Véletlen jelszóból milyen hosszút webes szolgáltatásokhoz?

Közösségi kerekasztal

Adott a kérdés. Pontosítom:

Base64-es kódolás által megengedett karakterekből generált véletlen jelszóból (trükközések nélkül, pl. nem kiejthető) szerintetek milyen hosszúságút érdemes használni hosszabb távra gondolkodva - figyelembe véve a kényelem kontra biztonság kérdéskörét egy gyakorlatban elfogadható mértékben? Illetve ha nem sűrűn változtatjuk, de csak biztonságos csatornákról gépeljük be.

Ugye sokszor nem tudjuk másolni vágólapon a jelszót és be kell pötyögnünk - ezért nem érdemes rávágni, hogy mindenhova 20 karaktert. Sokszor kollégáknak kell kiosztani. Sokszor nem lehet vagy akarjuk böngészővel megjegyeztetni és mindig be kell gépelni naponta legalább 1x. Viszont kevés-e a 10? 8? Vagy 12-től felfelé?

Világos hogy több fajta képpen tárolhatják szerver oldalon (plain text, sózott hash). Nem ez az érdekes. Csak általánosságban kérdezem. Vehetjük egy Google vagy MS fiók jelszavát is példának.

Ki milyen hosszt használ és ajánl?

(Mellékesként jegyzem meg és kérdezem, hogy milyen elborult megoldás az sok oldalnál, hogy meghatározzák a jelszó maximális hosszát pl. 12 vagy 14 karakterben? Ha kell is maximum, miért nem hosszabb (pl. 20)? Lehet hogy normál szavakat rak valaki össze?!)

  • 2313 megtekintés

( ssikiss | 2015. 08. 03., h – 23:24 )

Nincs annyi idő már a kvantumszámítógépek elterjedéséig, hogy túl hosszút érdemes lenne választani. :)

:)

Nem csak az offline brute force a kérdés. Sok weboldalnál többszöri hibás próbálkozásnál kizár. Ha meg megszerezték a jelszó hash-ét, olyan mindegy, akkor a szerver adatai is ott vannak valószínűleg. Bár igaz hogy ezek a dolgok weboldal függők.

Induljunk ki abból, hogy mainstream nagyobb webes szolgáltatásokhoz milyen hosszút lenne érdemes. Egyébként most esett le hogy nem írtam hogy webes szolgáltatásokhoz kérdezem. Úgyhogy javítom a kérdést.

( lx | 2015. 08. 04., k – 07:37 )

Felénk kötelező az iniciális jelszót megváltoztatni, így az a teher legalább nem nyom, hogy hosszabb távon kellene az alzheimeres kollégának együttélnie durva randommal.
Ha ezt a kenyeret kéne ennem, inkább adnék fel memoriternek komplett verssort, mint rövidebb, de spec karakterekkel bolondított jelszót.

"Ferfiurol szolj nekem, Muzsa, ki sokfele bolygott" - nem is rossz, mindjárt át is váltom erre a hupost.

+1, már vártam.
Ennek ellenére én is gyakran futok bele jelszóhossz korlátozásokba.
Sejthető, hogy ilyenkor nem hashben tárolják a jelszavakat, mivel a hashelt jelszó hosszát nem befolyásolja a begépelt jelszó hosszúsága, ez pedig felvet aggályokat...
Mostanában olyan nagy hangsúlyt kap az adatvédelem, de még mindig nincsenek arra kötelezve a weboldalak, hogy információt adjanak a jelszótárolás módjáról.

( sj | 2015. 08. 04., k – 09:42 )

szerintem a 2 faktoros auth-ot kene elterjeszteni - aminek resze egy jo jelszo. Btw. a kerdesedre, ha felmesz ~16 karakterig, az mar nem tunik rossznak. Ill. honnan tudna a tamado, hogy te csak a base64 karakterei kozul valasztasz?

update: bar en legalabb annyira aggodnek amiatt, hogy az adott weboldal eleg biztonsagosan van-e osszerakva, jol tarolja a jelszavadat, pl. sozza a tarolt jelszot, lehet-e sql injection, xss, es mas nyalanksagokkal nekimenni...

--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)