Должен ли я ограничивать длину пароля?

Question

[romazhan]

Должен ли я ограничивать длину вводимого пользователем пароля?
Является ли это ограничение пользователя оправданным?
С хэшированием все понятно, но в интернете никто не задумывается о максимальной длине POST-запроса?

Answer 1

[Drno]

как хочешь

Comments

[romazhan]

изменил

Answer 2

[mayton2019]

Автор беспокоиться о максимальной длине POST-запроса.

Я-бы просто предложил не беспокоиться а провести тестирование корнер-кейсов. Ввести там пароль
в 256 символов. Или в 64К символов. Или в 4 гигабайта символов.

И уже пойти от конкретной проблемы.

А то получается что человек пришел и говорит. Вот... что-то меня беспокоит. Но я не знаю что.
Помогите доктор. С чем-то...

Comments

[romazhan]

Ясное дело, длина POST-запроса будет ограниченной

[mayton2019]

polak228, дык пароль здесь непричем. Верно?

[romazhan]

mayton2019, пароль будет передаваться пост запросом

[mayton2019]

polak228, хорошо. Пароль будет передаваться запросом.

Ты знаешь. У меня был друг. Он любой разговор сводил к рыбалке. Вот начнем мы говорить
про бизнес-задачи, курс бакса или про релизы Windows - а он нет да и ввернет свою
мысль о том как он ловил то на мормышку то на блесну то еще на какую-то хрень.

Вот такой он был странный.

[romazhan]

mayton2019, захотят отправить мне пароль размером в 100гб, что делать

[mayton2019]

polak228, так вить и не-пароль тоже может быть в 100гб. Любая формочка - это тоже POST.

[romazhan]

Так про другие поля речь и не идет, их 100 процентов нужно ограничить по длине. Я читал, что нельзя ограничивать блину пароля

[mayton2019]

polak228, ты очень странный человек.

[romazhan]

mayton2019, бан

Answer 3

[Belvarm]

Можно ограничить до 32 символов, думаю более длинные пароли нецелесообразны.
Так же стоит отталкиваться от назначения сервиса, какой нибудь фан форум это одно, а система торговли это уже совсем другое, оценивайте риски.

Answer 4

[Василий Банников]

Не следует, ибо ограничение на длину пароля - это дополнительная информация, которую ты на ровном месте даришь злоумышленнику.
Лимит на размер запроса можно реализовать на стороне веб-сервера и просто откидывать запросы, где Content-Length слишком большой.

Answer 5

[CityCat4]

Ограничивать можно, но ставить достаточно большое ограничение - например, всем известная фраза "сороктысячобезьянвжопусунулибанан" имеет длину 34 символа :) Правда, несмотря на длину, это довольно слабый пароль...