En este momento estoy revisando un montón de cuentas, cambiando mis contraseñas, algunas de ellas se ven un poco débiles y las he reutilizado, pero sigo encontrando sitios web que no te permiten usar símbolos en la contraseña, incluido mi banco.
¿Por qué los sitios web no permiten símbolos y limitan la contraseña a 20?
Por lo que he leído, la longitud es mejor que los símbolos, pero seguramente, ¿dejar que el usuario elija una contraseña larga con símbolos es aún mejor?
La desaprobación de símbolos suele ser una señal de que alguien en el proceso de desarrollo escuchó sobre inyección SQL , inyección de código , o secuencias de comandos entre sitios
Los límites de longitud son una señal de que alguien no pensó cuidadosamente al definir las limitaciones de entrada, o una señal de que su contraseña se almacena directamente en lugar de un hash y el campo de la base de datos solo permite una cierta cantidad de espacio para la contraseña.
En el caso específico de que las contraseñas están limitadas a 8 caracteres de ASCII imprimible, generalmente es una señal de que cualquiera de las contraseñas se hashse usando el obsoleto DES crypt () function , o el software fue desarrollado por alguien cuya mente está atascada en la era DES crypt ().
Por adelantado: Sí, una contraseña larga con símbolos tiene más entropía promedio que una contraseña larga sin.
En última instancia, las opciones de seguridad con contraseña se dejan a la gente que diseña los sistemas que utiliza. Es posible que existan otras características de seguridad adicionales que utilizan para proteger la información de su cuenta que no sea una combinación de nombre de usuario y contraseña. La información de IP / red se puede utilizar generosamente para corroborar su identidad con sus inicios de sesión. Como ejemplo, supongamos que accede a su cuenta desde una biblioteca pública en un ISP diferente al que normalmente usa. Su banco puede congelar su cuenta bancaria en línea y comunicarse con usted por teléfono al número de teléfono que tiene archivado para verificar su identidad. Es solo un ejemplo, pero entiendes la idea.
Algunos pueden tener otras razones para prohibir el uso de símbolos en sus contraseñas debido a una verificación de datos deficiente que podría exponer a sus sistemas a ataques. Tal vez sea más barato hacerlo en lugar de contratar a un grupo de personas para solucionar el problema para siempre. ¿Quién sabe?
Usted tiene una opción al respecto, y si esa limitación le molesta, busque un nuevo proveedor para los servicios que utiliza en su sitio. Siempre puedes hacer esa elección.
Lea otras preguntas en las etiquetas passwords password-policy