1. ホーム
  2. security

[解決済み] パスワードの長さに上限を設けるべきですか?

2022-04-15 16:52:37

質問

パスワードに最小限の長さを課すことは非常に理にかなっている(ユーザーを自分自身から救うため)ことは理解できますが、私の 銀行 は、パスワードの長さを6文字以上8文字以下とすることを要求しています。

  • これでは、ブルートフォースアタック(総当り攻撃)が容易になるだけでは?(悪い)
  • 私のパスワードは暗号化されずに保存されているということですか?(悪い)

もし、(できれば)優秀なITセキュリティの専門家が働いている人が、パスワードの最大長を課しているなら、私も同様のことを考えるべきでしょうか?その長所と短所は何でしょうか?

解決方法は?

パスワードは32、40、128、どのような長さでもハッシュ化されます。最小の長さを設定する唯一の理由は、簡単に推測されるパスワードを防ぐためです。最大長を設定する目的はありません。

義務付けられている XKCD 最大長を設定することが、なぜユーザーにとって不利益になるのかを説明します。