Tomaré Twitter como ejemplo.
Por un lado, cuando se registra en Twitter , la contraseña debe contener al menos 6 caracteres.
Por otra parte, el token de acceso a la API tiene aproximadamente 50 caracteres:
(
Me pregunto por la razón de seguridad detrás de esta diferencia de longitud. Si los tokens son realmente largos porque mejora la seguridad, ¿por qué se permiten contraseñas cortas? Tenga en cuenta que no estoy preguntando por qué la longitud mínima no es un número dado, como 10, 15 o 20 caracteres, aún sería una gran diferencia en comparación con los tokens.
Y si bien este token es difícil de adivinar porque es aleatorio y más largo, puedo ver mis propios tokens conectándome al sitio web de desarrolladores de Twitter con mi contraseña relativamente débil . ¿Por qué crear un token aleatorio seguro si es accesible con mi contraseña? Sé que es posible activar la autenticación de dos factores, pero el acceso al sitio web de los desarrolladores no lo requiere.
Entonces, dados los hechos que:
- un token permite más o menos las mismas operaciones que un usuario registrado a través de su contraseña,
- los accesos a la API pueden ser forzados en forma bruta como accesos desde Internet,
- Twitter puede elegir la longitud mínima de una contraseña y la longitud de los tokens,
¿Por qué son tan largas las fichas? Si desde el punto de vista de Twitter, 6 caracteres son suficientes para una contraseña, ¿por qué usar 50 caracteres para un token?