¿Por qué, después de un cierto límite de caracteres, las contraseñas más grandes se etiquetan como "débiles" en algunos sitios?

5

En muchos sitios, vemos un indicador si nuestra contraseña es débil o fuerte, para darnos una buena indicación de ir con esa contraseña, o no.

He notado en algunos sitios que, después de x cantidad de caracteres, mi contraseña "100% fuerte" se convertirá en un 0% débil, solo con 1 carácter "por encima del límite". Esto es algo que he visto en varios sitios a lo largo de los años, pero en algunos no es un problema en absoluto.

Mis preguntas son.

  1. ¿hay alguna razón por la que demasiados caracteres sea algo malo, incluso si se trata de una contraseña completamente aleatoria?

  2. ¿Por qué están etiquetados como débiles después de x cantidad de caracteres, incluso cuando eran muy fuertes antes de ese carácter x?

Esta pregunta también se relaciona con mi otra pregunta aquí ¿Existe alguna ventaja de seguridad al forzar un límite de reinicio de caracteres de contraseña, pero permite caracteres ilimitados en el inicio de sesión con contraseña? pero quería separarlos, ya que en realidad son dos preguntas separadas.

    
pregunta XaolingBao 27.06.2016 - 01:44
fuente

1 respuesta

9

Los medidores de seguridad de contraseña son notoriamente débil :

  

Una nueva investigación de Concordia expone la debilidad de la fortaleza de la contraseña   metros y muestra a los consumidores deben permanecer escépticos cuando la barra gira   verde.

En general, agregar un carácter a una contraseña no lo debilitará. Sólo hay situaciones específicas donde esto no es cierto. Por ejemplo, MyPasswor es probablemente una contraseña más segura que MyPassword . Eso no significa que agregar un personaje siempre lo hace más fuerte. Por ejemplo, bcrypt tiene un longitud máxima de 56 bytes . (Tenga en cuenta que eso es bytes, no caracteres). Los caracteres agregados más allá de esa longitud simplemente se ignoran cuando se almacena la contraseña.

Como regla general, solo crea contraseñas aleatorias utilizando un generador de contraseñas o un software de confianza, y no te preocupes por los medidores de fuerza tontos.

    
respondido por el Neil Smithline 27.06.2016 - 02:13
fuente

Lea otras preguntas en las etiquetas