一部のWebサイトで、サイトのパスワードに英数字以外の文字を使用できないのはなぜですか?
今日、Webサイトにログインして、次のメッセージを見つけました。
新しいセキュリティシステムのアップグレードの一環として、既存のすべてのお客様に、個人情報の保護を強化するためにパスワードを変更するように要求しています。
覚えやすいが他人には推測されにくいパスワードを使用することをお勧めします。新しいパスワードは8〜16文字で、特殊文字「 '」、「」、「;」、「|」、「?」、「<」、「>」、「^」、「*」である必要があります。 「、「:」、「=」、「#」は禁止です。ご理解とご協力をよろしくお願いいたします。
おそらく16文字で十分ですが、長さ制限の正当な理由はわかりません。
私にとってもっと興味深いのは、特定の特殊文字を許可しないことです。このスキームで使用できる特殊文字はまだたくさんありますが、英数字のみを許可する他のサイトについて聞いたことがあります。パスワードの内容がハッシュアルゴリズムにとって重要なのはなぜですか?それは単なるハッシュ、またはそのハッシュのbase-64エンコーディングですよね?
- このポリシーは私のアカウントのセキュリティを危険にさらしますか?
- 文字セットを処理できない特定のパスワードハンドラーはありますか
',";|?<>^*:=#? - サイトの他の場所のセキュリティポリシーについて心配する必要がありますか?
ほぼ確実に、人々が通常のフィールド内にコードを埋め込むのを阻止します(SQLインジェクション)。
彼らはSQLインジェクション防止のくだらない仕事をしたからです。 'と "(あなたの成績はFからCになります)を許可しないことはほとんど理解できます他のすべては単にずさんです
サイトの他の場所のセキュリティポリシーについて心配する必要がありますか?
はい、そうすべきです。
彼らがあなたのパスワードにどんな文字が含まれているかを知ることができれば、それはそれがデータベースにプレーンテキストで保存されていることを意味するからです。そしてこれがBAAADです。