Estoy tratando de encontrar en Internet algún manual, guía o política de seguridad sobre
las aplicaciones no deben convertir una cadena inferior en una cadena superior para almacenar como contraseña
Quiero decir, no conviertas " testpassword123 " en este " TESTPASSWORD123 ".
He leído muchas recomendaciones, pero necesito algún documento explícito que nos diga que "no debes superar la cadena cuando la guardes como contraseña", explícitamente así.
Muchas gracias por la ayuda hasta ahora.
Tampoco pude encontrar ninguna política de almacenamiento de contraseñas que mencione que las contraseñas no deben estar en mayúsculas. Pero tampoco encontré ninguna guía que me dijera que no estableciera todas las contraseñas en "contraseña", que no eliminara todos los caracteres especiales o que no los acortara a 4 caracteres. Es simplemente obvio.
No debe cambiar la contraseña que proporcionó el usuario. Esto puede llevar a contraseñas injustificadamente débiles (¡sin que los usuarios lo conozcan!), Y problemas de compatibilidad más adelante (el usuario siempre ingresará su contraseña de la manera que la estableció, por lo que cada mecanismo de inicio de sesión / verificación debe realizar la transformación de la contraseña en cada inicio de sesión).
Si no puede manejar algunos caracteres especiales, infórmeselo al usuario que los envió, no cambie la contraseña suministrada en silencio.
Un ejemplo histórico de un algoritmo tan pobre es el hash LM de Microsoft
.Como dijiste Felipe, para crear una contraseña segura, necesitas mezclar mayúsculas y minúsculas. ¿Por qué? Porque al hacerlo, puede haber 52 letras diferentes posibles que constituyen cada carácter de la contraseña: 26 minúsculas + 26 mayúsculas.
Al convertir la cadena a mayúsculas, debilita la contraseña, ya que ahora solo habrá 26 letras diferentes posibles que constituyen cada carácter, no 56, lo que hará que la contraseña sea mucho más fácil de adivinar. En otras palabras, está ayudando a los piratas informáticos a penetrar en el sistema porque no tendrán que preocuparse por el problema del caso ya que "secreto", "Secreto", "SecReT" y "SECRETO" coincidirán con la misma contraseña y abrirán la misma acceso.
Lea otras preguntas en las etiquetas passwords password-management password-policy defense