仮説的な状況:パスワード処理システムを実装しており、使用できる文字に制限を全く課すものではありません。あなたは2つのことの間で合理的な妥協であるいくつかのルールを設定したいと思う -パスワードに無効な文字はありますか?
どのようなルールを適用しますか?あなたの選択に影響する可能性のある他の要因はありますか?
あなたが本当に正当化できない限り、制限はありません。
銀行、電子メールプロバイダ、またはクレジットカードを提供せずにユーザーが何かを注文できる場合、ユーザーに強いパスワードを使用させることは意味があります。そうでなければ、何の理由もなく難しいだけです。
あなたが保存すべきものについては、制御文字が禁止されている1024文字のユニコードはすべて正当化されていると言えます。ユーザーが入力できない場合は、別のパスワードを選択したはずです。格納しているのはハッシュなので、いつでも好きなサイズにカットすることができます。
私はあなたのキーボードで、タブ以外の1つのキーで(そしてオプションでシフトすることができる)何かを保つつもりです。どのようなスキームがより制限的なオプションを必要とするでしょうか?
私とは異なるキーボードを使用する人は、* less *の制限オプションが必要になります。私がコードを書いているときに私は私の目の前で起こったキーボードの特長は何ですか?あるキーストローク+シフトでユーロ記号やe-acuteを得る人もあれば、シフトできない人もいます。 –
制限は一切ありません。そして、それはあなたがハッシュではなくパスワードを保存することを計画しているように思えます。どちらもしないでください。むしろ、saltを保存し、パスワードと前記塩との組み合わせをハッシュ化する。
しかし、パスワードの長さ(たとえば6文字以上)とパスワードを構成する文字(たとえば、大文字と小文字のアルファベット、1桁または2桁、^または#などのアルファベット以外の文字が含まれます)。
何をしても、最大文字長を制限しないでください。私はKeepass経由で巨大なパスワードを生成し、私はそれを使用する生成アルゴリズムをダウングレードする必要があるときに私を悩ます。 – RCIX
なぜこの回答が投票され続けるのか分かりません。質問には答えません!問題は「あなたはどんな制限を課すだろうか? "あなたはどんなキャラクターを無効にしますか"でした。ほとんどまたはまったく制限がないことを示唆する回答は、それに対するより合理的な回答と思われます。 (そして、いいえ、パスワードをプレーンテキストとして保存しません)。 –
@issy:最初の文があなたの質問に完全にうまく答えます。パスワードをプレーンテキストとして保存しないという事実は、あまりにも不明な「パスワード処理スキーマの変更」について尋ねているのですぐには分かりません。あなたが格納しているすべてがパスワードハッシュであるときに何がうまくいかない可能性がありますか? –
ユーザーに少なくとも数字と英数字以外の文字を入力し、6文字以上の長さのパスワードを入力させます。とにかく、パスワードを検証する方法を変更した場合、制限事項に関わらず、妥当な時間にユーザーに通知して更新する必要があります。
非制御文字は問題ありません。私は、将来、スーパー・デュパー・パスワード・システムの開発者は、句読点やその他の記号のような「珍しい」ASCII文字を許可すると思うはずですが、制御文字は、テキスト・モード・シェルやタブを期待するGUIダイアログ彼ら自身の目的のために自由になるためにEnter/Returnを押してください。
(それはハッシュ化される前に、誤ってトリミングすることができるロジックに基づいて)空白
私は強制を示唆しているルール:
これらの絶対的なルールの拡散をやめてください。これらの規則は銀行にとっても意味をなさない - 私はあなたが "abcDEF32_!"の規則で選択することを余儀なくされるのではなく、私が覚えることができる長いパスフレーズを好む。または類似。 –
最小8文字の制限により、ユーザーはパスワードを覚えておくのではなく、パスワードを書き留めてしまいます。非常に悪い考え。 X番号とYの特殊文字を強制するのと同じことです。 4文字または5文字の文字は、より合理的です。 上限値20も低すぎます。私は時々、パスワードとして全センテンスを使います。なぜなら、異なるタイプの8つのランダムな文字よりも覚えやすいからです。 – Erik
私はkeepassを使用し、使用できない素晴らしいパスワードを生成することができないときは嫌いです。 – RCIX
パスワードに制限はありません。地域のキーボードを使用しているかどうかに関係なく、キーボードから入力できます。少なくとも1つの数字と1つの特殊文字のようなオプションで、最小限の長さを指定することができますが、上限はありません。
あなたの2番目の質問について。私がそれを実装する方法は、あなたがパスワードの強さを向上させるように別のフィールドを作ることです。たとえば、今のところ、パスワードに関連する2つのフィールドsalt、password_md5があります。後であなたがsha256を使いたいと言うことができます。 password_sha256という新しいフィールドを作成します。ユーザーがログインすると、まずpassword_sha256を確認します。そのフィールドが空の場合は、password_md5をチェックします。一致した場合は、ユーザーが入力した平文のパスワードがあります。その後、sha256パスワードを生成することができます(私はソルトを適切に再設定します)、新しい値を保存します。私はpassword_md5の値を空白にして、誰もパスワードを得ることができないようにします。
個人的には、あなたの言語ができる最高のハッシュを使い、それを使用しています。重要なことは、パスワードが "1234"のときのハッシュの安全性に関係なく、辞書攻撃を避けるためのランダムな文字をハッシュに設定することです。
私たちの組織では、ユーザーがパスワードを入力している場合は、ユーザーが希望するものを使用できるようにします。
ユーザーがシステムに初めて登録されると、パスワードが生成されます。このパスワードは通常それらに郵送されるので、特に特定のフォントを使用するときに混乱する特定の文字の使用は避けています。たとえば、文字「O」と数字「0」は使用されません。 L、Iと1(1)、Sと5、Zと2などと同じです。私たちは、この変更を行った前
私たちは、文字化けするので、当社のヘルプデスクへのコールの多くを持っていたし、彼らは、ログインができませんでした。個人的に
、私はDigitalPersonaの指紋のキーボードを使用する(はい、マイクロソフトはありません[またはキーボードと一体化されていても、キーボードとは別体であっても同様の装置を作った)。
これにより、書き留める必要がない非常に長くて複雑なパスワードの生成が可能になります(リーダーの指を押すことで、ログオンダイアログ[システム/アプリケーション/ Webサイト]にパスワードが提供されるため)。
これは私の意見では、両方の世界の中で最高のものを提供しています。パスワードを覚えることなく「推測」するのが非常に難しいです。また、異なるシステムで異なるパスワードを使用するというセキュリティの推奨事項も簡単になります。
これは私の2セントの価値です。
これは質問されている質問には答えません。 –
個人的には、私はいつもあまりにも多くのルールを強制しないことに熱心でした。
これは変更されました。私は自分のウェブサイトがXSS攻撃に対して脆弱であることを発見しました。解決方法は、パスワードを含む、ユーザーからのすべての入力をサニタイズすることです。
私たちは10年間、パスワードに制限はありませんでした。 ここでは、使用できる文字の制限を実装しています。これは、単にハッカーがJavascriptやSQLにアクセスできないようにするためです。そこで、次のリストを作成しました。
a-z A-Z 0-9。 - _ $ *()#@! %/(空白)
これにより、多くの柔軟性が得られますが、XSSハッキングのコーディングで使用される可能性のある文字は避けられます。 <> \ {} [] + =? &、 ' "`
HTH
従うべきいくつかのルール:。
私は、keepassを使用しています。これには、 "ANSIのような高い文字を使用するオプションがあります:' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' ' – RCIX
RCIXのコメントはKevinの言うことと矛盾することを意図していますが、それらは制御文字ではなく、提案されたルールによって禁止されていません。彼らはちょうど7ビットのASCIIではありません。 –
私が期待していた答えではありませんが、明らかに最も合理的なものです。そこには多くのシステムが制限を課しており、私は彼らには正当な理由があると思っていました。もしそうなら、ここに誰も何があるのか分からないので、私は私の前提を変えるでしょう!ここでのいくつかの他の答えは、許可すべき文字ではなく、課されるべき制限に関するものです。 –