Должен ли я ограничивать длину пароля?

Question

romazhan @romazhan

Информационная безопасность

Должен ли я ограничивать длину пароля?

Должен ли я ограничивать длину вводимого пользователем пароля?
Является ли это ограничение пользователя оправданным?
С хэшированием все понятно, но в интернете никто не задумывается о максимальной длине POST-запроса?

Вопрос задан 08 мая 2023
127 просмотров

Комментировать

Подписаться 1 Простой Комментировать

Пригласить эксперта

Ответы на вопрос 5

1 комментарий

9 комментариев

romazhan @romazhan Автор вопроса

Ясное дело, длина POST-запроса будет ограниченной

Написано 08 мая 2023
mayton2019 @mayton2019

polak228, дык пароль здесь непричем. Верно?

Написано 08 мая 2023
romazhan @romazhan Автор вопроса

mayton2019, пароль будет передаваться пост запросом

Написано 08 мая 2023
mayton2019 @mayton2019

polak228, хорошо. Пароль будет передаваться запросом.

Ты знаешь. У меня был друг. Он любой разговор сводил к рыбалке. Вот начнем мы говорить
про бизнес-задачи, курс бакса или про релизы Windows - а он нет да и ввернет свою
мысль о том как он ловил то на мормышку то на блесну то еще на какую-то хрень.

Вот такой он был странный.

Написано 08 мая 2023
romazhan @romazhan Автор вопроса

mayton2019, захотят отправить мне пароль размером в 100гб, что делать

Написано 08 мая 2023
mayton2019 @mayton2019

polak228, так вить и не-пароль тоже может быть в 100гб. Любая формочка - это тоже POST.

Написано 08 мая 2023
romazhan @romazhan Автор вопроса

Так про другие поля речь и не идет, их 100 процентов нужно ограничить по длине. Я читал, что нельзя ограничивать блину пароля

Написано 08 мая 2023
mayton2019 @mayton2019

polak228, ты очень странный человек.

Написано 08 мая 2023
romazhan @romazhan Автор вопроса

mayton2019, бан

Написано 09 мая 2023

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Windows

+2 ещё

Простой
Нужна ли нам вся эта безопасность?
- 4 подписчика
- 30 апр.
- 1195 просмотров
4

ответа
Информационная безопасность

Простой
Могут ли злоумышленники физический заразить материнскую плату?
- 1 подписчик
- 26 апр.
- 143 просмотра
4

ответа
Информационная безопасность

+1 ещё

Простой
Как запустить vbs с правами администратора, но без ввода пароля?
- 2 подписчика
- 24 апр.
- 211 просмотров
1

ответ
Информационная безопасность

+1 ещё

Средний
Как рассчитать количество информации в двоично-симметричном канале?
- 1 подписчик
- 23 апр.
- 46 просмотров
0

ответов
Информационная безопасность

Простой
Какие сканеры уязвимости посоветуете?
- 1 подписчик
- 22 апр.
- 113 просмотров
1

ответ
Информационная безопасность

+1 ещё

Средний
Может ли при подключении внешний жёсткий диск показать иной серийный номер?
- 1 подписчик
- 22 апр.
- 106 просмотров
0

ответов
Информационная безопасность

+1 ещё

Простой
В каких случаях возможно использование несертифицированного Web Application Firewall?
- 3 подписчика
- 22 апр.
- 180 просмотров
2

ответа
Компьютерные сети

+2 ещё

Средний
Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
- 1 подписчик
- 18 апр.
- 161 просмотр
2

ответа
Информационная безопасность

+4 ещё

Простой
Как исправить ошибку 0x138c при настройке консолидации логов с одного контроллера домена на другой?
- 1 подписчик
- 07 апр.
- 88 просмотров
0

ответов
Windows

+4 ещё

Средний
Как исключить Извещение безопасности Microsoft Outlook для ссылок в письмах?
- 2 подписчика
- 07 апр.
- 227 просмотров
1

ответ
Показать ещё Загружается…

Специалист по управлению уязвимостями (информационная безопасность)

Гринатом • Москва

от 100 000 до 120 000 ₽

DevSecOps

Outlines Tech

от 300 000 до 350 000 ₽

Руководитель направления информационной безопасности ОКИИ

Интер РАО – Управление сервисами • Санкт-Петербург

от 180 000 ₽

Практическое задание диплома, работа с Visual Studio WPF и SQLlite, С#

06 мая 2024, в 18:40

5000 руб./за проект

Настроить досту по фтп к директории на сервере

06 мая 2024, в 18:30

500 руб./за проект

Доработать Pacman GYM ATARI на Python

06 мая 2024, в 18:24

500 руб./за проект

Answer 1 · 2023-05-08 18:08:35

Drno @Drno

как хочешь

Ответ написан 08 мая 2023

1 комментарий

Answer 2 · 2023-05-08 18:23:20

Автор беспокоиться о максимальной длине POST-запроса.

Я-бы просто предложил не беспокоиться а провести тестирование корнер-кейсов. Ввести там пароль
в 256 символов. Или в 64К символов. Или в 4 гигабайта символов.

И уже пойти от конкретной проблемы.

А то получается что человек пришел и говорит. Вот... что-то меня беспокоит. Но я не знаю что.
Помогите доктор. С чем-то...

Answer 3 · 2023-05-08 18:25:48

Можно ограничить до 32 символов, думаю более длинные пароли нецелесообразны.
Так же стоит отталкиваться от назначения сервиса, какой нибудь фан форум это одно, а система торговли это уже совсем другое, оценивайте риски.

Answer 4 · 2023-05-08 18:51:01

Не следует, ибо ограничение на длину пароля - это дополнительная информация, которую ты на ровном месте даришь злоумышленнику.
Лимит на размер запроса можно реализовать на стороне веб-сервера и просто откидывать запросы, где Content-Length слишком большой.

Answer 5 · 2023-05-08 22:27:53

Ограничивать можно, но ставить достаточно большое ограничение - например, всем известная фраза "сороктысячобезьянвжопусунулибанан" имеет длину 34 символа :) Правда, несмотря на длину, это довольно слабый пароль...

Должен ли я ограничивать длину пароля?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт