0

我看到很多知名网站和网络应用程序对密码有看似荒谬的限制。是否有任何正当理由对密码进行字符限制?更具体地说,常见的(如 [shift]+[number key])标准 ASCII 单字节字符?异常小的长度要求(5 - 8 个字符)呢?

我能想到的唯一技术原因是密码是否以纯文本形式存储,而不是至少以某种方式被混淆/散列。还有其他我没有考虑过的不那么令人担忧的原因吗?

注意:我希望得到一些客观的答案,并希望避免深入研究这个主题的主观方面的诱惑。我对为什么有必要进行此类限制的真实/具体技术原因更感兴趣。

4

2 回答 2

1

有时,网站所有者希望在使用某些键盘/操作系统上无法重现的外来字符时避免用户问题。请记住,您并没有真正看到您的密码,因此您输入的内容很可能不是您的意思。想想大写锁定。出于同样的原因,Facebook 非常放松。密码中的字符大小写

密码长度的下限显然是出于安全原因。密码越短,破解所需的时间(指数级!)就越少。

我不明白为什么网站对密码长度有上限。毕竟它们都经过哈希处理和加盐处理,所以所有密码都在数据库中占据完全相同的空间......

于 2013-01-08T19:21:53.913 回答
0

说它们以纯文本存储与某些地方限制这些字符的原因无关,以纯文本存储是另一个问题。最常见的原因是底层操作系统无法处理这些“特殊”字符,业务升级缓慢。混淆的作用很小。无论是他们使用的软件还是他们的团队创建的软件,这几乎总是一个限制。

我相信 Windows 2000 和更早版本不支持长度大于 8 的密码(我可能在那个数字上错了)

于 2013-01-08T19:23:28.117 回答