่

— tdammers

แม้ว่าจะถูกต้อง แต่ก็เป็นการแลกเปลี่ยน คุณไม่ต้องการคำนวณแฮชที่ดีที่สุดซึ่งใช้เวลานานที่สุด การจับมือกันไม่สมมาตรดังนั้น VS กระแสข้อมูลสมมาตรใน VPN ฯลฯ

— Kissaki

17

ใช่มีเหตุผลสำหรับตัวละครพิเศษ

การไม่อนุญาตให้ใช้อักขระพิเศษเป็นสิ่งที่มีประโยชน์มากกว่าความปลอดภัยที่เกี่ยวข้อง ก่อนอื่นพวกเขาอาจยุ่งเหยิงด้วยการเข้ารหัสปัญหา ประการที่สองแม้ว่าคุณจะรับประกันว่าจะใช้การเข้ารหัสแบบเดียวกันเสมอ แต่ก็ยังคงมีปัญหาของอุปกรณ์อินพุต คุณจะขึ้นอยู่กับการมีแป้นพิมพ์เต็มรูปแบบ (ซึ่งกำจัดอุปกรณ์พกพาส่วนใหญ่) ด้วยรูปแบบแป้นพิมพ์เดียวกัน ต่อมาแตกต่างกันไม่เพียง แต่ระหว่างภาษา แต่ระหว่าง OS, เลย์เอาต์สำหรับ Windows, Linux และ OSX อาจแตกต่างกันเล็กน้อย √Ω≈ç∫∞§…¬å∑±ดังนั้นผมจึงไม่เห็นเหตุผลที่ดีที่จะไม่อนุญาตให้มีการใช้รหัสผ่านที่ชอบ:

— vartec
แหล่งที่มา

3

หากคุณไม่ได้ให้รหัสผ่านแก่ผู้ใช้ของคุณนั่นคือถ้าพวกเขาเป็นคนป้อนรหัสผ่านด้วยตนเองหากพวกเขาเลือกที่จะใช้สัญลักษณ์ทางคณิตศาสตร์ที่แปลก ๆ นั่นก็คือธุรกิจของพวกเขา ตอนนี้ฉันเห็นด้วยกับปัญหาการเข้ารหัสที่นี่ แต่พบว่ามีข้ออ้างที่จะส่งผ่านความสามารถเรดาร์ด้านล่างมากกว่าเหตุผลที่ดีจริงเพื่อป้องกันตัวอักษรบางอย่างโดยพลการ

— Newtopian

2

@new: มันไม่ใช่ธุรกิจของพวกเขา หากพวกเขายิงตัวเองพวกเขาจะยังคงรู้สึกว่ามีปัญหากับแอปพลิเคชันของคุณและโทรติดต่อฝ่ายสนับสนุนของคุณ

— vartec

7

@ Newtopian: ฉันเกลียดเมื่อฉันในฐานะผู้ใช้ถูก จำกัด ด้วยเหตุผลของความไม่รู้ (เช่นไม่สามารถระบุ"+"ในที่อยู่อีเมลของฉัน) อย่างไรก็ตามบางครั้งเป็นความคิดที่ดีที่จะไม่ให้ผู้ใช้ใช้เชือกมากในการแขวนคอ ฉันคิดว่านี่เป็นโอกาสเช่นนั้น มันไม่เกี่ยวกับ "พล" ป้องกันตัวละครบางตัว

— Zano

1

ดังนั้นคุณจึงสนับสนุน Greeks, Arabs, Chinese และอื่น ๆ ทั้งหมดใช้ US-ASCII?

— l0b0

@ l0: ไม่ฉันขอสนับสนุนให้พวกเขาใช้ตัวอักษรปกติที่ใช้กันทั่วไปในภาษาของพวกเขามากกว่าตัวอักษรพิเศษบางตัวซึ่งอาจหายไปในบางเลย์เอาต์

— vartec

13

มีการโต้เถียงกันเล็กน้อยในโลกความปลอดภัยเมื่อไม่กี่ปีที่ผ่านมาเมื่อลูกค้าของ Chase พบว่ารหัสผ่านของพวกเขานั้นไม่ตรงตามตัวพิมพ์เล็กและใหญ่ มันเปิดออกหน้าเว็บของพวกเขาเป็นเพียงส่วนหน้าของระบบแบ็กเอนด์ OS / 400 อายุ 30 ปีซึ่งมีข้อ จำกัด ทางเทคนิคที่ไม่สนใจกรณี การแก้ไขสิ่งนี้จะมีค่าใช้จ่ายหลายล้านดอลลาร์

ประเด็นคืออาจมีเหตุผลดั้งเดิมที่มีราคาแพงที่ไม่อนุญาตให้ใช้รหัสผ่านในระยะเวลาหนึ่ง
(โปรดทราบว่าฉันไม่ได้ยกโทษข้ออ้างนี้ ... )

— BlueRaja - Danny Pflughoeft
แหล่งที่มา

1

ตราบเท่าที่นี่เป็นเหตุผลที่ดีเพียงอย่างเดียวที่จะ จำกัด รหัสผ่านในทางใดทางหนึ่ง ... เฉพาะในกรณีที่ระบบพื้นฐานจะถือข้อ จำกัด ดังกล่าวในสถานที่แรก

— Newtopian

8

ธนาคารส่วนใหญ่แผนกไอที ฯลฯ ที่บังคับใช้ข้อ จำกัด รหัสผ่านสูงสุดไม่ได้ทำด้วยเหตุผลทางเทคนิค พวกเขาตระหนักดีว่าการแฮ็กรหัสผ่านทำงานอย่างไรและวิธีการจัดเก็บรหัสผ่านที่ซับซ้อน พวกเขากำหนดข้อ จำกัด เหล่านี้เพราะจะลดจำนวนการโทรเพื่อสนับสนุนสำหรับผู้ที่ลืมรหัสผ่าน นี่เป็นเหตุผลที่ดีที่จะใช้ข้อ จำกัด แบบนั้นหรือไม่? ไม่ได้หมายความว่า แต่อย่างไรก็ตามมันเป็นเหตุผลหลัก

— เกร็กแจ็คสัน
แหล่งที่มา

1

ฉันเห็นว่าการลดการสนับสนุนเป็นvalid Business reason(โดยส่วนตัวแล้วฉันไม่เชื่อจริง ๆ ว่ามีความสัมพันธ์กัน)

— Martin York

2

มีวิธีการอื่นเกี่ยวกับการรีเซ็ตรหัสผ่านหรือให้ความรู้แก่ผู้ใช้เกี่ยวกับวิธีการเลือกรหัสผ่านที่ซับซ้อนเพียงพอที่จะจดจำได้ง่าย รหัสผ่านสองสามตัวสุดท้ายของฉันในที่ทำงานนั้นมีอักขระ> 25 ตัวและฉันก็ไม่มีปัญหาในการจดจำรหัสผ่าน นอกจากนี้สมมุติว่าผู้ที่มีปัญหาในการจดจำรหัสผ่านที่ยาวของพวกเขาจะยังคงเลือกรหัสผ่านที่สั้นกว่าแม้ว่าฉันจะไม่รู้ว่าบ่อยแค่ไหนที่จริง การลดการเรียกสายสนับสนุนดูเหมือนเป็นเหตุผลทางธุรกิจที่ถูกต้องบนพื้นผิว แต่ก็ยังเป็นเหตุผลที่น่ากลัวในการจำกัดความยาวของรหัสผ่าน

— เกร็กแจ็คสัน

1

ฉันคิดว่า (และคนจำนวนมาก) ของฉันจะค้นหาการพิมพ์ที่ถูกต้อง (ไม่ใช่แค่การจดจำ) อักขระ 25 ตัวโดยไม่เห็นผลลัพธ์แทบเป็นไปไม่ได้ ฉันได้แก้ไขข้อผิดพลาด 5 ข้อในขณะพิมพ์นี้!

— เจอร์รี่

การจำไม่ได้เหมือนกับการพิมพ์ การจดจำรหัสผ่านที่ยาวนั้นง่ายมากถ้าคุณรู้วิธีเลือกรหัสผ่าน เพียงเลือกเส้นจากเรื่องราวหรือบทละครหรือบางส่วนของบทกวีหรือเนื้อเพลง ตราบใดที่คุณเปลี่ยนสิ่งหนึ่งหรือสองอย่างในนั้น (การสะกดผิดโดยเจตนาเปลี่ยนคำหนึ่งไปเป็นอีกคำที่ฟังดูเหมือนหรือหมายถึงสิ่งเดียวกัน ฯลฯ ) มันค่อนข้างง่ายและปลอดภัยมาก จริงการพิมพ์อาจจะยากกว่านี้ แต่ไม่มีข้อแก้ตัวใด ๆ ที่ธนาคารจะบังคับให้คุณพิมพ์ตัวอักษรน้อยกว่า 8/10/12 ตัว

— เกร็กแจ็คสัน

ลองพิมพ์รหัสผ่าน 25 ตัวอักษรบนอุปกรณ์มือถือ

— Lie Ryan

7

ไม่ใช่อุปกรณ์อินพุตทั้งหมด (ฮาร์ดแวร์ที่ชาญฉลาด) มักจะมีอักขระทั้งหมดที่แป้นพิมพ์แบบเต็มมีหรือเช่นเดียวกัน หากไม่มีใครใช้ผู้จัดการรหัสผ่านก็พบว่าตัวเองมีปัญหาในการป้อนรหัสผ่านดังกล่าวไม่ใช่หรือ? และ Unicode ยังคงเป็นทางไกล (ไกล) จากการเป็นมาตรฐาน

— โกง
แหล่งที่มา

1

โดยปกติคนที่ใส่รหัสผ่านจะใช้ฮาร์ดแวร์เดียวกัน (หรือคลาสฮาร์ดแวร์) เพื่อสร้างและรับรองความถูกต้อง ฉันไม่เห็นว่าสิ่งนี้เป็นข้อโต้แย้งในการ จำกัด ชุดอักขระหรือความยาว สำหรับ Unicode เมื่อสร้างฝั่งเซิร์ฟเวอร์ (ส่วนการตรวจสอบ) ทำไมคุณจะ จำกัด ขนาดหรือชุดอักขระ? ระบบใด ๆ ที่ต้องการรหัสผ่านเพื่อเข้าใช้ควรสามารถควบคุมวิธีการป้อนรหัสผ่านนี้ในระบบได้ดังนั้นหากคุณต้องการ Unicode สำหรับลูกค้าของคุณ

— Newtopian

@ Newtopian คุณคิดว่าคุณไม่จำเป็นต้องเชื่อมต่อกับระบบเดิมหรือระบบที่อยู่นอกการควบคุมของคุณ

— grahamparks

1

พวกเขาถามหาเหตุผลที่ดีนี่ไม่ใช่เหตุผลที่ดี

2

@Jarrod - การไม่สามารถป้อนรหัสผ่านไม่ใช่เหตุผลที่ดีใช่มั้ย! ไม่ว่าในกรณีใดฉันไม่เห็นคุณมาด้วยสิ่งที่ดีกว่า (หรืออะไรก็ตาม)

— โกง

3

@Rook คุณไม่ควรมีการใช้ตัวอักษรเหล่านั้นถ้าคุณรู้ว่าคุณไม่สามารถเลือกพวกเขาจากอุปกรณ์ที่ไม่ได้ทำให้มันเป็นที่ดีเหตุผลที่จะ จำกัด พวกเขาสำหรับทุกคนก็ทำให้มันเป็นที่ดีเหตุผลที่คุณเองไม่ใช้พวกเขา

7

มีเหตุผลที่ดีสำหรับการตั้งค่าความยาวส่วนบนหรือยกเว้นอักขระในรหัสผ่านหรือไม่

ฉันจะคาดเดาและบอกว่าข้อ จำกัด เหล่านี้มีสาเหตุมาจากการกรองอักขระบนเว็บไซต์ ( & < > #) เพื่อป้องกันแฮกเกอร์ ในขณะที่คนอื่น ๆ เป็นความคิดที่นำไปสู่กระดูกที่ออกมาจากคณะกรรมการของเจ้านายที่มีผมแหลม

ฉันเจอการตัดสินใจ "ความปลอดภัย" โง่ ๆ (ในความคิดของฉัน) จริงๆ ตัวอย่างเช่น บริษัท การลงทุนขนาดใหญ่แห่งหนึ่งจัดการบัญชี IRA ของฉันเช่นเดียวกับเงินบำนาญของฉัน เพื่อที่จะทำใด ๆติดต่อกับเงินบำนาญของฉันต้องพิมพ์รหัสผ่านของฉันเกี่ยวกับโทรศัพท์ (คุณไม่สามารถเข้าถึงพวกเขาเป็นอย่างอื่น) บัญชีนายหน้าของฉัน / IRA ใช้ตัวอักษร (ตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก) รวมถึงเครื่องหมายวรรคตอน - ไม่มีอักขระเหล่านี้ปรากฏบนแผ่นหมายเลขโทรศัพท์ หากคุณไม่สามารถเข้าสู่ระบบด้วยรหัสผ่านทางโทรศัพท์มันจะช่วยให้คุณรีเซ็ตรหัสผ่านบัญชีนายหน้าของคุณเป็นสิ่งที่คุณสามารถพิมพ์ผ่านทางโทรศัพท์

ระบบบัญชีเงินเดือนของฉัน (สำหรับ บริษัท ที่ปรึกษาที่ฉันทำงานด้วย) ต้องใช้ตัวเลขและตัวเลขเท่านั้น - ซึ่งช่วยให้พวกเขาใช้ฐานข้อมูลเดียวกันไม่ว่าผู้ใช้จะโทรเข้า (ฉันไม่เคยทำสิ่งนี้) หรือใช้เว็บอินเตอร์เฟส (ฉันใช้สิ่งนี้เท่านั้น) .

ที่ถูกกล่าวว่ามันเป็นเวลาที่จะเปลี่ยนรหัสผ่านของฉันที่สำนักงาน พวกเขามีข้อ จำกัด ที่บ้าคลั่งซึ่งฉันคาดว่าจะใช้เวลาประมาณครึ่งวันในการค้นหารหัสผ่านที่ระบบยอมรับ: ตัวอักษรตัวพิมพ์ใหญ่อย่างน้อย 2 ตัวอักษรตัวพิมพ์เล็กอย่างน้อย 2 ตัวอักษรอย่างน้อย 2 ตัว (อย่างน้อย +/- 1 จากรหัสผ่านก่อนหน้านี้อย่างน้อย 2 ตัวอักษรที่ไม่ใช่ตัวอักษร / ตัวเลขไม่สามารถจับคู่ใด ๆ ของรหัสผ่าน 24 ที่ผ่านมาไม่สามารถมีสตริงใด ๆ (ไปข้างหน้าหรือข้างหลัง) ที่เป็นคำ (3 หรือมากกว่าตัวอักษรยาว) ในภาษาอังกฤษ อีกสองภาษาที่ฉันไม่ทราบเลย) ฉันคิดว่าความยาวต่ำสุดนั้นมีความยาวตั้งแต่ 10-11 ตัวอักษร

— Tangurena
แหล่งที่มา

ใช่ฉันเคยเห็นตัวละครเหล่านั้นในรายการไม่มี

— chris

5

โจมตีง่าย ๆ : ค้นหาโน้ตที่ติดอยู่ใต้คีย์บอร์ดเพราะไม่มีใครจำรหัสผ่านของมันได้

— JeffO

@ เจฟฟ์นั่นถูกต้อง หากฉันออกจากโน้ตบุ๊คที่บ้านรหัสผ่านนั้นซับซ้อนเกินกว่าจะจำได้ดังนั้นฉันจึงไม่สามารถเข้าสู่ระบบได้และในระบบบัญชีเงินเดือนฉันใส่ชื่อผู้ใช้และรหัสผ่านเป็นส่วนหนึ่งของบุ๊คมาร์ค

— Tangurena

"ไม่สามารถมีสตริง (ไปข้างหน้าหรือข้างหลัง) ที่เป็นคำ (3 ตัวอักษรหรือมากกว่า) ในภาษาอังกฤษ" นี่คือสิ่งที่ทำให้ฉัน การโจมตีพจนานุกรมไม่ได้ผลหากรหัสผ่านมีทั้งคำ แต่ถ้ารหัสผ่านทั้งหมดไม่มีอะไรเลยนอกจากคำเต็ม ... จริง ๆ แล้วคำเดียวเต็มหรือวลีที่พบบ่อยมาก รหัสผ่านที่ปลอดภัยที่สุดที่ใช้งานได้จริงโดยไม่ต้องจดบันทึกเป็นวลีรหัสผ่านที่มาจากหนังสือบทกวีเนื้อเพลง ฯลฯ - เปลี่ยนตัวอักษรสองสามตัวให้เป็นตัวเลข

— เกร็กแจ็คสัน

1

การกรองตัวอักษรเป็นสัญญาณที่แน่นอนว่ายังไม่ได้ทดสอบรหัสขยะในพื้นหลัง นักพัฒนาจำเป็นต้องเรียนรู้ที่จะหลบหนีสตริง

— l0b0

5

เหตุผลหนึ่งในการ จำกัด อักขระที่จะเกิดจากวิธีป้อนรหัสผ่าน

ตัวอย่างเช่นธนาคารหลายแห่งที่มีเว็บไซต์ธนาคารทางอินเทอร์เน็ตของพวกเขาขอตัวอักษรเฉพาะจากรหัสผ่านและคุณเลือกตัวละครที่เหมาะสมผ่านทางกล่องแบบหล่นลง

พวกเขาทำสิ่งนี้น่าจะเป็นเช่นนั้นเพื่อให้ผู้ล็อกคีย์ไม่สามารถตรวจพบการกดคีย์และทำให้รู้ว่า [อักขระจาก] รหัสผ่านของคุณ ในขณะที่ฉันรู้ว่ามีวิธีการอื่น ๆ อีกมากมายเช่นมาตรการสามารถหลีกเลี่ยงเช่น screencapture; มันยังคงมีผลกับ keyloggers

หากพวกเขาต้องอนุญาตให้ตัวละครทุกตัวความยาวของกล่องแบบเลื่อนลงจะกลายเป็นเรื่องยุ่งยากและยังทำให้เกิดความสับสนระหว่างตัวละครที่ดูคล้ายกัน

— เมแกนวอล์คเกอร์
แหล่งที่มา

1

แน่นอนว่าคน (ด้านเทคนิค) ก็แค่พิมพ์ตัวอักษร?

— Gerry

@Gerry - นั่นเป็นพฤติกรรมที่เฉพาะเจาะจงของเบราว์เซอร์มากกว่ามาตรฐานแบบสัมบูรณ์และยังขึ้นอยู่กับความรู้ของผู้ใช้เพื่อให้สามารถใช้งานได้

— Jon Hopkins

ธนาคารของฉันใช้แอปเพล็ตป๊อปอัพของคีย์บอร์ดด้วยเหตุผลที่คล้ายกัน แต่มันยากเกินไปที่จะใช้และได้รับการวิจารณ์จำนวนมากที่ไม่สามารถเข้าถึงได้ (ใช้งานไม่ได้กับโปรแกรมอ่านหน้าจออินพุตอื่น ๆ )

— jqa

1

@ จอน - ฉันพูดคนเทคนิคและฉันไม่รู้เบราว์เซอร์ windows ที่ไม่ได้ใช้การจับคู่อักขระตัวแรกอย่างน้อยเนื่องจากเป็นพฤติกรรมมาตรฐานของ Windows - ไม่สามารถพูดกับ Mac และ * nix ได้

— Gerry

1

@Gerry เบราว์เซอร์บนโทรศัพท์ Android ของฉันไม่อนุญาต ฉันคาดหวังว่ามันจะเหมือนกันสำหรับอุปกรณ์มือถือจำนวนมาก

— RoundTower

2

การไม่อนุญาตให้ใช้ตัวอักษรพิเศษเช่นแท็บจะถูกต้อง คุณสามารถเข้าสู่ระบบหรือเปลี่ยนรหัสผ่านของคุณด้วยแท็บถ่านในโหมดข้อความ แต่คุณไม่สามารถใช้รหัสผ่านใน GUI หรือสภาพแวดล้อมเว็บ แบ็กสแลชชอร์จะแสดงปัญหาข้ามแพลตฟอร์ม

รหัสผ่านที่ยาว btw ไม่ใช่รหัสผ่าน - เป็นรหัสผ่าน ผู้ใช้งานเฉลี่ยของคุณจำไม่ได้ว่า 2Z8d!% g # x แต่พวกเขาจำได้ว่า 'ชื่อสัตว์เลี้ยงของฉันคือ fido the dog' ข้อความที่ยาวกว่านั้นยากต่อการถอดรหัสโดยใช้กำลังดุร้ายและมีโอกาสน้อยที่จะเขียนบนโน้ตที่แนบมากับหน้าจอ

— JQA
แหล่งที่มา

ดูเพิ่มเติมที่xkcd.com/936

— sergut

0

เมื่อคนพิมพ์พวกเขาทำผิดพลาดเรียกว่า "พิมพ์ผิด" โดยปกติผู้คนจะเห็นความผิดพลาดและแก้ไขให้ถูกต้อง สำหรับการป้อนรหัสผ่านโดยปกติคุณจะไม่เห็นสิ่งที่คุณพิมพ์ดังนั้นคุณจึงไม่สามารถแก้ไขความผิดพลาดได้ คุณทำผิดพลาดโดยไม่ทราบว่าส่งรหัสผ่านของคุณและมันกลับมาเป็น "รหัสผ่านไม่ถูกต้อง" จากนั้นคุณลองอีกครั้ง จากนั้นคุณลองอีกครั้ง

คุณสามารถคิดว่ามันเป็น "ความผิดพลาดเล็ก ๆ น้อย ๆ 3 อย่างแล้วคุณก็แยกไม่ออกจากการโจมตีด้วยกำลังดุร้าย" ระบบป้องกันการโจมตีด้วยกำลังดุร้ายได้อย่างไร ชัดเจน " พยายามมากเกินไปหายไปคุณจะไม่สามารถเข้าสู่ระบบแม้ว่าคุณจะตอบถูก " การเพิ่มความล่าช้าเป็นครั้งคราวในการป้อนรหัสผ่านที่นำไปสู่การใช้เวลาเบราว์เซอร์เมื่อการหน่วงเวลายาวเกินไปทำให้เป็นไปไม่ได้ที่จะลองลงชื่อเข้าใช้อีกครั้ง? วิธีการที่แตกต่างกันไป แต่มีผลในระบบที่ออกแบบมาอย่างดีเสมอ

คุณสามารถคิดว่ามันเป็น "ความผิดพลาดเล็ก ๆ น้อย ๆ 3 อย่างแล้วคุณจะได้รับการปฏิเสธบริการ"

เมื่อความยาวรหัสผ่านเพิ่มความเสี่ยงของการพิมพ์ผิด (และความเสี่ยงของการปฏิเสธการเข้าถึงของผู้มีอำนาจ) จะเพิ่มขึ้น สิ่งใดนานกว่าประมาณ 20 ตัวอักษรที่เป็นไปได้พิมพ์ผิดบ่อย (ยกเว้นกรณีที่ผู้ใช้สมาร์ท / ขี้เกียจและร้านค้าบางแห่งรหัสผ่านของพวกเขาเพื่อให้พวกเขาสามารถ "คัดลอกและวาง" โดยไม่ต้องกังวลเกี่ยวกับความผิดพลาดเช่นไฟล์ข้อความดีธรรมดาบนเดสก์ทอปของพวกเขาเรียกว่า " รหัสผ่าน .txt ")

— เบรนแดน
แหล่งที่มา

มีเหตุผลที่ถูกต้องสำหรับการไม่อนุญาตให้ใช้อักขระและจำกัดความยาวของรหัสผ่านหรือไม่

ไม่