Czy powinienem narzucić maksymalną długość haseł?

162

Rozumiem, że narzucanie minimalnej długości haseł ma wiele sensu (aby uchronić użytkowników przed sobą), ale mój bank wymaga, aby hasła miały od 6 do 8 znaków i zacząłem się zastanawiać ...

  • Czy to nie ułatwiłoby ataków siłowych? (Zły)
  • Czy to oznacza, że ​​moje hasło jest przechowywane w postaci niezaszyfrowanej? (Zły)

Jeśli ktoś z (miejmy nadzieję), że pracuje dla niego kilku dobrych specjalistów ds. Bezpieczeństwa IT, narzuca maksymalną długość hasła, czy powinienem pomyśleć o zrobieniu czegoś podobnego? Jakie są wady / zalety tego?

security encryption passwords nickf
źródło
16
Prawie na pewno obowiązuje zasada „trzech uderzeń i wypadasz”, która eliminuje zagrożenie brutalnym atakiem siłowym.
Stu Thompson,
23
Nie ma na to usprawiedliwienia w przypadku systemów innych niż starsze, takich jak współczesne witryny internetowe.
mparaz
7
Nie sądzę, aby odpowiedź była czysto IT. Minimalny rozmiar (6) i maksymalny limit prób są „prawdopodobne”, aby wyeliminować dzikie domysły. Domyślam się, że maksymalny rozmiar (8) to ograniczenie liczby połączeń (a tym samym kosztu) obsługi funkcji „Ups, zapomniałem kodu” lub „Piszę kod za szybko” lub „Błędnie wpisuję jeden znak” itd. Oprócz papieru, na którym wpisujesz hasło, jeśli go nie pamiętasz ..
zadzwoń do mnie Steve
17
Uczelnia, na którą się zapisałem, ma szalenie głupie zasady dotyczące haseł: tylko 8 znaków, co najmniej 1 cyfra, ale nie na początku ani na końcu hasła, wymaga znaków z więcej niż 2 górnych rzędów klawiatury itp. Itd. Na koniec czynią bruteforcing łatwiejszym, mając te zasady -.-. Zdaję sobie sprawę, że nie jesteś taki głupi, ale proszę, nie twórz takich głupich zasad! (Po prostu musiałem to usunąć z mojego systemu :))
cwap
17
@call Cóż, jeśli z tego powodu narzucisz maksymalną długość, otrzymasz ode mnie wywołania „Nie pamiętam hasła” , ponieważ moje unikalne hasła są bardzo długie, a ograniczenie mnie do 12 znaków to pewny sposób na zagwarantowanie, że to zrobię nie pamiętam tego.
Roman Starkov

Odpowiedzi:

193

Hasła są haszowane do 32, 40, 128, dowolnej długości. Jedynym powodem minimalnej długości jest zapobieganie łatwym do odgadnięcia hasłom. Nie ma celu dla maksymalnej długości.

Obowiązkowe XKCD wyjaśniające, dlaczego wyrządzasz użytkownikowi krzywdę, jeśli narzucisz maksymalną długość:

Obowiązkowy XKCD

epochwolf
źródło
6
Być może bank może zdecydować się na ograniczenie hasła, ponieważ w bankomatach nie można wprowadzić więcej niż, powiedzmy, 8 znaków.
André Chalella,
11
przynajmniej w bankomatach, jeśli spróbujesz ataku brutalnej siły, zjada twoją kartę. Chodzi mi jednak o hasło do logowania się tylko online.
nickf,
39
Niestety zakłada się, że hasła są zawsze szyfrowane. Hasła o maksymalnej długości są objawem haseł przechowywanych w postaci zwykłego tekstu.
jevon
14
Wzdychaj, nawet w PayPal, „poprawna zszywka do baterii konia” jest 8 znaków powyżej ich <cenzurowanej> maksymalnej długości ... biurko
Roman Starkov
3
@kleinfreund, ponieważ gdyby zostało zaszyfrowane, długość hasła nie miałaby dla nich znaczenia (funkcje haszujące konwertują ciąg o dowolnej długości na stałą długość).
Vicky Chijwani
75

Maksymalną długość określoną w polu hasła należy odczytywać jako OSTRZEŻENIE BEZPIECZEŃSTWA . Każdy rozsądny, świadomy bezpieczeństwa użytkownik musi założyć najgorsze i oczekiwać, że ta witryna będzie przechowywać Twoje hasło dosłownie (tj. Bez zaszyfrowania, jak wyjaśnił epochwolf).

W takim przypadku:

  1. Jeśli to możliwe, unikaj używania tej strony jako zarazy. Najwyraźniej nic nie wiedzą o bezpieczeństwie.
  2. Jeśli naprawdę musisz korzystać z tej witryny, upewnij się, że Twoje hasło jest niepowtarzalne - w przeciwieństwie do hasła, którego używasz gdzie indziej.

Jeśli tworzysz witrynę, która akceptuje hasła, nie ustalaj głupiego limitu haseł, chyba że chcesz zostać tarowany tym samym pędzlem.

[Wewnętrznie, oczywiście, twój kod może traktować tylko pierwsze 256/1024 / 2k / 4k / (cokolwiek) bajtów jako „znaczące”, aby uniknąć łamania gigantycznych haseł.]

spóźniać się
źródło
17
Wysyłam też takim stronom standardową wiadomość e-mail z informacją, że zmusiły mnie do używania krótszego, mniej bezpiecznego hasła, którego używam również na każdej stronie, która narzuca tak głupie ograniczenia. To pozwala im wiedzieć, że jest to problem, a także może dać Joe Coder pewną przewagę, aby pokazać przełożonym: dowód na to, że użytkownicy faktycznie źle myślą o witrynie w wyniku tego.
Roman Starkov
3
Nie jestem pewien, czy powinieneś założyć, że maksymalne hasło oznacza, że ​​przechowują hasła w postaci zwykłego tekstu. Czasami obcinają dane wejściowe i po prostu przekazują pierwsze znaki x do funkcji haszującej (). (Sposobem na sprawdzenie jest ustawienie hasła poza limit, a następnie spróbuj zalogować się z odmianą znaków hasła przekraczającą maksymalną długość).
benc
5
@benc oczywiście, to możliwe, ale chodzi o to, że jako użytkownik nie masz możliwości dowiedzenia się, czy to właśnie robi. Maksymalna długość (szczególnie krótka) jest znakiem ostrzegawczym i myślę, że najlepiej jest założyć najgorsze (lub skontaktować się z dostawcą, aby potwierdzić).
spóźnić
1
Proszę rozwinąć. Ta odpowiedź to zwykłe stwierdzenie.
kleinfreund
1
Maksymalne hasło nie musi oznaczać, że jest przechowywane jako zwykły tekst; może to wynikać z przyczyn technicznych, na przykład bcrypt zezwala na hasła o długości do 72 znaków.
emorris
58

Zezwolenie na całkowicie nieograniczoną długość hasła ma jedną poważną wadę, jeśli akceptujesz hasło z niezaufanych źródeł.

Nadawca może próbować podać Ci tak długie hasło, że spowoduje to odmowę usługi dla innych osób. Na przykład, jeśli hasło to 1 GB danych i spędzasz cały swój czas, zaakceptuj je, dopóki nie zabraknie pamięci. Teraz przypuśćmy, że ta osoba wysyła Ci to hasło tyle razy, ile chcesz zaakceptować. Jeśli nie jesteś ostrożny z innymi powiązanymi parametrami, może to doprowadzić do ataku DoS.

Ustawienie górnej granicy na około 256 znaków wydaje się zbyt hojne według dzisiejszych standardów.

Jason Dagit
źródło
35
Nadal możesz wysłać 1 GB danych z maksymalnym limitem. Oprogramowanie ograniczające prawie zawsze znajduje się za serwerem WWW.
epochwolf,
6
Nadal możesz jednak upuścić wszystkie oprócz pierwszych 256 znaków, zanim zrobisz coś intensywnego obliczeniowo. Uruchamianie haszowania sha na 1 GB danych zajmie znacznie więcej czasu niż wykonanie tego samego skrótu na 256 znakach.
rcreswick,
2
@Eyal: wszystko, co dzieje się po stronie klienta aplikacji internetowej, jest z natury niezaufane; w ten sposób hash staje się odpowiednikiem hasła, czyniąc to ćwiczeniem daremnym. (przeglądarka internetowa prawdopodobnie nie zaakceptuje 1 GB tekstu, a klient niestandardowy może wysłać ciąg o
rozmiarze
4
@Piskvor: Ale i tak nie ma sposobu, aby zapobiec ciągowi 1 GB. Użytkownik zawsze może zażądać example.com/?password=abcabcabcabc ... i ustawić dowolną wielkość żądania . Standardowy DoS.
Eyal
4
@Piskvor i Eyal, na szczęście, Apache i IIS (i prawdopodobnie inne dojrzałe serwery) ograniczają długość pól przekazywanych za pośrednictwem adresów URL: boutell.com/newfaq/misc/urllength.html
sampablokuper
21

Po pierwsze, nie zakładaj, że banki zatrudniają dobrych specjalistów ds. Bezpieczeństwa IT. Wiele nie .

To powiedziawszy, maksymalna długość hasła jest bezwartościowa. Często wymaga od użytkowników stworzenia nowego hasła (argumenty dotyczące wartości używania różnych haseł w każdej witrynie na bok), co zwiększa prawdopodobieństwo, że po prostu je zapiszą. Zwiększa to również znacznie podatność na ataki dowolnym wektorem, od brutalnej siły po socjotechnikę.

Sparr
źródło
Zgoda! Spójrz na to, że ciąg awarii zabezpieczeń dostępu online do brytyjskich banków w ciągu ostatnich kilku lat ...
Stu Thompson
6
Używam już innego hasła na każdej stronie internetowej w schemacie, który pozwala mi je wszystkie zapamiętać, ale wszystkie są dość długie. Jedynymi websies których hasła piszę na karteczki są te, które nakładają ograniczenia długości max kretyński, a tym samym zmusić mnie od preferowanego jeszcze unikalne hasło ...
Roman Starkov
@romkyns Rozumiem, że twój schemat nie używa symboli? Miałem kiedyś taki schemat, który generował krótkie, trudne do złamania hasła, ale musiałem go porzucić, gdy 10-20% stron, z których korzystałem, zabraniało używania popularnych znaków specjalnych.
Sparr
bez znaków specjalnych, nie, ale zawsze dodaje cyfry i wielkie litery, ponieważ wiedziałem, że niektóre strony tego wymagają. Szkoda, że ​​nie wiedziałem o maksymalnych granicach długości, kiedy to wymyśliłem ... Ale (prostsze) schematy, które opracowałem dla bliskich krewnych, jak dotąd działały doskonale!
Roman Starkov
1
@romkyns inne problemy z takimi schematami: witryny, które współużytkują hasła. Jeśli twój schemat jest podobny do nameofwebsitefO0 (googlefO0 yahoofO0 itp.), To jak pamiętasz, że powinieneś używać „yahoofO0” na flickr.com lub stackoverflowfO0 na askubuntu.com? witryny, których hasła wygasają. następnie musisz rozszerzyć schemat, aby objąć część, która może się zmieniać. ale to się nie powiedzie, jeśli reguła wygasania sprawdza podciągi.
Sparr
13

Ustawianie maksymalnej długości hasła mniejszej niż 128 znaków jest teraz odradzane przez ściągawkę OWASP Authentication Cheat Sheet

https://www.owasp.org/index.php/Authentication_Cheat_Sheet

Cytując cały akapit:

Dłuższe hasła zapewniają większą kombinację znaków, a tym samym utrudniają atakującemu ich odgadnięcie.

Minimalna długość haseł powinna być wymuszona przez aplikację. Hasła krótsze niż 10 znaków są uważane za słabe ([1]). Chociaż wymuszanie minimalnej długości może powodować problemy z zapamiętywaniem haseł wśród niektórych użytkowników, aplikacje powinny zachęcać ich do ustawiania haseł (zdań lub kombinacji słów), które mogą być znacznie dłuższe niż typowe hasła, a jednocześnie znacznie łatwiejsze do zapamiętania.

Maksymalna długość hasła nie powinna być zbyt mała, ponieważ uniemożliwi to użytkownikom tworzenie haseł. Typowa maksymalna długość to 128 znaków. Hasła krótsze niż 20 znaków są zwykle uważane za słabe, jeśli składają się tylko z małych liter łacińskich. Każdy znak się liczy !!

Upewnij się, że każdy znak wpisany przez użytkownika jest faktycznie zawarty w haśle. Widzieliśmy systemy, które skracały hasło na długość krótszą niż podana przez użytkownika (np. Obcięte do 15 znaków po wprowadzeniu 20). Jest to zwykle obsługiwane przez ustawienie długości WSZYSTKICH pól wprowadzania hasła na dokładnie taką samą długość, jak maksymalna długość hasła. Jest to szczególnie ważne, jeśli maksymalna długość hasła jest krótka, na przykład 20-30 znaków.

kravietz
źródło
11
To źródło nie zniechęca maksymalnych limitów długości hasła, odradza niskie (poniżej 128 znaków) maksymalne limity długości hasła.
Matthew,
9

Jednym z powodów, dla których mogę sobie wyobrazić wymuszanie maksymalnej długości hasła, jest to, że frontend musi łączyć się z wieloma starszymi zapleczami systemowymi, z których jeden sam wymusza maksymalną długość hasła.

Innym sposobem myślenia może być to, że jeśli użytkownik jest zmuszony do używania krótkiego hasła, jest bardziej prawdopodobne, że wymyśli przypadkowy bełkot niż łatwe do odgadnięcia (przez znajomych / rodzinę) slogan lub pseudonim. To podejście jest oczywiście skuteczne tylko wtedy, gdy frontend wymusza mieszanie cyfr / liter i odrzuca hasła, które mają jakiekolwiek słowa ze słownika, w tym słowa napisane w l33t-speak.

mbac32768
źródło
1
Chociaż jest to zrozumiałe, starsze systemy czasami muszą dyktować projekt. O ile to możliwe, NIE powinni na to wpływać. Ostatnią rzeczą, której potrzebujesz w nowym systemie, jest polityka bezpieczeństwa zaprojektowana, zanim współczesne ataki bezpieczeństwa były powszechne. Albo, co gorsza, nowsze oprogramowanie, ale przede wszystkim nieprawidłowo zaprojektowane. Istniejący system korporacyjny może korzystać z protokołu HTTP, ale nie ma to uzasadnienia, aby nie używać SSL w nowym systemie lub rozszerzeniu. Podobnie, zasady dotyczące haseł nie powinny nadal być podatne na ataki tylko dlatego, że OSTATNI faceci zrobili to źle, a jeśli się ich trzymał, lepiej byłoby przeprowadzić OGROMNE badanie kosztów i korzyści.
Katastic Voyage,
6

Jednym z potencjalnie ważnych powodów, aby narzucić maksymalną długość hasła, jest to, że proces jego haszowania (z powodu użycia powolnej funkcji haszującej, takiej jak bcrypt) zajmuje zbyt dużo czasu; coś, co mogłoby zostać wykorzystane w celu wykonania ataku DOS na serwer.

Z drugiej strony serwery powinny być skonfigurowane tak, aby automatycznie odrzucały programy obsługi żądań, które trwają zbyt długo. Więc wątpię, żeby to był duży problem.

AardvarkSoup
źródło
4

Myślę, że masz rację w obu punktach. Jeśli przechowują haszowane hasła, tak jak powinni, długość hasła nie wpływa w żaden sposób na ich schemat bazy danych. Posiadanie otwartego hasła powoduje dodanie jeszcze jednej zmiennej, którą atakujący siłą musi uwzględnić.

Trudno znaleźć wymówkę dla ograniczenia długości hasła, poza złym projektem.

Lucas Oman
źródło
3

Jedyną korzyścią, jaką widzę przy maksymalnej długości hasła, byłoby wyeliminowanie ryzyka ataku polegającego na przepełnieniu bufora spowodowanego zbyt długim hasłem, ale istnieją znacznie lepsze sposoby radzenia sobie z taką sytuacją.

DrStalker
źródło
1
Powinna istnieć maksymalna długość danych wejściowych, tak, ale zdecydowanie nie powinna być <64. Maksymalna długość 8 lub 12 jest po prostu śmieszna.
Dan Bechard,
2

Zignoruj ​​osoby, które mówią, że nie wolno sprawdzać długich haseł. Owasp dosłownie mówi, że 128 znaków powinno wystarczyć. Aby dać wystarczająco dużo miejsca na oddech, możesz dać trochę więcej, powiedzmy 300, 250, 500, jeśli masz na to ochotę.

https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Password_Length

Długość hasła Dłuższe hasła zapewniają większą kombinację znaków, przez co utrudniają atakującemu ich odgadnięcie.

...

Maksymalna długość hasła nie powinna być zbyt mała, ponieważ uniemożliwi to użytkownikom tworzenie haseł. Typowa maksymalna długość to 128 znaków . Hasła krótsze niż 20 znaków są zwykle uważane za słabe, jeśli składają się tylko z małych liter łacińskich.

CommonSenseCode
źródło
Nie dotyczy dyskusji. Pytanie brzmi, czy ograniczenie długości jest korzystne, a nie to, czy 128 jest wystarczające.
Vikki
1

Przechowywanie jest tanie, więc ogranicz długość hasła. Nawet jeśli szyfrujesz hasło, a nie tylko haszowanie, 64-znakowy ciąg nie zajmie dużo więcej niż 6-znakowy ciąg do zaszyfrowania.

Jest szansa, że ​​system bankowy nakłada się na starszy system, więc był w stanie zapewnić tylko określoną ilość miejsca na hasło.

LizB
źródło
9
O ile nie ma bardzo ważnego powodu, hasła powinny zostać zaszyfrowane. Hashe dają w wyniku ciągi o stałej długości. Nie ma argumentu dotyczącego spacji, chyba że system przechowuje rzeczywiste hasło, co jest prawdopodobnie okropnym pomysłem.
Stu Thompson,
8
Szyfrowanie haseł to okropny pomysł. Wystarczy pozbawiony skrupułów pracownik, aby ujawnić miliard haseł. Oszczędzaj kłopotów, nigdy nie przechowując ich w pierwszej kolejności.
Roman Starkov
1

Mój bank też to robi. Kiedyś zezwalało na dowolne hasło, a ja miałem 20-znakowe. Pewnego dnia zmieniłem to i oto dało mi to maksymalnie 8 i wyciąłem niealfanumeryczne znaki, które były w moim starym haśle. Nie miało to dla mnie żadnego sensu.

Wszystkie systemy zaplecza w banku działały wcześniej, kiedy używałem mojego 20-znakowego hasła bez znaków alfanumerycznych, więc starsze wsparcie nie mogło być powodem. A nawet gdyby tak było, powinny nadal umożliwiać posiadanie dowolnych haseł, a następnie tworzyć skrót, który pasuje do wymagań starszych systemów. Co więcej, powinni naprawić starsze systemy.

Rozwiązanie karty inteligentnej nie pasowałoby do mnie. Mam już za dużo kart i tak jest ... Nie potrzebuję kolejnej sztuczki.

Vincent McNabb
źródło
Wycinają ważną przestrzeń klucza, która wydłuża się do czasu dla ataków brutalnej siły, gdy (i mam na myśli KIEDY) ich baza danych skrótów zostanie skradziona (zakładając, że nawet sól / hash / rozciągnięcie, czego jestem pewien, że nie). Czas zmienić banki.
Chris Gomez
1

Jeśli akceptujesz hasło o dowolnej wielkości, zakłada się, że jest ono skracane do długości kurtyny ze względów wydajnościowych, zanim zostanie zaszyfrowane. Problem z obcinaniem polega na tym, że wraz ze wzrostem wydajności serwera w czasie nie można łatwo zwiększyć długości przed obcięciem, ponieważ jego skrót byłby wyraźnie inny. Oczywiście możesz mieć okres przejściowy, w którym obie długości są mieszane i sprawdzane, ale zużywa to więcej zasobów.

Użytkownik
źródło
1

Staraj się nie nakładać żadnych ograniczeń, chyba że jest to konieczne. Uwaga: może i będzie konieczne w wielu różnych przypadkach. Radzenie sobie ze starszymi systemami jest jednym z tych powodów. Upewnij się, że dobrze przetestowałeś przypadek bardzo długich haseł (czy twój system poradzi sobie z hasłami o długości 10 MB?). Możesz napotkać problemy typu Denial of Service (DoS), ponieważ funkcje Key Defivation Functions (KDF), z których będziesz korzystać (zwykle PBKDF2, bcrypt, scrypt) zajmą zbyt dużo czasu i zasobów. Przykład z życia: http://arstechnica.com/security/2013/09/long-passwords-are-good-but-too-much-length-can-be-bad-for-security/

Marek Puchalski
źródło
0

Czy powinna być maksymalna długość? Jest to ciekawy temat w IT, ponieważ dłuższe hasła są zwykle trudniejsze do zapamiętania, a przez to bardziej prawdopodobne, że zostaną zapisane (DUŻO nie-nie z oczywistych powodów). Dłuższe hasła są również częściej zapominane, co niekoniecznie stanowi zagrożenie dla bezpieczeństwa, ale może prowadzić do problemów administracyjnych, utraty produktywności itp. Administratorzy, którzy uważają, że te problemy są naglące, prawdopodobnie narzucą maksymalne długości hasłom.

Osobiście wierzę w tę konkretną kwestię, dla każdego użytkownika własnego. Jeśli myślisz, że pamiętasz 40-znakowe hasło, tym więcej mocy masz!

To powiedziawszy, hasła szybko stają się przestarzałym sposobem bezpieczeństwa, karty inteligentne i uwierzytelnianie certyfikatów okazują się bardzo trudne lub niemożliwe do brutalnej siły, jak stwierdziłeś, jest to problem, a na serwerze musi być przechowywany tylko klucz publiczny z prywatnym klucz do karty / komputera przez cały czas.

tekiegreg
źródło
Ludzie mogą łatwo zapamiętać tekst ulubionej piosenki, werset biblijny lub inne powiedzenie. Są one bardzo długie w porównaniu do typowego hasła. Właśnie przetestowałem jeden i otrzymałem 79 znaków! (To prawda, możliwość pomyłki wzrasta im dłużej hasło jest jeszcze gorzej, gdy głupi stronie nie pokazać ci ostatni znak wprowadzony w polu Hasło.).
Katastic Voyage
0

Dłuższe hasła lub frazy hasła są trudniejsze do złamania po prostu na podstawie długości i łatwiejsze do zapamiętania niż wymaganie złożonego hasła.

Prawdopodobnie najlepiej wybrać dość długą (10+) minimalną długość, ograniczając długość bezużyteczną.

benPearce
źródło
0

Starsze systemy (już wspomniane) lub łączenie się z systemami innych dostawców mogą wymagać ograniczenia liczby 8 znaków. Może to być również nieudana próba uratowania użytkowników przed sobą. Ograniczenie go w ten sposób spowoduje zbyt wiele haseł pssw0rd1, pssw0rd2 itp. W systemie.

Głaskanie pod brodę
źródło
0

Jednym z powodów, dla których hasła mogą nie być szyfrowane, jest używany algorytm uwierzytelniania. Na przykład niektóre algorytmy skrótu wymagają na serwerze wersji hasła w postaci zwykłego tekstu, ponieważ mechanizm uwierzytelniania obejmuje zarówno klienta, jak i serwer, wykonujące te same obliczenia matematyczne na wprowadzonym haśle (które generalnie nie generuje tego samego wyniku za każdym razem jak hasło jest łączona z losowo generowanym „nonce”, który jest współdzielony między dwiema maszynami).

Często można to wzmocnić, ponieważ w niektórych przypadkach podsumowanie można częściowo obliczyć, ale nie zawsze. Lepszą drogą jest przechowywanie hasła z odwracalnym szyfrowaniem - oznacza to, że źródła aplikacji muszą być chronione, ponieważ będą zawierać klucz szyfrowania.

Digst auth umożliwia uwierzytelnianie na kanałach nieszyfrowanych. Jeśli używasz SSL lub innego szyfrowania pełnokanałowego, nie ma potrzeby używania mechanizmów uwierzytelniania skrótu, co oznacza, że ​​zamiast tego hasła mogą być przechowywane w postaci zaszyfrowanej (ponieważ hasła mogą być bezpiecznie przesyłane zwykłym tekstem przez sieć (dla określonej wartości sejfu).

Chris J
źródło
-4

Tylko hasło o długości 8 znaków brzmi po prostu źle. Jeśli powinien istnieć limit, to co najmniej 20 znaków jest lepszym pomysłem.

user17000
źródło
3
Ale o to chodzi - w ogóle nie powinno być ograniczeń.
Luke Stevenson
-4

Myślę, że jedynym limitem, który powinien być zastosowany, jest limit 2000 liter lub coś innego niewiarygodnie wysokiego, ale tylko w celu ograniczenia rozmiaru bazy danych, jeśli jest to problem

Josh Hunt
źródło
9
Hasła powinny być zaszyfrowane ... A rozmiar bazy danych nie byłby problemem, gdyby hasło zostało zaszyfrowane.
epochwolf
4
@epochwolf - przychodzi mi do głowy jeden powód, dla którego hasła nie powinny być zawsze haszowane (ponieważ sam to odkryłem dzisiaj): hasło, które musi zostać przesłane osobie trzeciej w imieniu użytkownika, nie może być przechowywane jako zaszyfrowane wartość. [Np. Aplikacja, która musi przechowywać dane uwierzytelniające do wysyłania e-maili przez domenę zewnętrzną.]
Kenny Evitt,