Sajnos nem mindenhol lehet rátenyerelni a paddeléshez, vagy random generáltatni:
Pénzügyi szektorban (név nélkül) több helyen is hasonló szabályokat támasztanak a "nagy cégek": minimum 12 karakter, maxumum 15 (másik példa: minimum 13 karakter, maximum 20)
Azt hiszik, a nyolc karakter tiltásával máris megoldották a biztonsági gondokat, és az egységsugarú felhasználó meg számolgassa a kicsi ujjacskáin, hogy: ez még 11? Vagy már 16??? Mert elfelejtették megvalósítani, hogy a mezőbe ne lehessen a maximumnál több karaktert beírni.
Ja, és meghatározzák, hogy csak ezek a sepciális karakterek lehetnek, punktum: ?:,+%*&
És hol a kötőjel? A pont? Az aláhúzás? Szünetet el se fogad alapból. Ékezetes karakterek? Bővített ASCII/UNICODE??? Ugyan már!
A jelszókezelő javaslatait azért nem is használják az emberek, mert ezen az is megbukik, nem engedi a rendszer.
És amitől legutóbb eldobtam az agyam: egy helyen tiltották a jelszó mezőben a PASTE funkciót!!!
Számomra a NIST ajánlásai szimpatikusak, irányadónak látom: https://pages.nist.gov/800-63-3/sp800-63b.html#sec5
Ez alapján én engedném a 10 karaktert is (ha megfelelő az entrópia), de 64-re emelném a maximumot (ja, és TRUNCATE alkalmazása nélkül, mert viccesen több olyant is láttam, hogy beírhatsz te 128 karakteres jelszót is, de csak az első 20-at veszik figyelembe...). Beépíteném a Have I Been Pwned API-ját, hogy pár naponta futtassa le a felhasználóneveket, e-mail címeket, HASH-eket. Eltörölném az időnkénti jelszófrissítési kötelezettséget, és inkább BLACKLIST-ekkel ellenőrizném beíráskor a kiszivárgott/gyakori jelszavakat, tiltanám a felhasználónév, név, születési év használatát, és mindig vizsgálnám az entrópiát. Ja, és kitetetném a szemecskét a jelszómező végére, hogy közben vizualizálja is a felhasználó, hogy milyen jó jelszót talált ki eddig. Mindenzt kötelező, de szabadon választható 2FA-val megfejelve (TOTP/SMS/Yubikey/U2F/FIDO2).
Magyarán: ha a user jelszókezelőt használ, vagy kreatívan kitalál egy kellően megfelelő kódot (a fent részletezett ellenőrzések mellett), amit fejben is tud tartani, azt hadd használja már szegénykém addíg, amíg nem kompromittálódik.
Ti mit gondoltok?