パスワードに特殊文字の数を記録することは悪い考えですか？

ここでは2つの異なる質問があります。

パスワードに特殊文字の数を記録することは悪い考えですか？

それは悪い習慣だと思います。攻撃者がユーザーのパスワードハッシュをブルートフォースまたはクラックしようとしている場合、特殊文字の数がわかっていると、攻撃者に次のような利点があります。

• 彼らは、正確にその数の特殊文字で候補のパスワードの辞書を構築するだけでよいので、ブルートフォース推測の数を減らします。ここでは計算を行いませんが、どれだけ労力を削減できるかについては、私の答えを参照してください。 パスワードの長さを秘密に保つことはどれほど重要ですか？

• これは、どのユーザーが「ぶら下がっている果実」であるかを攻撃者に知らせます。 IE脆弱なパスワードを持っているため、最初に攻撃する必要がある人。

はい、これは悪い習慣であることに同意します。この情報をログに記録する正当な理由が本当に想像できません...？パスワード変更機能をデバッグしているときに誰かがログステートメントを入力したように見えるかもしれませんが、これらのログステートメントはほぼ確実に本番環境でオフにする必要があります。

あなたの他の質問：

一方、この問題はペンテスターでは取り上げられませんでした。

2番目の@schroederに対して、ペンテストは通常​​、範囲が非常に限定され（何を見る/レポートできるか）、時間（システムにアクセスできる期間）が限られ、アプリケーションのドメイン知識が限られています（具体的にはどこを見るか突くか）。したがって、ペンテストレポートは、問題の完全なリストとしてではなく、問題を簡単に見つけることができる程度の尺度として読む必要があります。

ペンテスターが特定の問題について言及しなかった場合、それはA）彼らがそれを見つけたが問題ではない、またはB）彼らがそれを見つけ、特定のテスターは問題ないと思ったが、別のテスターがそれを報告した、またはC）彼らは与えられた時間/範囲でそれを見つけませんでした。