¿Hay alguna explicación (que no sea el almacenamiento de texto sin formato) para contraseñas que no distinguen entre mayúsculas y minúsculas?

6

Me he encontrado con algunas organizaciones que afirman que las contraseñas no distinguen entre mayúsculas y minúsculas. Obviamente, esto es ridículo y una bandera roja gigantesca desde el punto de vista de la seguridad.

¿Hay alguna explicación de por qué una contraseña no distingue entre mayúsculas y minúsculas, además de almacenar las contraseñas en texto simple?

    
pregunta Polynomial 30.07.2012 - 11:07
fuente

4 respuestas

6

Las únicas razones que conozco están basadas en el legado o en el rendimiento (este último también es un problema de legado)

  • Algunos casos de código de contraseña anterior se quitaron para adaptarse a la plataforma limitada para la que se escribió,
  • y algunos solo para limitar la complejidad del código.

Ambas razones inútiles que no deberían tener aplicabilidad en estos días.

    
respondido por el Rory Alsop 30.07.2012 - 11:13
fuente
16

Estoy de acuerdo con Emil en que es una cuestión de usabilidad. Hacer que las contraseñas no distingan entre mayúsculas y minúsculas pone fin al error común del usuario de ingresar la contraseña con mayúsculas bloqueadas.

Además, una contraseña que no distingue entre mayúsculas y minúsculas no tiene que almacenarse en texto sin formato, simplemente se puede convertir a minúsculas antes de hacer un hash. La única preocupación de seguridad con tener contraseñas que no distinguen entre mayúsculas y minúsculas es que reduce la complejidad de las contraseñas, pero esto puede mitigarse al requerir contraseñas o frases de contraseña más largas.

    
respondido por el MikeFHay 30.07.2012 - 15:43
fuente
10

Una posible razón podría ser la usabilidad. Todos hemos visto cómo a algunos usuarios les resulta difícil escribir su contraseña correctamente, debido a bloqueos de mayúsculas o casos incorrectos.

Tener contraseñas que no distinguen entre mayúsculas y minúsculas aumenta el éxito del inicio de sesión.

    
respondido por el Emil 30.07.2012 - 13:10
fuente
7

Al aplanar el estuche, permite que las personas ingresen contraseñas en el teclado de un teléfono tradicional. He visto más de un ejemplo de un banco que hace esto para que los clientes puedan tener la misma contraseña en el sitio web, como lo hacen por teléfono.

es decir.

contraseña: joe123

en el teléfono: 563123

Esto es obviamente un compromiso significativo en seguridad, y limita la contraseña a 24 de las 26 letras en un alfabeto inglés, si asume teléfonos muy viejos .

En algunos sistemas anteriores, en los días de conexiones de 7 bits, si dio su nombre de usuario en mayúsculas, asumió que no podía hacer caso mixto, y aplanó su contraseña durante la autenticación.

    
respondido por el Don Simon 31.07.2012 - 17:08
fuente

Lea otras preguntas en las etiquetas