Miért nem egységes a jelszókövetelmény?

Minél egyformábbak a jelszavak, annál könnyebb olyan módszereket és eljárásokat kitalálni amik ezeket egységesen meg tudják kerülni vagy például brute force-szal próbálgatni. Ha te megszabod hogy minden jelszó kizárólag 8 karakter lehet, és nem lehet benne ilyen-olyan karakter, rögtön lerövidül a kombinációk száma és a feltörési hatékonyság nő, mert megadhatod hogy ne keressen olyan karaktereket amit a szabvány tilt.

Ebből a szempontból a keretek közé szorítás nem előny hanem hátrány.

Programozástechnikai szempontból szükségszerű a felső határ. Bár tény, hogy nem 12 vagy 16 karakternek kéne lenni. De tetszőleges hosszúságú stringet megengedni bemenetként óriási biztonsági rés.

De oké, megfelelő programozástechnikai tudással ez is kezelhető. Viszont! A jelszavak hashelésére MD5 algoritmust használnak. Ez pedig minden bemenetből egy 16 bájtos (128 bit) lenyomatot képez. Kis matekozással rá lehet jönni, hogy ez bár elég nagy szám, de nem végtelen. Összesen 2^128 darab különböző jelszó-hash készíthető, ami viszont megegyezik azzal a számmal, ahány különböző jelszó létezhet 16 karakteren. (Oké, némivel kevesebb, mert a 32 alatti ASCII-kódú karaktereket nehéz lenne jelszóként beírni, de ez nem csökkenti számottevően a lehetséges jelszavak számát.) Azaz: ha engednék a hosszabb jelszavak használatát, akkor előfordulhatna, hogy több, különböző jelszó is ugyanazt a hash-t kapná.Ezáltal pedig nem igazán növelné a biztonságot az, ha mondjuk 100 karakteres lenne a jelszavad.

(Egyébként az sem szentírás, hogy MD5-öt kell használni hasheléshez. Elképzelhető, hogy máshol más algoritmust használnak, aminek másak a jellemzői...)

A speciális jelek korlátozása pedig három okból történhet:

1. Hogy elkerüljék a Unicode-galibát. Az árvíztűrő tükörfúrógép egy tök jó szó, de bináris formában tök másképp néz ki ISO-8859-2, Windows-1250, valamint UTF-8 kódolással. Persze, kellő gonddal ez is elkerülhető, de sokan inkább nem kockáztatnak.

2. A felhasználó érdekében. Odaülsz egy közös használatú (pl. iskolai) gép elé, beírod az új jelszavadat, aztán soha az életbe' nem tudsz belépni, mert valamelyik retardált épp átállította a billentyűzetkiosztást, és így a felkiáltójel helyett véletlenségből dollárt írtál a kicsillagozott jelszómezőbe.

3. Programozói hanyagságból. :) A bemenetet védeni kell, hiszen egy szándékosan hibás adattal akár a háttérben futó programkódba is belepiszkálhatunk; de sokan nem foglalkoznak azzal, hogy mit és hogyan védjenek le, egyszerűen amit csak lehet, letiltanak/kiszűrnek.

"És legfőképp: miért nem egységesítik a követelményeket?"

Ki egységesítené? Ki dolgozná ki a szabványokat hozzá? Ha hiba volna a jelszókezelésben, és kikerülnének milliók adatai, ki volna érte a felelős? Ki figyelné, hogy betartják-e az előírásokat? Ki fizetné ki a weboldalaknak a kötelező váltással járó költségeket?

Ez pont olyan, mintha azt kérdeznéd, miért nem beszél a világon mindenki magyarul, angolul, kínaiul, stb. Egyébként inkább örülj annak, hogy eltérő rendszert használnak szinte mindenhol, mivel így ha az egyikben hibát találsz, attól még nem fogod tudni azt kihasználni minden létező weboldalon. Ráadásul egy egységesített jelszókezelési megoldás sokkalta nagyobb figyelmet kapna az adathalászoktól, hackerektől, és mindenkitől, akiknek érdeke, hogy hozzáférjen a bizalmas adatokhoz.

Ez mind szép és jó, csak...

"tetszőleges hosszúságú stringet megengedni bemenetként óriási biztonsági rés."

- Nem tetszőleges kellene, pláne nem 100 karakter, amit te írtál ,mert az meg már a ló túloldala. Mondjuk 32 ez egy szép kerek szám. :))

"Egyébként az sem szentírás, hogy MD5-öt kell használni hasheléshez."

- Na igen, itt van mindjárt az MD5, amiben már több mint 20 éve komoly biztonsági rést fedeztek fel ami 2004 óta még csak gyarapodott. A rövid jelszó van annyira veszélyes, mint az MD5 maga...

"A speciális jelek korlátozása pedig három okból történhet:"

- Az általad felsorolt 3 indok kiküszöbölhető...

"Ki egységesítené? Ki dolgozná ki a szabványokat hozzá?"

- Lenne gazdája, ahogy a "nem vagyok robot" című captcha is éppen elterjedt pedig senki nem atrott pisztolyt senki fejéhez. Ott is minden oldalnak a saját jól felfogott érdeke volt hogy kiszűrje a bot-támadásokat itt meg megint jól felfogott érdeke a felhasználóinak adatbiztonsága, mert hogy ugye jelszavakról beszélünk.

"Ez pont olyan, mintha azt kérdeznéd, miért nem beszél a világon mindenki magyarul, angolul, kínaiul,"

- Sarkított hasonlat. Mint írtam a biztonság mindenki jól felfogott érdeke, még a nyelvegységesítésre nincs erős érv...

"Egyébként inkább örülj annak, hogy eltérő rendszert használnak szinte mindenhol, mivel így ha az egyikben hibát találsz, attól még nem fogod tudni azt kihasználni minden létező weboldalon."

- Ez meg jó is meg nem is. Ha az egyik oldalon kérnek bele kisbetűt meg nagy betűt meg számot is, amíg a másiknál nem akkor már is ahány weboldal, annyiféle jelszó. Azt meg meg is kéne tudni jegyezni. Ha meg mindenhol egyforma akkor már is ott vagyunk az általad leírt problémánál csak most a felhasználói oldalon: Ha ugyanaz a jelszó akkor az is gáz.

"Ráadásul egy egységesített jelszókezelési megoldás sokkalta nagyobb figyelmet kapna az adathalászoktól, hackerektől, és mindenkitől, akiknek érdeke, hogy hozzáférjen a bizalmas adatokhoz."

- Annyiból nem igaz hogy mint írtam az egységesítés jelen esetben azt jelentené, hogy egységesen erős jelszó, tehát a gyengébb jelszóazonosító oldalakat kéne felhozni a jobbak szintjére. Ezpont hogy eltántorítaná az adathalászokat...