it-swarm-vi.com

Những lý do kỹ thuật nào có để có độ dài mật khẩu tối đa thấp?

Tôi đã luôn tự hỏi tại sao rất nhiều trang web có những hạn chế rất chắc chắn về độ dài mật khẩu (chính xác là 8 ký tự, tối đa 8 ký tự, v.v.). Đây có xu hướng là ngân hàng hoặc các trang web khác, nơi tôi thực sự quan tâm đến bảo mật của họ.

Tôi hiểu hầu hết mọi người sẽ chọn các mật khẩu ngắn như "mật khẩu" và "123456" nhưng có lý do kỹ thuật nào để buộc điều này không? Sử dụng một ứng dụng như 1Password, hầu như tất cả mật khẩu của tôi đều giống như [email protected]#^L;[email protected]<P]uzt hoặc các chuỗi dài được tạo ngẫu nhiên khác không thể đoán ra.

  • Có lý do cụ thể tại sao các trang web thực thi các giới hạn nghiêm ngặt về độ dài mật khẩu (giống như 8 hoặc 10, tôi hiểu tại sao 100000000 có thể là một vấn đề ...)?
819
enderland

Với các hạn chế bổ sung (nói chung, chỉ các số được chấp nhận), nó cũng có thể được thúc đẩy bởi thực tế nó cho phép (hoặc có thể cho phép, nếu một ngày nào đó nhu cầu sẽ xuất hiện) nhập mật khẩu thông qua một số giao diện với khả năng hạn chế ...

Đó là lý do tại sao nhiều ngân hàng đã đặt ra các hạn chế như vậy đối với mật khẩu truy cập web, để cho phép truy cập thông qua các hệ thống cũ chỉ có bàn phím số (ATM, điện thoại ...)

3
Christophe Franco

Tất cả các trang web ngân hàng mà tôi biết đều có mã pin giống như hệ thống khóa tài khoản của bạn sau 3 lần thử mật khẩu không thành công. Điều này có nghĩa là mật khẩu dài sẽ phản tác dụng vì chúng dễ bị nhầm hoặc quên, đặc biệt là vì bạn không thể nhìn thấy chúng (và nếu bạn có thể thấy chúng thì bảo mật sẽ còn tệ hơn).

Nếu bạn lấy ví dụ. một hệ thống pin cho điện thoại thông minh nơi bạn nhập 4 số, cơ hội đoán đúng trong 3 lần thử là 0,03%. Với 8 chữ số, cơ hội đoán đúng (nếu chuỗi được tạo ngẫu nhiên và không được chọn một cách ngu ngốc) trở nên rất nhỏ, nếu bạn cố gắng đoán 7 tỷ mật khẩu của mọi người, bạn sẽ chỉ đoán trung bình đúng 209 mật khẩu của mọi người. Nếu các ký tự và/hoặc ký tự đặc biệt được cho phép, cơ hội đoán thậm chí còn nhỏ hơn, nhân với hệ số 1 ^ -4 hoặc 1 ^ -6 tương ứng.

Ngay cả khi người dùng được phép chọn mật khẩu và chọn mật khẩu theo cách bán dự đoán, trong vòng 3 lần thử, không thể bẻ khóa bất kỳ tài khoản cụ thể nào và trung bình của bạn sẽ không cải thiện quá nhiều, ngay cả khi bạn có nhiều dữ liệu, như tất cả sinh nhật trong một gia đình và tên của mọi người trong gia đình và mọi người bạn của người đó. Và bạn cũng khó có thể có một danh sách đáng tin cậy và toàn diện về loại đó cho một dân số lớn.

1
HopefullyHelpful