0
Tesco在線雜貨店在英國的用戶帳戶需要密碼在6到10個字符之間。雖然它讓我感到有些激動,他們已將密碼限制爲10個字符(我的密碼生成器默認爲32),但他們允許使用6個字符的密碼來保護包括信用卡信息在內的用戶數據這一事實令我擔憂。最小用戶密碼長度
6個字符的密碼是否代表安全風險,或者它們是一個很好的示例?
Q
最小用戶密碼長度
A
回答
2
6個字符的密碼很短,可能太短。此外,最大密碼大小沒有意義,因爲您應該只存儲散列(或更好地輸出bcrypt,scrypt或PBKDF2)。
這就是說,它取決於系統如何處理密碼,如果它是安全的或不安全。例如。 PIN通常約爲4..6,數字。它仍然非常安全,因爲您的銀行在PIN被阻止之前可能只允許您輸入3到5個不正確的PIN碼。
如果你想用你的密碼作爲密鑰來沒有一個系統的數據進行加密來控制訪問所述數據(加密文件上可以竊取硬盤),然後6個字符是多短。您將需要一個完整的密碼和密鑰導出方案,以確保加密容器的安全。
0
這取決於允許哪些字符。
無論如何,六字符密碼不夠安全。如果密碼包含大寫字母,小寫字母,數字和符號然後網絡攻擊可能會採取23年,並會有通過其他方法的密碼是訪問更多的機會http://daleswanson.org/things/password.htm
1
1
安全是可用性和安全性之間進行權衡。人們應該能夠記住他們的密碼,但它也應該是安全的。許多公司正在採取簡單的方法並允許使用簡短密碼,因爲用戶應該選擇安全密碼的責任。我不認爲,普通用戶可以處理這個問題。我們的工作是讓他們知道什麼是好密碼。
我認爲10個字符的限制表示與6個字符限制相同的風險。我的密碼(不是隨機生成的)大約有12-16個字符。因此,在你的情況下,即使我有一個密碼,我也不允許使用一個好的密碼。該政策違反了我們的使人們認識密碼的使命。
關於長度本身:我認爲如果不可能進行暴力攻擊,6字符密碼可能符合安全要求。 (將分佈式系統視爲破解密碼的非常強大的方法)。
Wikipedia article似乎有一些關於此事的深度。
相關問題
- 1. cfinput最小密碼長度
- 2. 最大MySQL用戶密碼長度
- 3. 公開最小密碼長度
- 4. 改變最小密碼長度
- 5. 檢查密碼最小長度
- 6. 用戶名密碼長度
- 7. 最大密碼長度
- 8. 最優密碼salt長度
- 9. 密碼複選框字段AngularJS最小/最大長度問題
- 10. 密碼的源字符串的最小長度
- 11. Laravel密碼驗證失敗的「最小長度」如果空
- 12. 在Django版本中指定最小密碼長度<= 1.8?
- 13. Android:編輯文本中密碼的最小長度
- 14. 通過restful_authentication更改最小密碼長度
- 15. 最小長度Regex
- 16. 病毒特徵碼的最小長度
- 17. MaskedTextBox最小/最大長度
- 18. InnoDB最大密鑰長度
- 19. 用戶名,密碼和電子郵件的標準最小和最大長度是多少?
- 20. 用Django覆蓋用戶名的最大長度/最小長度ModelForm中的用戶模型
- 21. 最小和最大強度長度
- 22. ASP.NET MVC2 DataAnnotations最小長度
- 23. Oracle varchar2最小長度
- 24. 域名的最小長度
- 25. 最小長度和最大長度的jQuery條件驗證
- 26. AspnetSqlMembershipProvider:要求用戶名的最小長度爲
- 27. 代碼點火器形式驗證最小值最大長度統一碼字符的長度?
- 28. Subversion中的最大密碼長度是多少?
- 29. 如何在web.config文件中設置最大密碼長度?
- 30. 密碼功能:錯誤的最終塊長度Android Studio
您可能會在http://security.stackexchange.com/上獲得更好的答案。 – 2012-08-08 14:42:19
有趣的你應該提到特易購;有一篇關於他們使用密碼做什麼的有趣文章:http://www.troyhunt.com/2012/07/lessons-in-website-security-anti.html。總之,他們不是一個很好的例子。 – legoscia 2012-08-08 17:35:37
不明白爲什麼這已被關閉爲主題。當然,詢問我們自己的密碼系統中是否有6個字符是一個很好的標準,這是一個很好的問題。 – 2012-08-09 14:50:47