¿Existen ventajas de seguridad al forzar un límite de caracteres de contraseña en el restablecimiento, pero permitiendo caracteres ilimitados en el inicio de sesión con contraseña?

0

Hace unos momentos estaba restableciendo una contraseña, y me dieron un límite de caracteres de alrededor de 10 caracteres para crear una contraseña segura.

Después de restablecer la contraseña, fui a ingresar mi contraseña y noté que hay una asignación de caracteres ilimitada (o mucho mayor) en el campo.

Mi pregunta es, ¿existe alguna ventaja de seguridad real para forzar un límite de caracteres en el restablecimiento de la contraseña y luego permitir caracteres ilimitados al iniciar sesión?

A mí me parece que esto es más parecido a lo que veo que la gente dice aquí acerca de "Seguridad a través de la oscuridad".

También, un aspecto negativo que veo es que las personas que no están prestando atención al campo no permiten que haya caracteres después de x, y luego intentan iniciar sesión con lo que "piensan" que es su contraseña, quedarán bloqueados. su cuenta. Esto es especialmente importante ya que no noté ninguna advertencia de límites de caracteres, que generalmente se ve en los sitios.

También quería mencionar que esto está relacionado con mi otra pregunta aquí ¿Por qué, después de un cierto límite de caracteres, las contraseñas más grandes están etiquetadas como" débiles "en algunos sitios? pero querían separarlas en preguntas separadas.

    
pregunta XaolingBao 27.06.2016 - 01:33
fuente

3 respuestas

1

La única desventaja de seguridad de las restricciones de longitud de contraseña (es decir, "No demasiado grande") es si el software es vulnerable a un exceso de búfer. No es difícil defenderse contra los campos de contraseñas, por lo que esto es solo pereza por su parte.

Aparte de eso, las restricciones de longitud de la contraseña solo pueden reducir artificialmente la posible entropía en una contraseña.

    
respondido por el iAdjunct 27.06.2016 - 02:32
fuente
1

Tendría una pequeña ventaja que los bots o atacantes que no han hecho su reconocimiento correctamente pueden estar perdiendo el tiempo en las contraseñas de contraseñas con contraseñas que el sistema no puede acomodar. Si un atacante puede registrarse para su propia cuenta, debe haber comprobado la longitud máxima de la contraseña y otras reglas de contraseña al intentar restablecer las suyas propias.

Esto depende en gran medida de si las contraseñas truncadas son aceptadas por el campo de entrada.

También tenga en cuenta que la limitación de la longitud de las contraseñas en primer lugar no es excelente, y podría ser una indicación de que la contraseña se está almacenando de forma insegura.

    
respondido por el SilverlightFox 27.06.2016 - 12:52
fuente
0
  

Mi pregunta es, ¿existe alguna ventaja de seguridad real para forzar un límite de caracteres en el restablecimiento de la contraseña y luego permitir caracteres ilimitados al iniciar sesión?

No puedo ver ningún beneficio de seguridad para eso. Permitir una longitud ilimitada en el inicio de sesión probablemente no sea una decisión de diseño consciente, sino el resultado de que los desarrolladores no se molestaron en establecer la propiedad maxlength del campo de entrada.

Por cierto, tener una longitud máxima de contraseña de 10 caracteres en primer lugar es una idea realmente mala .

    
respondido por el Anders 27.06.2016 - 03:52
fuente