Creo que Netflix es una empresa con conocimientos técnicos, por lo que me sorprendió ver que tienen una restricción de longitud de contraseña (60 caracteres).
Supongo que hay una razón legada para esto. ¿Qué podría ser? Es de suponer que están pirateando sus contraseñas; si es así, ¿por qué no podrían eliminar el límite de longitud?
También rechazan el carácter de tilde (~).
Creo que Netflix es una empresa con conocimientos técnicos, por lo que me sorprendió ver que tienen una restricción de longitud de contraseña (60 caracteres).
Supongo que hay una razón legada para esto. ¿Qué might será?
Algunas de las razones en Q & A: " Por qué restringir la longitud de una contraseña? "en StackOverflow son:
Un intento de ahorrar espacio de almacenamiento. ( Fuente )
El front-end se integra con algún sistema antiguo que no maneja más de un número dado de caracteres. ( Fuente )
Una contraseña alfanumérica de 10 caracteres que no distingue entre mayúsculas y minúsculas tiene 839,299,365,868,340,224 posibles permutaciones. ( Fuente )
Eso es todo el espacio que tienen en su base de datos para almacenar su contraseña. ( Fuente )
El algoritmo que utilizan para el cifrado no funciona bien con contraseñas grandes. ( Fuente )
Están almacenando su contraseña como texto sin formato y están tratando de ahorrar espacio, pero también puede intentar detener a las personas que hacen que sus contraseñas sean muy largas y luego las olviden. ( Fuente )
No todas las respuestas que se enumeraron anteriormente, vea el enlace para otras conjeturas.
Otra explicación en StackOverflow Q & A: " Longitud máxima de la contraseña con bcrypt, blowfish "es:
"BCrypt funcionará con contraseñas mucho más largas, aunque solo se utilizan 72 caracteres. No tendría ninguna ventaja en absoluto, pero en teoría dificultaría que las personas con administradores de contraseñas usen contraseñas más largas". ( Fuente ) Consulte también esta sección de preguntas y respuestas de StackOverflow A: " Mejores prácticas: ¿contraseñas de sal y salpicaduras? ".
Cualquiera de esas razones suena probable. Es poco probable que Netflix discuta cómo se protegen las contraseñas de sus usuarios, pero el límite es lo suficientemente largo para la seguridad, solo es un inconveniente si tiene una contraseña más larga.
Los investigadores han probado varios sitios web, uno de los muchos artículos es: " Los sitios en línea de Netflix y Walmart tienen una cosa en común: reglas de contraseña incorrecta, según un estudio ". Algunos lugares simplemente tienen malas políticas. Hay límites al valor de lo que se está protegiendo.
La única razón válida de seguridad que conozco se reduce a "evitar ataques DoS contra nuestro hash de contraseña lento subiendo cantidades absurdas de contraseña", y 60 es un límite demasiado bajo para que eso tenga mucho sentido .
La siguiente razón menos mala que conozco es "porque los usuarios son tontos y si les permitimos usar todo el texto de Moby Dick como su contraseña, algunos lo harán, y luego algunos de ellos escribirán mal algunos" o piense que usaron Don Quijote en su lugar, y luego pensarán que han olvidado por completo su contraseña y que van a consumir recursos de soporte o simplemente dejan de usar el sitio ", que tiene al menos la ventaja de no asumir que los usuarios son cualquiera menos inteligente que quien haya inventado la política de contraseñas.
O tal vez simplemente no pueden imaginar a nadie usando una frase de contraseña larga honesta a $ DEITY. Seré honesto, ninguna de mis frases de contraseña tiene más de 60 caracteres; Es un dolor escribir tanto. Demonios, podría ser solo una limitación del lado del cliente, puesto por alguien que no entiende nada acerca de la seguridad de la contraseña pero piensa que están ahorrando espacio en la base de datos.
Todas las demás razones son malas señales, con respecto a la seguridad.
Algunos de ellos son más o menos malos que otros. Todo lo que implique "ahorrar espacio" o "el tamaño del campo en la base de datos" es una señal de alerta crítica; significa que están almacenando las contraseñas en texto simple o en cifrado reversible, en lugar de incluso un hash de calidad mínima. Eso significa que cualquier persona que tenga acceso a su almacén de credenciales, ya sea un administrador no confiable, o cualquier "pirata informático" que encuentre una inyección de SQL, probablemente pueda descubrir cada una de esas credenciales con una dificultad mínima. Alternativamente, podrían "simplemente" usar un algoritmo de hashing de contraseñas obsoleto que tiene una longitud máxima inherente (todavía no es bueno; esos algoritmos están obsoletos por buenas razones), pero al menos es probable que necesite una tabla arco iris o unas pocas horas de EC2 es tiempo de fuerza bruta).
Lea otras preguntas en las etiquetas passwords