Frage Sind Leerzeichen gültige Bestandteile eines Passwortes? [geschlossen]


Ist der Platz eine gültige Komponente eines Passwortes oder nicht? Ich versuche die letzten 10 Passwörter zu speichern ein string in der Datenbank und muss ein gutes Trennzeichen für sie finden. Ich denke Raum ist vielleicht ein guter Kandidat. Was denken Sie?


4
2018-02-22 13:23


Ursprung


Wie @Bart sagte - HASH das Passwort. Lesen Sie dies, um zu erklären, warum: Sicherheit.blogoverflow.com/2011/11/... - Rory Alsop


Antworten:


Das hängt von Ihrer Passwortrichtlinie ab. Ich kenne einige Seiten / Systeme, wo der Platz ein gültiges Zeichen für ein Passwort ist. Um auf der sicheren Seite zu sein, könnten Sie nach Leerzeichen innerhalb des Passworts suchen und diese umgehen.

Oh, und als kurzes Update: Versuche das Datenbankdesign zu reparieren. Da Sie eine 1: n-Beziehung haben, sollten Sie jedes Passwort separat speichern und jeden Eintrag mit dem entsprechenden Benutzer verbinden.


6
2018-02-22 13:25





Leerzeichen sind normalerweise gültig. Ich würde mich vor jedem Trennzeichen hüten, da es eine Form der Sicherheit durch Dunkelheit ist, dass jemand es nicht knacken oder versehentlich in der Zukunft stolpern wird und du den Fehler herausfinden musst.

Ich würde für jeden einen separaten Eintrag verwenden.

Sie erwähnen nicht, welche Anwendung dies ist ... Wenn Sie die Anwendung erstellen, könnten Sie versuchen, etwas zu tun, um Ihre eigenen Richtlinien durchzusetzen, die den Eintrag bereinigen und bereinigen würden, oder Sie würden vernünftigerweise das Passwort hashen Ich möchte nicht, dass die tatsächlichen Passwörter gespeichert werden, und der Hash enthält kein Passwort. Dann nehme ich an, dass Sie jedes beliebige Trennzeichen verwenden können, solange es nicht Teil des Hash-Namensraums von Zeichen ist.


5
2018-02-22 13:48



+2 für Hashing. Hashing mit hexadezimaler Kodierung hat den Vorteil, dass Sie nur 0123456789ABCDEF bekommen, und Sie können alles verwenden, was nicht das Passwort abgrenzt. (Und hat den zusätzlichen Sicherheitsvorteil, dass es schwieriger ist, ein Passwort von Ihrer gestohlenen Datenbank wiederherzustellen) - Jason
Die Hash-Idee ist gut, wenn das Passwort nicht im Klartext gespeichert werden muss. Obwohl ich auch denke, dass es sich um eine "jüngste Passwörter" Geschichte handelt, erwähnte "Student" nicht den eigentlichen Zweck der Speicherung der Passwörter. - DaDaDom
@DaDaDom: Auch wenn die jüngste Geschichte der Passwörter, Sie einfach ihre eingegebene Passwort, Hash-es, vergleichen Sie mit, was in der Geschichte der Hashes ... Wenn die Hashes übereinstimmen, wurde es kürzlich verwendet. Story Klartext Passwörter sind normalerweise eine schlechte Idee. - Bart Silverstrim
Ich benutze oft 2-4 Wortphrasen mit Leerzeichen als Passphrase - speziell weil der Space ein ungewöhnliches Passwort ist, das es weniger wahrscheinlich macht, geknackt zu werden (es ist auch sehr schnell zu tippen, da es ist, als würde man einen normalen Satz schreiben) ). Ich ärgere mich immer, wenn ich den seltenen Service finde, der mir keine Leerzeichen erlaubt. Hashes wäre gut ... oder wenn Sie wirklich Klartext speichern möchten, müssen Sie nur das Trennzeichen in den Passwort-Strings entschlüsseln. - Josh
Bewahren Sie keine unverschlüsselten Passwörter in Ihrer Datenbank auf. - Ken Liu


Sie können sich nicht auf Leerzeichen verlassen, da es sich bei den meisten Systemen um ein gültiges Kennwort handelt, insbesondere jetzt, da Passphrasen die neuen Kennwörter sind.

Je nachdem, was / wie Sie dies tun, können Sie möglicherweise ein Zeichen mit ASCII 0x00 verwenden, ein anderes Zeichen, das normalerweise nicht auf einer Tastatur gefunden wird, oder was ist mit Unicode?

Persönlich würde ich nicht versuchen, sie zu einer einzigen Zeichenfolge zu verketten, würde ich wahrscheinlich einen Eintrag für jedes Passwort speichern.


1
2018-02-22 13:32