Krav mot sin hensikt

PUBLISERT DEN 06. april 2008 – 3 kommentarer

Stadig flere onlinetjenester setter krav til brukernes passord, det være seg krav om både bokstaver og tall, miksing av store og små bokstaver, samt påkrevd utskiftning f.eks. hver tredje måned. Det jeg derimot ikke har noen forståelse for, er de som setter en makslengde på passordet, f.eks. til 8 tegn. I PHP – og helt sikkert andre språk – vil dette tyde på at passordet lagres i klartekst, ettersom hashing av passordene vil gi identisk lengde på hashene (henholdsvis 32 tegn med md5() og 40 tegn med sha1()), og med det avsløre en seriøs brist i sikkerhetsrutinene. Hva som er praksis i andre språk kan jeg ikke uttale meg om, men jeg har vanskelig for å se hvilke fordeler det gir å ikke tillatte passord opp mot f.eks. 20 tegn…?

Enlighten me, please.

RSS Kommentarer (3)

# Skrevet av Ivar – 07. april 2008

Det virker litt rart det ja, det skulle vel heller vært minst 8 tegn… isteden for max…

# Skrevet av Robert – 07. april 2008

Alltid stussa på dette selv! Lukter rart.

# Skrevet av Teddy – 08. april 2008

Det kommer nok av gammel vane. Programererne bruker gamle koder om igjen.



Skriv en kommentar

MERK! Grunnet omfattende spamangep, må førstegangskommentatorer igjennom manuell godkjenning. Vennligst ikke legg til den samme kommentaren flere ganger om den ikke vises umiddelbart. Nettstedets eier forbeholder seg retten til å fjerne/redigere kommentarer som oppfattes som upassende.