Kérjük, ne használj ékezetes betűket a jelszavadban

Regisztrációkor ez az üzenet fogadott az Euroexam oldalán. Bónusz, hogy mindezt az űrlap kitöltése után írja ki, egy új, üres űrlap kíséretében. A jelek szerint az ékezetes jelszavúak büntetése az, hogy újra meg kell adniuk az adataikat.

( bucko | 2022. 12. 27., k – 11:20 )

Szerkesztve: 2022. 12. 27., k – 11:21

Öllég kezdők, a spéct nem is említik a  fölhaszáló kis nevében.

( uid_17626 | 2022. 12. 27., k – 11:24 )

Gondolom nem a hash-t zavarja, hanem a plaintext-et. 

Az ékezetes betűkkel az a gond, hogy attól, hogy te lenyomod az "é" feliratú billentyűt, az helyi beállítástól függően(!) egy vagy két bájt (és az egy meg a két bájt is lehet többféle) - ha ebből a bájtsorozatból, amit a kliens elküld készül egy hash, az nem fog megfelelni egy másik, egyébként ugyancsak"é"-t reprezentáló bájtsorozatból készült hash-nek - miközben a kliens oldalon ugyanúgy "é"-t látsz a jelszóban.

( wladek1 | 2022. 12. 27., k – 11:56 )

Szerkesztve: 2022. 12. 27., k – 12:00

És akkor ilyenkor rögtön lehetne is vizsgálódni, megtaláljuk -e a jelszavainkat plaintext -ben az adatbázisban (nagy valószínűséggel igen, az adatbázis meződefiníció miatt nem támogatott az ékezetek használata).

Erre valószínűleg az okosok nem készítettek szabályozást, de a GDPR persze kellett....

Error: nmcli terminated by signal Félbeszakítás (2)

( uid_6201 v | 2022. 12. 27., k – 13:17 )

Elég gáz, hogy még nem haltak ki a nem "UTF8-only" eszközök, operációs rendszerek. Sőt új szoftverek is készülnek napjainkban is, amikben nem kizárólagos az UTF8.
Innentől az ékezettel az a baj, hogy egyik rendszeren begépelsz egy ékezetes jelszót, majd irány reklamációk özönével az ügyfélszolgálatra, mert a másik eszközödről nem tudsz belépni.

Mellékszál egy előremutató jövőkép felé: Rust programozási nyelv string-je kizárólag UTF8.
A többi programozási nyelv esetén még mindig plusz kör, hogy odafigyeljen a fejlesztő arra, hogy nem csak a 26 betűs angolszász világ létezik.

Írni írta, bár teoretikusan lehetséges, hogy nem ő a végső jogforrás ebben a tekintetben, hanem mondjuk az a sok ember aki a "pénztárcájával szavaz", például arra, hogy a meglévő programjai változtatás nélkül fussanak az új számítógépen/oprendszeren az ésszerűség végső határáig, valamint még azon túl 25 évig.

Elég gáz, hogy még nem haltak ki a nem "UTF8-only" eszközök, operációs rendszerek

Ennél nagyobb a probléma: leülsz egy random gép elé, és hacsak nincs telepítve a nyelved szerinti billentyűzetkiosztás, akkor kb. nem fogod tudni ezeket a karaktereket begépelni, hiába UTF-8 az összes szoftver a gépen.

Ennek a problémának user oldalról az egyetlen biztos megoldása a topik címében levő gyakorlat.

Nézhetjük kontra is a jelenséghalmazt.

  • Tényleg voltak / vannak akár ASCII szoftverek is. (7 bites) A jelszó tároláson kívül sok-sok feladatra alkalmasak. ;)
  • Az UTF-8 ellenére sem működik pl. az en_US excel (számoló) táblázat sem.
  • A 40+ éves a dBase már régen tudta a "get {karakter lista} mező" módszerrel szűrni még  a billentyűket is.
  • Aztán jöttek a modern grafikus rendszerek a modern input methodjaikkal ...
  • A beírt jelszót akár validálni is lehetne tárolás előtt ... szokták.
  • A felhasználó nevét is.
  • Nincs vége, csak korán reggel.

Azt látom, hogy az "user oldal" a legutolsó és elenyésző forrása a lehetséges hibának.