20 karakteres jelszó

 ( mogorva | 2019. május 20., hétfő - 17:21 )

Mindig elgondolkozom, amikor egy oldalon regisztrációkor elkezd villogni, hogy max X karakter hosszú jelszót fogad el, hogy azt vajon miért így találták ki.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

feliratkozás

nem ide akartam

Gondolom annyira feltörhetetlen:)
Én jelenleg 20-ast generáltatok (kisbetű, nagybetű, szám, spec. karakter) Néha van, hogy a spec. karaktert nem szeretik a regisztrációnál (azt nem értem miért, mert normális rendszer a hash-t tárolja).
Bár ilyen helyeken érdemes lenne megnézni azt is, hogy milyen hash függvénnyel tárolódik a jelszó hash-e (legalábbis remélem, hogy nem a jelszót tárolják).
Most ismerkedek az Argon2id-vel (és hogy hogy leget az SHA1 + salt kombót tartalmazó DB-ból Argon2id-t csinálni, bár erre egyik késő esti olvasgatásom közben találtam példát, de már nem volt kedvem végigolvasni). De úgy érdekelne a brypt, meg a többi is ...

Ép eszű tippem nincs, de az biztos, hogy ha csak a hasht tárolják le akkor elég nehéz a hosszú jelszót feltörni. Olyat is hallottam, hogy normalizálják a stringet vagy csak az elejét használják és ebből képeznek hasht. Na vajon ennek is mi az egyetlen értelme. Ezzel az erővel plaintext is tárolhatnák, csak az már túl egyértelmű lenne.

Feltételezem ügyetlen programozók valami olyan módon kezelik a hash képzés előtt a jelszót, ahol problémát okozhatnak pl. a speciális karakterek vagy a hossz.

Sok értelme nincs, az ilyet én is felírom valahová. Ha más nem, a böngésző megjegyzi.

Spórolnak a tárterülettel. Tudod milyen drága manapság?????

:-)
A jelszóból képzett hash mindig ugyanolyan hosszú, nem spórolnak vele.
Ahol meg a jelszót tárolják, az meg régen rossz.

Amugy a legjobb amikor ez utolag derul ki miutan megprobalsz belepni a 40 karakteres jelszoddal oszt nem sikerul mert elvagja 12-nel :D. Aztan password reset es megint es megint. Ohh anyatok. Akkor 30 karakter ---> reset. Es egeszen lemegyek addig amig elfogadja.

XKCD

Hasht kepezni koltseges, kell legyen felso limit, de lehetne mondjuk 50 karakter.

Remélem ez vicc volt :-)

Erre alapoznak DoS tamadasokat is... Ha egy password field-be betolok annyi adatot amennyit beenged a szerver + erre rarak egy saltot, akkor mar nem olyan vicces ez :)

Szoval jobb ha van egy felso limit, de legyen megfeleloen magas.

Hjam pl 128 karakterrel mar duzzogva kiegyeznek.