4
私はPHPスクリプトを書いていますが、私はユーザパスワードにスペースを入れるべきかどうか疑問に思っていました。パスワードをハッシュするのにsha1()を使用していますが、パスワードを含むスペースでうまくいくようです。しかし、私は多くの主要なサイトがパスワードにスペースを含むことを許可していないことに気付きました。これに理由があるのですか、それを許可するのは大丈夫ですか?パスワードのスペースを許可する
A
答えて
12
は、パスワードに空白を間違いなく許可してください。多くの人々は、というフレーズを使用することを好む。
パスワードの代わりにパスフレーズを許可することに加えて、more secure(これはxkcdリンクに入れた理由の半分の理由を認めます)のため、パスワードを奨励する必要があります。
+1
+1また、スペースは特殊文字と見なされます。これはセキュリティの点で優れています。 –
+4
特殊文字は、通常の文字よりも実質的な利点はありません。彼らは文字空間(可能性/組み合わせの数)を拡張するので、彼らは励まされます。 – MrGlass
4
には絶対に理由がありませんユーザーがパスワードで使用できる文字を制限しています。これまで
1
なぜそうなるのか分かりません。実装に問題がない場合(そうしてはならない場合)、使用可能な文字スペースを1拡張して、それをはるかに難しくします。
1
パスワードに許可されている文字を制限することは、ハッシュメカニズムが毎回同じようにハッシュすることができる限り、無意味です。たとえば、PHPでパスワードをハッシュしてJavaでチェックしようとするような、異なる文字エンコーディングを使用するシステムからパスワードチェックを行う場合は、マルチバイト文字をハッシュしたくないかもしれません。
関連する問題
- 1. スペースを許可する方法は?
- 2. アルファベット、スペースのみを許可する正規表現
- 3. 文字とスペースのみを許可する - jqueryバリデーションプラグイン
- 4. テキストボックスのテキストトリムを許可する空白スペースaspネットC#
- 5. 入力フォームのスペースを許可する方法
- 6. パスワードでgitリポジトリへのアクセスを許可する
- 7. パスワード許可クライアントを使用するLaravelパスポートのデフォルトスコープ
- 8. tomcat jmxパスワードのファイルアクセス許可を変更するには
- 9. Devise、OmniAuth&Facebook - ユーザーにパスワードの編集を許可する方法
- 10. 数値、スペース '+'、 ' - 'だけを許可するPHP preg_match
- 11. この正規表現のスペースを許可します
- 12. wso2 ISアップデートパスワードは新しいパスワードとして古いパスワードを許可します
- 13. フェイスID許可アラートを許可する
- 14. OAuth2のパスワード許可タイプ(ROPC)の目的は何ですか?
- 15. XMPPユーザーの韻律に対するパスワードの変更を許可する
- 16. ユーザー名のスペースを許可しない[UserFrosting/Fortress]
- 17. パスワードフィールドのスペースを許可しないでください。
- 18. フィルタードロップダウンのためのスペースを許可するヘッダーの列幅を自動調整
- 19. パスワードを持たないユーザーに許可しますか?
- 20. OAuth 2を設定する方法複数のユーザタイプを持つパスワードの許可?
- 21. ファイルの検証時に正規表現のスペースを許可する
- 22. ActiveAdmin AdminUserが自分のパスワードの編集のみを許可する方法
- 23. ユーザのメールボックスと残りのスペースに許可されているスペースの合計量を見つける
- 24. は、スペース、文字とPHPで1ドットだけを許可
- 25. 文字の検証時にバックスペースとスペースを許可する方法は?
- 26. 文字またはスペースのみを許可する正規表現
- 27. 文字、数字、ピリオド、ハイフン、アンダースコア、スペースを許可するjavascriptの正規表現
- 28. JavaFX:数字、文字、記号、およびスペースのみを許可するKeyEvent
- 29. ウェブサイトのフォルダへのパブリックアクセスを許可する/許可しない
- 30. .htaccessパスワード保護を使用してクエリ文字列を許可する
スペースを拒否する実際のセキュリティ上の理由はありません。この制限は、何十年も前から不十分なシステムの無意味な遺産であり、人々はより記憶に残ったパスフレーズを使用しないようにしています。人々は彼らが望むものを使いましょう。 –
「主要サイト」にはパスワードにスペースを使用できないものはありますか?私はユーザー名にそのような制限を見ましたが、決してパスワードはありません... –
スペースを許すべきです。また、パスフレーズの使用を実際に励ますことを許可するべきです。あなたは[this xkcd](http://xkcd.com/936/)を楽しむことができます。ああ、bcryptまたはscryptを使うか、より良いことに、すべてを行う既存のライブラリを使用してください。 (プレーンsha1はパスワードには不十分であり、ブルートフォースには簡単すぎる) –