it-swarm-tr.com

Parolalar neden 16 karakterle sınırlıdır?

Çoğu web sitesinin 16 karakterle sınırlanmasının nedeni nedir?

Parola ne kadar uzun olursa birisinin onu kırmasını o kadar zorlaştırır mıydım?

Karma çarpışmalarla ilgisi var mı?

36
orange

CWE-521: Zayıf Şifre Gereksinimleri . Ardından tüm şifrelerin minimum ve maksimum şifre uzunluğuna sahip olması gerekir.

Şifre boyutunu sınırlamanın iki nedeni vardır. Birincisi, büyük miktarda veri toplamak sunucu adına önemli miktarda kaynak tüketimine neden olabilir ve Hizmet Reddi için kolay bir hedef olabilir. Özellikle sunucu PBKDF2 gibi anahtar genişletme kullanıyorsa.

Diğer endişeler hash zunluk uzatma saldırıları veya MD5'e yönelik ön ek saldırısıdır. Bununla birlikte, bcrypt veya sha-256 gibi bozuk olmayan bir karma işlevi kullanıyorsanız, bu parolalar için bir endişe olmamalıdır.

IMHO 16 bayt çok küçük . bcrypt, 72 karakterlik yerleşik bir kapağa sahiptir, bu da muhtemelen büyük bir karma işlevi için makul bir boyuttadır. Bu işlevler tarafından kullanılan Anahtar Genişletme, Algoritmik Karmaşıklık Saldırısı veya ACA olasılığı oluşturur.

32
rook

Çoğu web sitesinin 16 karakterle sınırlandırılmasının nedeni nedir?

Keyfi uygulama sınırı.

Belki sadece 17 oktet tamponu (16 ASCII/1 oktet karakter + sonlandırma NUL) tahsis etmek isterler.

Belki 16'dan fazla karakterden oluşan bir parolaya sahip olmanın işe yaramaz veya aptalca olduğuna inanıyorlar, çünkü şifreleri anlamadılar.

Parola ne kadar uzun olursa birisinin onu kırmasını o kadar zorlaştırır mıydım?

Aslında. Eşit dağılımlı 16 rastgele bağımsız alfabetik karakterden oluşan bir parola yeterli entropiye sahiptir. Ancak insanlar, eşit dağılımlı 16 rastgele bağımsız alfabetik karakteri rastgele seçmekte kötüdür ve bu anlamsız karakter dizilerini hatırlamakta çok kötü, böylece hatırlayabilecekleri şifreleri seçerler, ancak daha az entropi karakter başına .

Önemli olan sadece toplam entropidir, karakter başına entropidir. Örneğin, bir Word-die ile oluşturulan bir dizi rastgele sözlük kelimesi (Word-die: sözlükte rastgele bir sayfa açar, vb.) hatırlamak, bir harf-kalıpla elde edilen bir harf dizisinden daha kolaydır.

Bu tür şifreler tamamen rastgele harf dizilerinden daha uzun olacaktır, ancak eşit entropi için hatırlanması çok daha kolay olacaktır; veya tercih ederseniz, eşit zihinsel hafıza çabası için çok daha fazla entropiye sahip olacaklar.

Yeterli güç için, sözlük kelimelerinden oluşan bu şifreler muhtemelen 16 karakterden fazla olacaktır.

Başka bir deyişle, bu sınır aptalca.

Karma çarpışmalarla ilgisi var mı?

Hayır.

Kısa şifreli çarpışmalarla ilgili resmi bir garanti yoktur, ancak karma çarpışmaların pratik etkisi yoktur.

18
curiousguy