Pourquoi restreindre la longueur d’un mot de passe?

Je viens de m’inscrire sur un site pour acheter des produits, et lorsque j’ai essayé d’entrer mon mot de passe (raisonnablement sécurisé), j’ai été informé que c’était trop long et que je devais entrer un mot de passe de 5 à 10 caractères! Quel est le but? Qui prend des décisions comme celle-ci? Le mot de passe idéal serait-il vraiment long et compliqué? Pourquoi les gens insistent-ils pour essayer de restreindre les types de mots de passe que vous pouvez utiliser?

Avez-vous dû mettre en place une connexion à un site Web? Était la connexion à des fins sécurisées (par exemple, l’achat de biens). Quelles ressortingctions (le cas échéant) avez-vous placées sur le mot de passe de l’utilisateur? Quelles étaient vos raisons pour la décision?

Restreindre la taille d’un mot de passe est une tentative pour économiser de l’espace de stockage. Cela indique à peu près que votre mot de passe est stocké clairement dans leur firebase database, ils veulent donc en limiter la taille. Sinon, c’est juste une ressortingction car les implémenteurs ne connaissent pas mieux. De toute façon, c’est un mauvais signe.

Vous voudrez peut-être contacter les administrateurs du site pour leur poser des questions. Ils devraient stocker des mots de passe, pas des mots de passe, qui ont toujours la même taille, peu importe la taille du mot de passe. Il ne devrait y avoir aucune limite à la taille du mot de passe que vous entrez, ni au domaine de caractères que vous êtes autorisé à saisir.

La raison la plus fréquente est que le frontal intègre un ancien système hérité qui ne gère pas plus d’un nombre donné de caractères.

Semble particulièrement stupide, étant donné que tout site Web à moitié décent ne stocke pas les mots de passe en texte clair dans sa firebase database, ils stockent un hachage à sens unique de ce mot de passe (qui sera toujours une longueur définie selon l’algorithme utilisé, par exemple ) puis ressaisissez ce mot de passe lors de la connexion pour vous assurer que le mot de passe nouvellement haché correspond à celui qui a été enregistré.

Autre que pour les asthétiques de conception frontale – je suis d’accord, cela n’a aucun sens d’imposer une longueur de mot de passe maximale. La longueur minimale est totalement différente pour des raisons évidentes.

La ressortingction de longueur est probablement due à un problème d’espace de stockage, mais cela pourrait être une très mauvaise mesure anti-script. Je serais beaucoup plus confiant si ma banque me disait que mon mot de passe était trop court plutôt que trop long. Quand on me dit que mon mot de passe est trop court ou que les caractères “spéciaux” ne sont pas autorisés, je pense “Oh, ils ne doivent pas avoir trouvé mon mot de passe dans leur dictionnaire … facepalm .”

Tous les caractères doivent être autorisés. Les phrases de passe doivent être encouragées et non découragées. Ils sont beaucoup plus faciles à retenir que les mots de passe cryptés et beaucoup plus difficiles à déchiffrer car ils ne seront pas dans une table de consultation.

Certains sites Web (mal conçus) ont une longueur maximale de mot de passe pour une raison simple: c’est tout l’espace dont ils disposent dans leur firebase database pour stocker votre mot de passe. Il y a de fortes chances qu’ils ne le consumnt pas ou ne le traitent pas du tout, ce qui signifie qu’il est stocké en texte brut. Les sites Web comme celui-ci utilisent un seul usage, jettent les mots de passe à chaque fois. C’est une conception médiocre et il est dommage que les gens l’utilisent encore.

Il se peut que l’algorithme qu’ils utilisent pour le chiffrement ne fonctionne pas bien avec des mots de passe volumineux ou qu’ils ne disposent que d’un espace de stockage limité pour le stocker. Les deux sont de très mauvaises raisons, je sais, mais c’est possible.

Si je devais définir des règles de mot de passe, ce ne serait que des choses pour protéger les utilisateurs, comme les forcer à utiliser au moins un caractère et un chiffre spécial ou à mélanger des majuscules et des minuscules.

Un mot de passe alphanumérique de 10 caractères insensible à la casse a 839 299 365 868 340 340 permutations possibles. Il faudra quelques périodes glaciaires pour forcer brutalement cette opération en supposant qu’elle puisse vérifier 1 million par seconde. C’est assez sécurisé pour moi.

La “meilleure” raison est probablement que vous pouvez vous souvenir du mot de passe.

Cela peut être dû au fait qu’ils stockent votre mot de passe en texte brut et qu’ils essaient de gagner de la place, mais il peut aussi s’agir d’empêcher les gens de faire leurs mots de passe très longtemps et de les oublier. votre mot de passe, ce qui est un peu compliqué.

La seule raison possible de limiter un mot de passe de cette manière serait de simplifier la table de firebase database, et c’est une mauvaise raison. Les mots de passe longs et compliqués doivent être autorisés!

De plus, le site ne devrait pas stocker le mot de passe du tout, mais plutôt stocker un cryptage. Comme le hachage est une taille fixe, la firebase database est très simple et les besoins de stockage réduits.