¿Por qué hay un límite en la longitud de la contraseña? [duplicar]

Navega tus respuestas
1

¿Por qué cuando nos registramos en sitios como Facebook y Gmail nuestras contraseñas tienen que tener una longitud de 8 a 12 caracteres, o algún otro límite? Los espacios de 8 a 12 son finitos, pero puede hacer que sus contraseñas sean más "seguras" agregando letras y números en mayúsculas.

Parece que las contraseñas de Gmail tienen un límite de 100 caracteres (hasta el 14 de septiembre de 2017):

Creoquelaverdaderarazónporlaquenuestrascontraseñastienenunlímitedelongitudesporcuestionesdelegalidad,porencimadecualquierdeficienciaenlaeficienciacriptográfica.Silaempresanecesitaaccederasucuenta,accederáasucuentaynodeseaningúnobstáculoparahacerlo.Alprincipiopenséquepusieronunlímitealascontraseñasporquesialmacenancontraseñasconmayorlongitudensusservidoressequedaránsinespacioensusunidades,perolosvaloresdecaracterescomolascontraseñasnoocupanmuchoespacio,sonsolounmontóndeletrasylosnúmerosdespuésdetodo.QuizáselPBKDF2conHMACpuededescifrarcontraseñasdecualquierlongitud,peroaumentaráeltiempodeprocesamientodelaCPUalhacerloasícomoelespacioenunaunidad(quizásalrededorde1GBparaunacontraseñamuylarga).

¿Debenlasempresasconcentrosdedatosmuygrandespoderacomodarelhashingsimultáneodetodoslosusuariosdesusplataformas?

Lascontraseñastienenunlímitede12(ocualquieraqueseaelnúmero,100paraGmailporqueGoogletieneeldineroparaacomodarelhashingde100caracteresconfacilidadensussistemas)porquelastécnicasdelafuncióndederivacióndeclavedecontraseñaactualmentenoestánaunnivelparadescifrarContraseñasdelongitudesmáslargaseficientemente.Estosignificaquesideseaquesucontraseñatengaunalongitudde250caracteres,noselepermitiráhacerloporquelacompañíanocreequeestéequipadaparadescifrarsucontraseñaencasodequealgunavezlanecesitendemaneraeficiente.

¿Somosrealmentelibres?¿Quémotivacióntenemosparaquenuestrascontraseñasseanmássegurasquela"contraseña" o "12345678" si se impone un límite a nuestra seguridad? Parece que el mensaje que están transmitiendo es que usted puede estar seguro, pero no tan seguro que dificulta nuestro trabajo.

Un bloqueo mantendrá alejados a la mayoría de los intrusos, pero los que estén equipados para romper el bloqueo lo harán. ¿Escogemos la cerradura que mantendrá alejados a los más intrusos, o compramos cualquier cerradura promedio y esperamos que las que puedan romperla no lleguen a nuestras casas?

Al hacer que nuestras contraseñas sean más seguras al agregar letras y números en mayúsculas, comenzamos a limitar el número de personas que pueden descifrar la contraseña, pero la gente aún la descifrará si así lo desean.

    
pregunta wanttolearnmoreaboutladders 14.09.2017 - 18:43
fuente

3 respuestas

17

Si no te importa que sea franco, creo que tienes muchos malentendidos en tu publicación, y muchas de tus conclusiones parecen estar basadas en suposiciones de lo que equivalen a las teorías de conspiración. Primero, seamos claros acerca de un par de cosas, que creo que deberían ser suficientes para disipar algunas de sus suposiciones y teorías de conspiración:

  1. Google no tiene los recursos informáticos para descifrar una contraseña de 100 caracteres. La Tierra entera no tiene suficiente poder de computación o energía para hacer tal cosa. De hecho, incluso una contraseña verdaderamente aleatoria con solo ~ 20 caracteres es lo suficientemente larga como para que nadie la pueda descifrar (suponiendo un simple ataque de fuerza bruta, por supuesto, e ignorando las debilidades de phishing / algoritmo / etc)
  2. Si Google quisiera acceder a sus datos, no tendrían que intentar descifrar su contraseña de todos modos. Simplemente podrían actualizar su código fuente para almacenar la versión de texto plano de la próxima vez que inicie sesión. Lo mismo ocurre con cualquier sitio web en el que inicie sesión. Cualquiera que ejecute un servidor no tiene que descifrar su contraseña para leerla: es waaaaay más fácil que eso.

Como resultado, su declaración general de que las compañías tienen un máximo de longitud de contraseña porque eso les permite descifrar su contraseña cuando lo desean es, sin excepción, completamente errónea.

Entonces, ¿por qué hay máximos? Esta pregunta discute que para muchos sistemas heredados:

¿Qué razones técnicas existen para tener una longitud de contraseña máxima baja?

Google es un asunto aparte: un máximo de 100 caracteres no es realmente irrazonable. Dudo que alguien esté tratando de usar contraseñas de 100 caracteres, e incluso los administradores de contraseñas no lo hacen (porque 100 caracteres es una exageración absoluta). Puede haber razones técnicas con sus algoritmos criptográficos que requieren un máximo de 100 caracteres, pero lo más probable es que se haya establecido un límite arbitrario porque se necesita algún límite, y no hay razón práctica para tener una contraseña tan larga en la primera lugar.

Para reiterar un punto más, hay un límite físico en la longitud de una contraseña que realmente puede ser forzada. Se trata de consideraciones de energía y la cantidad mínima de energía requerida para ejecutar computadoras que podrían descifrar las contraseñas. La idea general es que, para contraseñas suficientemente largas, no hay suficiente energía en todo el mundo para descifrar la contraseña, incluso si tuvieras recursos informáticos infinitos para resolver el problema:

enlace

enlace

También es una buena lectura para usted, para ayudarlo a comprender realmente algunos de los problemas relacionados con la longitud de la contraseña:

enlace enlace enlace enlace

    
respondido por el Conor Mancone 14.09.2017 - 19:23
fuente
2

Debido a la "Facilidad de uso, funcionalidad y triángulo de seguridad"

Soloestamosenlafacilidaddeusofrenteaseguridadyaquelafuncionalidadnoimplicamuchotrabajoalaumentareltamañodelacontraseña(comogoogle,laimagenquecompartidodegoogleconunlímitede100(queesunIMHOexcesivo).Desdemediadosdelos80,Internethaestadodisponibleparalagentecomún,laideadeunacontraseñaenseguridades"¿Qué sabes?"

Sí, una contraseña puede tener una longitud de 100000 caracteres (Nota: el tamaño máximo predeterminado de una entrada es de 524288 de longitud), y aún no es factible descifrarla en la mayoría de las implementaciones de hoy, ¿quién puede recordar una longitud de 20 contraseñas? tal vez un 100? Tal vez puedas recordar una oración realmente larga. Nadie usará el primer capítulo del "Don Quijote" como contraseña, la memoria humana no ES TAN genial.

Claro, quizás puedas almacenarlo o usar algo como " LastPass " pero eso no es para un usuario común / diario.

TL; DR Al aumentar el máximo no se sigue agregando seguridad, en cierto momento comienza a eliminar la "facilidad de uso" y agrega poca "seguridad".

    
respondido por el Azteca 14.09.2017 - 19:44
fuente
-1

Respuesta corta: programadores perezosos que implementan mal el almacenamiento de contraseñas.

Respuesta más larga: sistemas de contraseña heredados con los que los sitios web deben interactuar, que no entienden los hashes y tienen que usar contraseñas de texto sin formato, con límites.

Además, hay una pregunta de usabilidad. Muchos usuarios finales no usan administradores de contraseñas, y es un costo para la empresa ejecutar líneas de soporte cuando los usuarios necesitan restablecer sus contraseñas. El interés financiero de la empresa es "limitar" a los usuarios de alguna manera, por lo que no eligen una contraseña de 100 caracteres y luego la escriben incorrectamente.

Un importante sitio web bancario que no nombraré no le dirá a sus usuarios que escribe minúsculas todas las contraseñas entre bastidores (puede iniciar sesión con cualquier contraseña mixta, cambiar el caso y seguirá funcionando) mientras que otros le permitirán iniciar sesión con el teclado numérico del teléfono equivalente a su contraseña, ya que comparte un sistema de servicios de fondo con el sistema de verificación del teléfono.

    
respondido por el JesseM 14.09.2017 - 19:01
fuente

Lea otras preguntas en las etiquetas

Formación de sal en cifrado (en lugar de hashing) ¿Es mi función hash suficientemente buena