FacebookやGmailなどのサイトにサインアップするときに、パスワードの長さを8〜12文字にする必要があるのはなぜですか。 8〜12のスペースは有限ですが、大文字と数字を追加することにより、パスワードをより「安全」にすることができます。
Gmailのパスワードの上限が100文字になっているようです(2017年9月14日現在):
私たちのパスワードの長さが制限されている本当の理由は、合法性の問題のためであり、暗号化の欠点効率よりも大きいと思います。会社があなたのアカウントにアクセスする必要がある場合、彼らはあなたのアカウントにアクセスし、そうすることでいかなる障害も望まないでしょう。長い間パスワードをサーバーに保存するとドライブのスペースが不足するため、最初はパスワードに上限を設けたと思いましたが、パスワードなどのchar値は多くのスペースを占有せず、単なる文字の束ですそして結局のところ数字。おそらく、HMACを備えたPBKDF2は任意の長さのパスワードを解読できますが、その場合、CPU処理時間が長くなり、ドライブ上のスペースも増加します(非常に長いパスワードの場合は約1GB)。
非常に大規模なデータセンターを持つ企業は、プラットフォームのすべてのユーザーの同時ハッシュに対応できますか?
パスワードキーの導出関数の手法は現在、より長いパスワードを解読するレベルにないため、パスワードの上限は12(または、Gmailの場合は100、Gmailの場合は100)。長さ効率的。これは、パスワードを250文字にしたい場合、会社が効率的にパスワードを解読する必要がある場合、会社がパスワードを解読する機能を備えているとは思わないため、許可されないことを意味します。
私たちは本当に自由ですか?セキュリティに上限が設定されている場合、「password」や「12345678」よりもパスワードをより安全にするためにどのような動機がありますか?彼らが提供しているメッセージはあなたが安全であることができるということです、しかしそれは私たちの仕事をより難しくするほど安全ではありません。
ロックはほとんどの侵入者を締め出しますが、ロックを破るために装備されているものはそれを行います。最も侵入者を入れないロックを選択するのでしょうか、それとも平均的なロックを購入して、それを破ることができるロックが私たちの家に来ないことを願っていますか?
大文字と数字を追加してパスワードをより安全にすることで、パスワードを解読できる人数を制限し始めますが、必要に応じてパスワードを解読することになります。
私が率直に言って構わないとしても、あなたの投稿には多くの誤解があり、結論の多くは陰謀論に相当するという仮定に基づいているように思われます。最初に、いくつかのことについて明確にしましょう。私はあなたの仮定と陰謀論のいくつかを払拭するのに十分だと思います:
その結果、企業がパスワードの最大長を設定しているという一般的な声明では、必要なときにパスワードを解読できるため、例外なく、完全に間違っています。
では、なぜ最大値があるのですか?この質問では、多くのレガシーシステムについて次のことを説明しています。
グーグルは別の問題です:最大100文字は実際には不合理ではありません。 100文字のパスワードを使用しようとしている人はいないと思いますが、パスワードマネージャーでさえ使用していません(100文字は絶対にやりすぎです)。最大100文字を必要とする暗号化アルゴリズムには技術的な理由があるかもしれませんが、ある程度の制限が必要であるために、任意の制限が設定されている可能性が高く、最初に長いパスワードを使用する実際的な理由はありません場所。
もう1つ繰り返しますが、実際にブルートフォースで入力できるパスワードの長さには物理的な制限があります。これは、エネルギーに関する考慮事項、およびパスワードを解読する可能性のあるコンピューターの実行に必要なエネルギーの最小量に帰着します。全体的な要点は、十分な長さのパスワードについては、たとえ問題に対処するための無限のコンピューティングリソースがあったとしても、パスワードを解読するのに十分なエネルギーが全世界にないということです。
また、パスワードの長さに関するいくつかの問題を実際に理解するのに役立つ読み物です。
https://www.infoworld.com/article/2655121/security/password-size-does-matter.htmlhttps://security.stackexchange.com/a/118457/ 149676https://crypto.stackexchange.com/questions/1145/how-much-would-it-cost-in-us-dollars-to-brute-force-a-256-bit- key-in-a-yearhttps://www.reddit.com/r/theydidthemath/comments/1x50xl/time_and_energy_required_to_bruteforce_a_aes256/
使いやすさとセキュリティの両方に住んでいるので、機能は、パスワードのサイズを大きくする作業を意味するものではありません(Googleと同じように、Googleで共有した画像に100の制限があります-これはやり過ぎです)。 80年代半ば以降、インターネットは一般の人々が利用できるようになったので、セキュリティにおけるパスワードの考え方は「知っていますか?」です。
ええ、パスワードは多分100000文字になる可能性があります(注:入力のデフォルトの最大サイズは524288です)。今日のほとんどの実装では、パスワードを解読することはまだ不可能です。たぶん100?本当に長い文章を覚えているかもしれません。 「ドン・キホーテ」の第1章をパスワードとして使用する人はいないでしょう。人間の記憶はそれほど素晴らしいものではありません。
たぶん、あなたはそれを保存したり、「 LastPass 」のようなものを使用したりできますが、それは一般的な/毎日のユーザーのためではありません。
TL; DR最大値を増やしてもセキュリティが追加されるわけではなく、特定の時点で「使いやすさ」が削除され、「セキュリティ」がほとんど追加されません。